CloudTrail 콘솔에서 CloudTrail 이벤트 보기 - AWS CloudTrail

CloudTrail 콘솔에서 CloudTrail 이벤트 보기

CloudTrail 콘솔을 사용하여 AWS 리전에서 지난 90일간 기록된 API 활동 및 이벤트를 확인할 수 있습니다. 또한 해당 정보가 포함된 파일이나 선택한 필터 및 시간 범위를 기반으로 하는 정보의 하위 집합을 다운로드할 수도 있습니다. 콘솔에 표시되는 열을 선택하여 Event history(이벤트 기록) 보기를 사용자 지정할 수 있습니다. 또한 특정 서비스에 대해 이용 가능한 리소스 유형별로 이벤트를 조회 및 필터링할 수 있습니다.

90일이 지난 후에는 이벤트가 Event history(이벤트 기록)에 더 이상 표시되지 않습니다. 이벤트 기록에서 수동 삭제할 수 없습니다. 추적을 생성할 경우, 추적 설정에서 설정되는 S3 버킷에 저장하는 한 추적에 로깅되는 이벤트를 볼 수 있습니다.

CloudTrail 로깅은 AWS 서비스마다 다릅니다. 대부분 AWS 서비스가 모든 이벤트의 CloudTrail 로깅을 지원하는 반면, 일부 서비스는 API 및 이벤트의 하위 세트 로깅만을 지원하고 소수의 서비스는 지원되지 않습니다. 해당 서비스에 대한 설명서를 참조하여 특정 서비스에 대한 CloudTrail 로그 이벤트 기록 방법에 대해 자세히 알아볼 수 있습니다. 자세한 내용은 CloudTrail 지원되는 서비스 및 통합 단원을 참조하십시오.

참고

활동 및 이벤트 기록을 보유하려면 추적을 생성하십시오. 추적을 생성하면 다음과 같은 통합 기능을 활용할 수도 있습니다.

CloudTrail 이벤트를 보려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/cloudtrail/home/에서 CloudTrail 콘솔을 엽니다.

  2. 탐색 창에서 [Event history]를 선택합니다.

필터링된 이벤트 목록이 최신 이벤트 순으로 콘텐츠 창에 나타납니다. 더 많은 이벤트를 보려면 아래로 스크롤하십시오.

Event history(이벤트 기록)의 이벤트 기본 보기에는 필터가 적용되어 있어 읽기 전용 이벤트가 표시되지 않습니다. 이 필터를 제거하거나 다른 필터를 적용하려면 필터 설정을 변경합니다. 자세한 내용은 CloudTrail 이벤트 필터링 단원을 참조하십시오.

CloudTrail 이벤트 표시

CloudTrail 콘솔에 표시할 열을 선택하여 Event history(이벤트 기록) 표시를 사용자 지정할 수 있습니다. 기본적으로 표시되는 열은 다음과 같습니다.

  • 이벤트 시간

  • 사용자 이름

  • Event name

  • Resource type

  • 리소스 이름

참고

칼럼의 순서를 변경하거나 이벤트 기록에서 이벤트를 수동 삭제할 수 없습니다.

Event history(이벤트 기록)에 표시되는 열을 사용자 지정하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/cloudtrail/home/에서 CloudTrail 콘솔을 엽니다.

  2. 탐색 창에서 [Event history]를 선택합니다.

  3. 기어 모양 아이콘을 선택합니다.

  4. [Show/Hide Columns]에서 표시할 열을 선택합니다. 표시하지 않을 열은 선택 취소합니다. 완료되면 [Save]를 선택합니다.

CloudTrail 이벤트 필터링

Event history(이벤트 기록)의 이벤트 기본 표시는 속성 필터를 사용하여 표시된 이벤트 목록에서 읽기 전용 이벤트를 제외합니다. 이 속성 필터의 이름은 읽기 전용이며 false로 설정됩니다. 이 필터를 제거하면 읽기 및 쓰기 이벤트를 모두 표시할 수 있습니다. 읽기 이벤트만 보려면 필터 값을 true로 변경할 수 있습니다. 다른 속성을 기준으로 이벤트를 필터링할 수도 있습니다. 시간 범위를 기준으로 추가로 필터링할 수 있습니다.

참고

속성 필터와 시간 범위 필터는 하나만 적용할 수 있습니다. 속성 필터는 여러 개 적용할 수 없습니다.

AWS 액세스 키

요청을 서명하는 데 사용된 AWS 액세스 키 ID입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 임시 자격 증명의 액세스 키 ID가 됩니다.

이벤트 ID

이벤트의 CloudTrail ID입니다. 각 이벤트에는 고유 ID가 있습니다.

이벤트 이름

이벤트의 이름입니다. 예를 들어 CreatePolicy와 같은 IAM 이벤트 또는 RunInstances와 같은 Amazon EC2 이벤트를 기준으로 필터링할 수 있습니다.

이벤트 소스

iam.amazonaws.com 또는 s3.amazonaws.com 등 요청이 이루어진 AWS 서비스입니다. [Event source] 필터를 선택한 후 이벤트 소스 목록을 스크롤할 수 있습니다.

읽기 전용

이벤트의 읽기 유형입니다. 이벤트는 읽기 이벤트 또는 쓰기 이벤트로 분류됩니다. false로 설정된 경우 표시된 이벤트 목록에 읽기 이벤트가 포함되지 않습니다. 기본적으로 이 속성 필터가 적용되고 값은 false로 설정됩니다.

리소스 이름

이벤트가 참조하는 리소스의 이름 또는 ID입니다. 예를 들어, 리소스 이름은 Auto Scaling 그룹의 경우에는 "auto-scaling-test-group"이 될 수 있으며 EC2 인스턴스의 경우에는 "i-1234567"이 될 수 있습니다.

Resource type

이벤트가 참조하는 리소스의 유형입니다. 예를 들어, 리소스 유형은 EC2의 경우에는 Instance가 될 수 있으며 RDS의 경우에는 DBInstance가 될 수 있습니다. 리소스 유형은 각 AWS 서비스에 대해 다릅니다.

시간 범위

이벤트를 필터링하려는 시간 범위입니다. 지난 90일간의 이벤트를 필터링할 수 있습니다.

사용자 이름

이벤트가 참조하는 사용자의 자격 증명입니다. 예를 들어 IAM 사용자, IAM 역할 이름 또는 서비스 역할이 될 수 있습니다.

선택한 속성 또는 시간에 대해 로깅된 이벤트가 없는 경우 결과 목록이 비어 있습니다. 시간 범위 이외에 속성 필터 하나만 적용할 수 있습니다. 다른 속성 필터를 선택하는 경우 지정된 시간 범위가 유지됩니다.

다음 단계는 속성을 기준으로 필터링하는 방법을 설명합니다.

속성을 기준으로 필터링하려면

  1. 속성을 기준으로 결과를 필터링하려면 [Select attribute]를 선택한 다음 [Enter lookup value] 상자에서 값을 입력하거나 선택합니다.

  2. 속성 필터를 제거하려면 속성 필터 상자의 오른쪽에 있는 X를 선택합니다.

다음 단계는 시작/종료 날짜 및 시간을 기준으로 필터링하는 방법을 설명합니다.

시작/종료 날짜 및 시간을 기준으로 필터링하려면

  1. 보려는 이벤트의 시간 범위를 좁히려면 [Select time range]를 선택합니다.

  2. 시간 범위 필터를 제거하려면 시간 범위 상자의 오른쪽에 있는 달력 아이콘을 선택한 다음 제거를 선택합니다.

이벤트에 대한 세부 정보 보기

  1. 결과 목록에서 이벤트를 선택하여 세부 정보를 표시합니다.

  2. 이벤트가 둘 이상의 리소스를 참조한 경우 세부 정보 창의 하단에 추가 리소스가 나열됩니다.

  3. 일부 참조된 리소스에는 링크가 있습니다. 해당 링크를 선택하여 해당 리소스의 콘솔을 엽니다.

  4. 세부 정보 창에서 [View Event]를 선택하여 이벤트를 JSON 형식으로 봅니다.

  5. 이벤트를 다시 선택하여 세부 정보 창을 닫습니다.

이벤트 다운로드

기록이 완료된 이벤트 기록을 CSV 또는 JSON 형식의 파일로 다운로드할 수 있습니다. 필터 및 시간 범위를 사용하여 다운로드하는 파일의 크기를 줄입니다.

참고

CloudTrail 이벤트 기록 파일은 개별 사용자가 구성할 수 있는 정보(예: 리소스 이름)가 포함된 데이터 파일입니다. 일부 데이터는 이 데이터를 읽고 분석하는 데 사용되는 프로그램에서 명령으로 해석될 수 있습니다(CSV 주입). 예를 들어, CloudTrail 이벤트를 CSV로 내보내고 스프레드시트 프로그램으로 가져오면 해당 프로그램에서 보안 문제에 대한 경고가 표시될 수 있습니다. 시스템을 안전하게 보호하기 위해 이 콘텐츠를 비활성화하도록 선택해야 합니다. 다운로드된 이벤트 기록 파일의 링크나 매크로를 항상 비활성화하십시오.

  1. 다운로드하려는 이벤트에 대한 필터 및 시간 범위를 지정합니다. 예를 들어, 이벤트 이름 StartInstances를 지정하고 지난 3일 동안의 활동에 대한 시간 범위를 지정할 수 있습니다.

  2. 
                            download icon
                        을 선택한 후 CSV로 내보내기 또는 JSON로 내보내기를 선택합니다. 다운로드가 즉시 시작됩니다.

    참고

    다운로드가 완료되는 데 약간의 시간이 걸릴 수 있습니다. 더 빠른 결과를 얻으려면 다운로드 프로세스를 시작하기 전에 더 구체적인 필터 또는 더 짧은 시간 범위를 사용하여 결과를 좁히십시오.

  3. 다운로드가 완료되면 파일을 열어 지정한 이벤트를 확인합니다.

  4. 다운로드를 취소하려면 다운로드 취소를 선택합니다.

AWS Config에서 참조되는 리소스 보기

AWS Config는 구성 세부 정보, 관계 및 AWS 리소스에 대한 변경 사항을 기록합니다.

Resources Referenced(참조 리소스) 창에서 Config 타임라인 열의 
                    AWS Config timeline icon
                를 선택하여 AWS Config 콘솔의 리소스를 봅니다.


                    AWS Config timeline
                아이콘이 회색으로 표시되면 AWS Config가 설정되어 있지 않거나 리소스 유형이 기록되지 않은 상태입니다. 서비스를 설정하거나 해당 리소스 유형의 기록을 시작하려면 아이콘을 선택하여 AWS Config 콘솔로 이동합니다. 자세한 내용은 AWS Config Developer Guide콘솔을 사용하여 AWS Config 설정 단원을 참조하십시오.

[Link not available]이 열에 나타나지 않으면 다음과 같은 이유 중 하나로 인해 리소스를 볼 수 없습니다.

  • AWS Config가 리소스 유형을 지원하지 않습니다. 자세한 내용은 AWS Config Developer Guide지원되는 리소스, 구성 항목 및 관계를 참조하십시오.

  • AWS Config에 최근 리소스 유형에 대한 지원이 추가되었지만 아직 CloudTrail 콘솔에서는 사용할 수 없습니다. AWS Config 콘솔에서 리소스를 조회하여 리소스에 대한 타임라인을 볼 수 있습니다.

  • 리소스가 다른 AWS 계정에 속해 있습니다.

  • 리소스가 관리형 IAM 정책 등 다른 AWS 서비스에 속해 있습니다.

  • 리소스가 생성된 다음 즉시 삭제되었습니다.

  • 리소스가 최근에 생성되었거나 업데이트되었습니다.

  1. IAM 리소스를 기록하도록 AWS Config를 구성합니다.

  2. IAM 사용자인 Bob-user를 생성합니다. Event history(이벤트 기록) 페이지에 CreateUser 이벤트와 Bob-user가 IAM 리소스로 표시됩니다. AWS Config 아이콘을 선택하여 AWS Config 타임라인에서 이 IAM 리소스를 볼 수 있습니다.

  3. 사용자 이름을 Bob-admin으로 업데이트합니다.

  4. Event history(이벤트 기록) 페이지에 UpdateUser 이벤트와 Bob-admin이 업데이트된 IAM 리소스로 표시됩니다.

  5. 아이콘을 선택하여 타임라인에서 Bob-admin IAM 리소스를 볼 수 있습니다. 그러나 리소스 이름이 변경되었으므로 Bob-user에 대한 아이콘을 선택할 수 없습니다. AWS Config는 이제 업데이트된 리소스를 기록합니다.

AWS Config 콘솔에서 리소스를 볼 수 있도록 사용자에게 읽기 전용 권한을 부여하려면 CloudTrail 콘솔에서 AWS Config 정보를 볼 수 있는 권한 부여 섹션을 참조하십시오.

AWS Config에 대한 자세한 내용은 AWS Config Developer Guide 단원을 참조하십시오.