기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 CloudTrail 통한 최근 관리 이벤트 보기 AWS CLI
aws cloudtrail lookup-events명령을 AWS 리전 사용하여 지난 90일 동안의 CloudTrail 관리 이벤트에서 현재 이벤트를 조회할 수 있습니다. 이 aws cloudtrail lookup-events 명령은 이벤트가 발생한 AWS 리전 위치의 이벤트를 표시합니다.
조회는 관리 이벤트에 대해 다음과 같은 속성을 지원합니다.
-
AWS 액세스 키
-
이벤트 ID
-
이벤트 이름
-
이벤트 소스
-
읽기 전용
-
리소스 이름
-
리소스 유형
-
사용자 이름
모든 속성은 선택 사항입니다.
lookup-events
-
--max-items<integer>- 명령의 출력에서 반환되는 항목의 총 수입니다. 사용 가능한 총 항목 수가 지정된 값을 초과하는 경우 명령의 출력에NextToken이 제공됩니다. 페이지 매김을 재개하려면, 후속 명령의 시작 토큰에NextToken값을 제공합니다. AWS CLI외부에서 직접NextToken응답 요소를 사용하면 안 됩니다. -
--start-time<timestamp>– 지정된 시간이 반환되었거나 그 이후에 발생한 이벤트만 지정합니다. 지정된 시작 시간이 지정된 종료 시간 이후인 경우 오류가 반환됩니다. -
--lookup-attributes<integer>- 조회 속성 목록을 포함합니다. 현재 이 목록에는 항목 하나만 포함될 수 있습니다. -
--generate-cli-skeleton<string> – API 요청을 전송하지 않고 JSON 스켈레톤을 표준 출력으로 인쇄합니다. 값이나 값 입력이 없는 경우--cli-input-json인수로 사용할 수 있는 샘플 입력 JSON을 인쇄합니다. 마찬가지로 yaml-input을 제공하면,--cli-input-yaml과 함께 사용할 수 있는 샘플 입력 YAML이 출력됩니다. 값 출력과 함께 제공되면, 명령 입력의 유효성을 검사하고, 해당 명령에 대한 샘플 출력 JSON을 반환합니다. 생성된 JSON 스켈레톤은 버전 간에 안정적이지 않으며 생성된 JSON 스켈레톤에는 이전 버전과의 호환성이 보장되지 않습니다. AWS CLI -
--cli-input-json<string> – 제공된 JSON 문자열에서 인수를 읽습니다. JSON 문자열은--generate-cli-skeleton파라미터에서 제공하는 형식을 따릅니다. 명령줄에 다른 인수가 제공되면 해당 값이 JSON에서 제공한 값보다 우선합니다. 문자열은 문자 그대로 사용되므로 JSON에서 제공한 값을 사용하여 임의의 이진수 값을 전달할 수 없습니다. 이 값은--cli-input-yaml파라미터와 함께 지정할 수 없습니다.
AWS 명령줄 인터페이스 사용에 대한 일반 정보는 사용 설명서를 참조하십시오.AWS Command Line Interface
목차
필수 조건
-
AWS CLI 명령을 실행하려면 를 설치해야 합니다 AWS CLI. 자세한 내용은 AWS 명령줄 인터페이스 설치를 참조하십시오.
-
AWS CLI 버전이 1.6.6보다 큰지 확인하십시오. CLI 버전을 확인하려면 명령줄에서 aws --version를 실행하십시오.
-
AWS CLI 세션의 계정 및 기본 출력 형식을 설정하려면 명령을 사용합니다. AWS 리전aws configure 자세한 내용은 AWS 명령줄 인터페이스 구성을 참조하십시오.
참고
CloudTrail AWS CLI 명령은 대소문자를 구분합니다.
명령줄 도움말 받기
lookup-events에 대한 명령줄 도움말을 보려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events help
이벤트 조회
중요
조회 요청 속도는 계정당, 리전당 초당 2회로 제한됩니다. 이 한도를 초과하면 제한 오류가 발생합니다.
최근 이벤트 10개를 보려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --max-items 10
반환된 이벤트는 가독성을 위해 다음과 같이 가상의 예제와 비슷하게 표시됩니다.
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=", "Events": [ { "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", "Username": "root", "EventTime": 1424476529.0, "CloudTrailEvent": "{ \"eventVersion\":\"1.02\", \"userIdentity\":{ \"type\":\"Root\", \"principalId\":\"111122223333\", \"arn\":\"arn:aws:iam::111122223333:root\", \"accountId\":\"111122223333\"}, \"eventTime\":\"2015-02-20T23:55:29Z\", \"eventSource\":\"signin.amazonaws.com\", \"eventName\":\"ConsoleLogin\", \"awsRegion\":\"us-east-2\", \"sourceIPAddress\":\"203.0.113.4\", \"userAgent\":\"Mozilla/5.0\", \"requestParameters\":null, \"responseElements\":{\"ConsoleLogin\":\"Success\"}, \"additionalEventData\":{ \"MobileVersion\":\"No\", \"LoginTo\":\"https://console.aws.amazon.com/console/home", \"MFAUsed\":\"No\"}, \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\", \"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"111122223333\"}", "EventName": "ConsoleLogin", "Resources": [] } ] }
출력에서 조회 관련 필드에 대한 설명은 이 문서 후반에 있는 조회 출력 필드 단원을 참조하세요. CloudTrail 이벤트의 필드에 대한 설명은 을 참조하십시오. CloudTrail 기록 내용
반환할 이벤트 수 지정
반환할 이벤트 수를 지정하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --max-items<integer>
가능한 값은 1에서 50까지입니다. 다음 예제는 하나의 이벤트를 반환합니다.
aws cloudtrail lookup-events --max-items 1
시간 범위별 이벤트 조회
지난 90일간의 이벤트를 조회할 수 있습니다. 시간 범위를 지정하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --start-time<timestamp>--end-time<timestamp>
--start-time 는 지정된 시간이 반환되었거나 그 이후에 발생한 이벤트만 UTC로 지정합니다. 지정된 시작 시간이 지정된 종료 시간 이후인 경우 오류가 반환됩니다.<timestamp>
--end-time 는 지정된 시간이 반환되었거나 그 이전에 발생한 이벤트만 UTC로 지정합니다. 지정된 종료 시간이 지정된 시작 시간 이전인 경우 오류가 반환됩니다.<timestamp>
기본 시작 시간은 최근 90일 중 데이터가 확인되는 가장 이른 날짜입니다. 기본 종료 시간은 현재 시간과 가장 근접해 발생한 이벤트의 시간입니다.
모든 타임스탬프는 UTC로 표시됩니다.
속성별 이벤트 조회
속성별로 필터링하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
각 lookup-events 명령에 대한 속성 키/값 페어 하나만 지정할 수 있습니다. AttributeKey의 유효한 값은 다음과 같습니다. 값 이름은 대/소문자를 구분합니다.
-
AccessKeyId -
EventId -
EventName -
EventSource -
ReadOnly -
ResourceName -
ResourceType -
Username
의 최대 AttributeValue 길이는 2000자입니다. 다음 문자 ('', _ '', '', , \\n ') 는 2자로 계산되며 최대 2000자까지 입력할 수 있습니다.
속성 조회 예제
다음 예제 명령은 AccessKeyId 값이 AKIAIOSFODNN7EXAMPLE인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE
다음 예제 명령은 지정된 항목에 대한 이벤트를 반환합니다 CloudTrailEventId.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
다음 예제 명령은 EventName 값이 RunInstances인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances
다음 예제 명령은 EventSource 값이 iam.amazonaws.com인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com
다음 예제 명령은 쓰기 이벤트를 반환합니다. GetBucketLocation 및 DescribeStream 등의 읽기 이벤트는 제외됩니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false
다음 예제 명령은 ResourceName 값이 CloudTrail_CloudWatchLogs_Role인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role
다음 예제 명령은 ResourceType 값이 AWS::S3::Bucket인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket
다음 예제 명령은 Username 값이 root인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
결과의 다음 페이지 지정
lookup-events 명령에서 결과의 다음 페이지를 가져오려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events<same parameters as previous command>--next-token=<token>
여기에서 <token>에 대한 값은 이전 명령 출력의 첫 번째 필드에서 가져옵니다.
명령에서 --next-token을 사용할 때 이전 명령과 같은 파라미터를 사용해야 합니다. 예를 들어 다음과 같은 명령을 실행한다고 가정하겠습니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
결과의 다음 페이지를 가져오기 위해 사용하는 다음 명령은 아래와 유사합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=
파일에서 JSON 입력 가져오기
일부 AWS 서비스의 경우 에는 두 개의 매개 변수가 --generate-cli-skeleton 있으며 --cli-input-json 이를 사용하여 JSON 템플릿을 생성할 수 있습니다. 이 매개 변수를 수정하여 --cli-input-json 매개 변수에 AWS CLI 대한 입력으로 사용할 수 있습니다. 이 단원에서는 aws cloudtrail lookup-events로 이러한 파라미터를 사용하는 방법을 설명합니다. 자세한 내용은 CLI 스켈레톤 및 CLI 입력 JSON 파라미터를 참조하십시오.
파일에서 JSON 입력을 가져와 CloudTrail 이벤트를 조회하려면
-
다음 예와 같이
--generate-cli-skeleton출력을 파일로 리디렉션하여lookup-events와 함께 사용할 입력 템플릿을 생성합니다.aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt생성된 템플릿 파일 (이 LookupEvents 경우는.txt) 은 다음과 같습니다.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } -
텍스트 편집기를 사용하여 필요에 따라 JSON을 수정합니다. JSON 입력은 지정된 값만 포함해야 합니다.
중요
템플릿을 사용하기 전에 템플릿에서 모든 비어 있는 값이나 null 값을 제거해야 합니다.
다음 예제에서는 반환할 최대 결과 수와 시간 범위를 지정합니다.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 } -
편집된 파일을 입력으로 사용하려면 다음 예제와 같이 구문
--cli-input-json file://<filename>을 사용합니다.aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
참고
--cli-input-json과 동일한 명령줄에서 다른 인수를 사용할 수 있습니다.
조회 출력 필드
- 이벤트
-
조회 속성과 지정된 시간 범위를 기반으로 한 조회 이벤트 목록입니다. 이벤트 목록은 최신 이벤트부터 먼저 나열되는 시간별로 정렬됩니다. 각 항목은 조회 요청에 대한 정보를 포함하며 검색된 CloudTrail 이벤트의 문자열 표현을 포함합니다.
다음 항목은 각 조회 이벤트의 필드를 설명합니다.
- CloudTrailEvent
-
이벤트가 반환되었음을 나타내는 객체를 포함한 JSON 문자열입니다. 반환된 각 요소에 관한 정보는 레코드 본문 콘텐츠를 참조하십시오.
- EventId
-
반환된 이벤트 GUID를 포함한 문자열입니다.
- EventName
-
반환된 이벤트 이름을 포함한 문자열입니다.
- EventSource
-
요청이 이루어진 AWS 서비스.
- EventTime
-
이벤트 날짜 및 시간(UNIX 시간 형식)입니다.
- 리소스
-
반환된 이벤트가 참조하는 리소스 목록입니다. 각 리소스 항목은 리소스 유형 및 리소스 이름을 지정합니다.
- ResourceName
-
이벤트가 참조하는 리소스 이름을 포함하는 문자열입니다.
- ResourceType
-
이벤트가 참조하는 리소스 유형을 포함하는 문자열입니다. 리소스 유형을 결정할 수 없는 경우 null이 반환됩니다.
- 사용자 이름
-
반환된 이벤트에 대한 계정 사용자 이름을 포함하는 문자열입니다.
- NextToken
-
이전
lookup-events명령에서 결과의 다음 페이지를 가져오는 문자열입니다. 토큰을 사용하기 위해 파라미터는 원래 명령의 것과 같아야 합니다. 출력에NextToken항목이 나타나지 않는 경우 더 반환할 결과가 없는 것입니다.
