최근 보기 CloudTrail 의 관리 이벤트 CloudTrail 콘솔

를 사용할 수 있습니다.이벤트 기록에 있는 페이지 CloudTrail 콘솔을 사용하면 최근 90일간의 관리 이벤트를 로그할 수 있습니다.AWS 리전. 또한 해당 정보가 포함된 파일이나 선택한 필터 및 시간 범위를 기반으로 하는 정보의 하위 집합을 다운로드할 수도 있습니다. 보기를 사용자 지정할 수 있습니다.이벤트 기록각 페이지에 표시할 이벤트 수를 선택하고 콘솔에 표시할 열을 선택합니다. 또한 특정 서비스에 대해 이용 가능한 리소스 유형별로 이벤트를 조회 및 필터링할 수 있습니다. 에서 이벤트를 최대 5개까지 선택할 수 있습니다.이벤트 기록세부 정보를 비교해 보세요. side-by-side.

[이벤트 기록(Event history)]에서는 데이터 이벤트를 표시하지 않습니다. 데이터 이벤트를 보려면 다음을 생성합니다.이벤트 데이터 저장소또는 a트레일.

90일이 지난 후에는 이벤트가 이벤트 기록Event history)에 더 이상 표시되지 않습니다. 이벤트 기록(Event history)에서 수동 삭제할 수 없습니다.

구체적인 방법에 대해 자세히 알아볼 수 있습니다. CloudTrail 는 해당 서비스 설명서를 참조하여 특정 서비스에 대한 이벤트를 로그할 수 있습니다. 자세한 정보는 AWS에 대한 서비스 주제 CloudTrail을 참조하세요.

참고

활동 및 이벤트에 대한 지속적인 기록을 보려면 다음을 생성하십시오.이벤트 데이터 저장소또는 a트레일.

이벤트 데이터 저장소를 생성하면 다음 기능을 활용할 수 있습니다.

• 수집할 이벤트 데이터 저장소를 만들 수 있습니다. CloudTrail 관리 및 데이터 이벤트,AWS Config구성 항목,AWS Audit Manager증거, 또는 비AWS통합에서 발생하는 이벤트 이벤트 데이터는 최대 7년 또는 2557일 동안 이벤트 데이터 스토어에 보관할 수 있습니다. 기본적으로 이벤트 데이터는 최대 기간(2557일) 동안 보존됩니다. 자세한 내용은 AWS CloudTrail Lake 작업 및 이벤트 데이터 스토어 만들기 단원을 참조하세요.

• 내 데이터를 분석하세요AWS를 사용한 서비스 활동 CloudTrail 레이크 쿼리. CloudTrail Lake 쿼리는 단순한 키 및 값 조회보다 더 심층적이고 사용자 지정이 가능한 이벤트 보기를 제공합니다.이벤트 기록, 또는 실행LookupEvents. Event history(이벤트 기록) 검색은 하나의 AWS 계정 계정으로 제한되며, 하나의 AWS 리전에서의 이벤트만 반환하고 여러 속성을 쿼리할 수 없습니다. 이와는 대조적으로 CloudTrailLake 사용자는 여러 이벤트 필드에서 복잡한 SQL 쿼리를 실행할 수 있습니다. 자세한 내용은 쿼리 생성 또는 편집 및 CloudTrail 콘솔에서 샘플 쿼리 보기 단원을 참조하세요.

• 보기 CloudTrail Lake 대시보드를 사용하면 이벤트 데이터 저장소의 데이터를 시각할 수 있습니다. 자세한 정보는 Lake 대시보드 보기을 참조하세요.

• 이벤트 데이터 저장소를 사용하면 제외할 수 있습니다.AWS Key Management Service(AWS KMS) 또는 아마존 관계형 데이터베이스 서비스 데이터 API 이벤트AWS KMS작업 (예:Encrypt,Decrypt, 그리고GenerateDataKey일반적으로 대규모 (99% 이상) 의 이벤트를 생성합니다. 이벤트는 제외할 수 없습니다.이벤트 기록.

추적을 사용하면 다음과 같은 통합 기능을 활용할 수 있습니다.

• 트레일을 사용하면 기록할 수 있습니다. CloudTrail Insights 이벤트를 사용하면 다음과 관련된 비정상적인 활동을 식별하고 이에 대응하는 데 도움이 되는 Csights 이벤트를 구성합니다.write관리 API 호출입니다. 자세한 정보는 추적에 대한 Insights 이벤트 로깅을 참조하세요.

• Amazon Athena에서 쿼리를 사용하여 AWS 서비스 활동을 분석할 수 있습니다. 자세한 내용을 알아보려면 다음 섹션을 참조하세요.에 대한 테이블 생성 CloudTrail 로그인 CloudTrail 콘솔에서Amazon Athena 사용자 가이드또는 에서 직접 테이블을 생성하는 옵션을 선택하십시오.이벤트 기록에서 CloudTrail 콘솔.

• 추적을 모니터링하고 Amazon에서 특정 활동이 발생하면 알림을 받으십시오. CloudWatch 로그. 자세한 정보는 모니터링 CloudTrail 아마존의 로그 파일 CloudWatch 로그을 참조하세요.

• 추적을 사용하면 AWS Key Management Service(AWS KMS) 또는 Amazon Relational Database Service Data API 이벤트를 제외할 수 있습니다. Encrypt, Decrypt, GenerateDataKey와 같은 AWS KMS 작업은 일반적으로 대량의 이벤트(99% 이상)를 생성합니다. 이벤트는 제외할 수 없습니다.이벤트 기록.

최근 내용을 보려면 CloudTrail 콘솔의 이벤트

1. 에 로그인AWS Management Console그리고 를 여십시오 CloudTrail 콘솔 매트https://console.aws.amazon.com/cloudtrail/home/.

2. 탐색 창에서 Event history(이벤트 내역)를 선택합니다.

   필터링된 이벤트 목록이 최신 이벤트 순으로 콘텐츠 창에 나타납니다. 더 많은 이벤트를 보려면 아래로 스크롤하십시오.

3. 이벤트를 비교하려면 [이벤트 기록(Event history)] 테이블의 왼쪽 여백에 있는 확인란을 선택하여 최대 5개의 이벤트를 선택합니다. 선택한 이벤트의 세부 정보 보기 side-by-side 에서이벤트 세부 정보 비교표.

이벤트 기록(Event history)의 이벤트 기본 표시는 속성 필터를 사용하여 표시된 이벤트 목록에서 읽기 전용 이벤트를 제외합니다. 이 필터를 제거하거나 다른 필터를 적용하려면 필터 설정을 변경합니다. 자세한 정보는 필터링 CloudTrail 행사을 참조하세요.

목차

• 페이지 간 이동
• 디스플레이 커스터마이징
• 필터링 CloudTrail 행사
• 이벤트 세부 정보 보기
• 이벤트 다운로드
• AWS Config에서 참조된 리소스 보기

페이지 간 이동

에서 페이지 사이를 탐색할 수 있습니다.이벤트 기록보려는 페이지를 선택합니다. 에서 다음 페이지와 이전 페이지를 볼 수 있습니다.이벤트 기록.

고르세요<이전 페이지를 보려면이벤트 기록.

고르세요>다음 페이지를 보려면이벤트 기록.

디스플레이 커스터마이징

의 보기를 사용자 지정할 수 있습니다.이벤트 기록에서 CloudTrail 다음 기본 설정 중에서 선택하여 콘솔을 실행하십시오.

• 페이지 크기- 각 페이지에 이벤트를 10개, 25개 또는 50개 표시할지 선택합니다.

• 줄 바꿈- 각 이벤트의 모든 텍스트를 볼 수 있도록 텍스트를 줄 바꿈합니다.

• 줄무늬 행- 표의 다른 행을 모두 음영 처리합니다.

• 이벤트 시간 표시- 이벤트 시간을 UTC로 표시할지 현지 시간대로 표시할지 선택합니다.

• 보이는 열 선택- 표시할 열을 선택합니다. 기본적으로 표시되는 열은 다음과 같습니다.

  • Event name

  • 이벤트 시간

  • 사용자 이름

  • 이벤트 소스

  • 리소스 유형

  • 리소스 이름

  참고

  칼럼의 순서를 변경하거나 이벤트 기록(Event history)에서 이벤트를 수동 삭제할 수 없습니다.

디스플레이를 사용자 지정하려면

1. 에 로그인AWS Management Console그리고 를 여십시오 CloudTrail 콘솔 매트https://console.aws.amazon.com/cloudtrail/.

2. 탐색 창에서 Event history(이벤트 내역)를 선택합니다.

3. 기어 모양 아이콘을 선택합니다.

4. 대상페이지 크기페이지에 표시할 이벤트 수를 선택합니다.

5. 선택랩 라인각 이벤트의 모든 텍스트를 보려면

6. 선택하세요줄무늬 행테이블의 다른 모든 행을 셰이할 수 있습니다.

7. ... 용이벤트 시간 표시, 이벤트 시간을 UTC로 표시할지 아니면 현지 시간대로 표시할지 선택합니다. 기본적으로 UTC가 선택됩니다.

8. [표시할 열 선택(Select visible columns)]에서 표시할 열을 선택합니다. 표시하지 않으려는 열은 비활성화합니다.

9. 변경을 마쳤으면 다음을 선택합니다.확인.

필터링 CloudTrail 행사

이벤트 기록(Event history)의 이벤트 기본 표시는 속성 필터를 사용하여 표시된 이벤트 목록에서 읽기 전용 이벤트를 제외합니다. 이 속성 필터는 이름이 [읽기 전용(Read-only)]이며 false로 설정됩니다. 이 필터를 제거하면 읽기 및 쓰기 이벤트를 모두 표시할 수 있습니다. [읽기(Read)] 이벤트만 보려면 필터 값을 true로 변경하면 됩니다. 다른 속성을 기준으로 이벤트를 필터링할 수도 있습니다. 시간 범위를 기준으로 추가로 필터링할 수 있습니다.

참고

속성 필터와 시간 범위 필터는 하나만 적용할 수 있습니다. 속성 필터는 여러 개 적용할 수 없습니다.

AWS 액세스 키

요청을 서명하는 데 사용된 AWS 액세스 키 ID입니다. 임시 보안 자격 증명으로 요청이 이루어진 경우 임시 자격 증명의 액세스 키 ID가 됩니다.

이벤트 ID

The CloudTrail 이벤트 ID입니다. 각 이벤트에는 고유 ID가 있습니다.

이벤트 이름

이벤트의 이름입니다. 예를 들어 CreatePolicy와 같은 IAM 이벤트 또는 RunInstances와 같은 Amazon EC2 이벤트를 기준으로 필터링할 수 있습니다.

이벤트 소스

iam.amazonaws.com 또는 s3.amazonaws.com 등 요청이 이루어진 AWS 서비스입니다. [Event source] 필터를 선택한 후 이벤트 소스 목록을 스크롤할 수 있습니다.

읽기 전용

이벤트의 읽기 유형입니다. 이벤트는 읽기 이벤트 또는 쓰기 이벤트로 분류됩니다. false로 설정된 경우 표시된 이벤트 목록에 읽기 이벤트가 포함되지 않습니다. 기본적으로 이 속성 필터가 적용되고 값은 false로 설정됩니다.

리소스 이름

이벤트가 참조하는 리소스의 이름 또는 ID입니다. 예를 들어 리소스 이름은 “일 수 있습니다.auto-scaling-test-group“Auto Scaling 그룹의 경우 “i-12345678910" (EC2 인스턴스의 경우)

리소스 유형

이벤트가 참조하는 리소스의 유형입니다. 예를 들어, 리소스 유형은 EC2의 경우에는 Instance가 될 수 있으며 RDS의 경우에는 DBInstance가 될 수 있습니다. 리소스 유형은 각 AWS 서비스에 대해 다릅니다.

시간 범위

이벤트를 필터링하려는 시간 범위입니다. 다음 중 하나를 선택할 수 있습니다.상대 범위또는절대 범위. 지난 90일간의 이벤트를 필터링할 수 있습니다.

사용자 이름

이벤트에서 참조한 아이덴티티. 예를 들어 사용자, 역할 이름 또는 서비스 역할을 할 수 있습니다.

선택한 속성 또는 시간에 대해 로깅된 이벤트가 없는 경우 결과 목록이 비어 있습니다. 시간 범위 이외에 속성 필터 하나만 적용할 수 있습니다. 다른 속성 필터를 선택하는 경우 지정된 시간 범위가 유지됩니다.

다음 단계는 속성을 기준으로 필터링하는 방법을 설명합니다.

속성을 기준으로 필터링하려면

1. 속성을 기준으로 결과를 필터링하려면 [속성 조회(Lookup attributes)] 드롭다운 목록에서 속성을 선택한 다음, 텍스트 상자에 속성 값을 입력하거나 선택합니다.

2. 속성 필터를 제거하려면 속성 필터 상자의 오른쪽에 있는 X를 선택합니다.

다음 단계는 시작/종료 날짜 및 시간을 기준으로 필터링하는 방법을 설명합니다.

시작/종료 날짜 및 시간을 기준으로 필터링하려면

1. 확인하려는 이벤트의 시간 범위를 좁히려면 시간 범위 막대에서 시간 범위를 선택합니다. 다음 중 하나를 선택할 수 있습니다.상대 범위또는절대 범위.

   고르세요상대 범위사전 설정된 값에서 선택하거나 사용자 지정 범위를 선택합니다. 사전 설정된 값은 30분, 1시간, 12시간 또는 1일입니다. 사용자 지정 시간 범위를 지정하려면 [사용자 지정(Custom)]을 선택합니다.

   선택합니다.절대 범위특정 시작 및 종료 시간을 지정합니다. 현지 시간대 또는 UTC 중에서 선택할 수도 있습니다.

2. 시간 범위 필터를 제거하려면 다음을 선택합니다.지우기 및 삭제시간 범위 표시에서

이벤트 세부 정보 보기

1. 결과 목록에서 이벤트를 선택하여 세부 정보를 표시합니다.

2. 이벤트에서 참조된 리소스는 이벤트 세부 정보 페이지의 [참조된 리소스(Resources referenced)] 테이블에 표시됩니다.

3. 일부 참조된 리소스에는 링크가 있습니다. 해당 링크를 선택하여 해당 리소스의 콘솔을 엽니다.

4. 세부 정보 페이지에서 [이벤트 레코드(Event record)]로 스크롤하여 이벤트 ‘페이로드’라고도 하는 JSON 이벤트 레코드를 확인합니다.

5. 페이지 이동 경로에서 [이벤트 기록(Event history)]을 선택하여 이벤트 세부 정보 페이지를 닫고 [이벤트 기록(Event history)]으로 돌아갑니다.

이벤트 다운로드

기록이 완료된 이벤트 기록을 CSV 또는 JSON 형식의 파일로 다운로드할 수 있습니다. 필터 및 시간 범위를 사용하여 다운로드하는 파일의 크기를 줄입니다.

참고

CloudTrail 이벤트 기록 파일은 개별 사용자가 구성할 수 있는 정보 (예: 리소스 이름) 가 포함된 데이터 파일입니다. 일부 데이터는 이 데이터를 읽고 분석하는 데 사용되는 프로그램에서 명령으로 해석될 수 있습니다(CSV 주입). 예를 들어 다음과 같은 경우 CloudTrail 이벤트는 CSV로 내보낸 후 스프레드시트 프로그램으로 가져오면 해당 프로그램이 보안 문제에 대해 경고할 수 있는 파일입니다. 시스템을 안전하게 보호하기 위해 이 콘텐츠를 비활성화하도록 선택해야 합니다. 다운로드된 이벤트 기록 파일의 링크나 매크로를 항상 비활성화하십시오.

1. [이벤트 기록(Event history)]에서 다운로드하려는 이벤트에 대한 필터 및 시간 범위를 추가합니다. 예를 들어, 이벤트 이름 StartInstances를 지정하고 지난 3일 동안의 활동에 대한 시간 범위를 지정할 수 있습니다.

2. [이벤트 다운로드(Download events)]를 선택한 다음, [CSV로 다운로드(Download as CSV)] 또는 [JSON으로 다운로드(Download as JSON)]를 선택합니다. 다운로드가 즉시 시작됩니다.

   참고

   다운로드가 완료되는 데 약간의 시간이 걸릴 수 있습니다. 더 빠른 결과를 얻으려면 다운로드 프로세스를 시작하기 전에 더 구체적인 필터 또는 더 짧은 시간 범위를 사용하여 결과를 좁히십시오. 다운로드는 취소할 수 있습니다. 다운로드를 취소해도 로컬 컴퓨터에 일부 이벤트 데이터만 포함된 불완전한 다운로드가 생길 수 있습니다. 완전한 이벤트 기록을 다운로드하려면 다운로드를 다시 시작해야 합니다.

3. 다운로드가 완료되면 파일을 열어 지정한 이벤트를 확인합니다.

4. 다운로드를 취소하려면 [취소(Cancel)]를 선택한 다음, [다운로드 취소(Cancel download)]를 선택하여 확인합니다. 다운로드를 다시 시작해야 하는 경우 이전 다운로드의 취소가 완료될 때까지 기다립니다.

AWS Config에서 참조된 리소스 보기

AWS Config는 구성 세부 정보, 관계 및 AWS 리소스에 대한 변경 사항을 기록합니다.

On the 참조된 리소스창에서 선택하세요 에서AWS Config리소스 타임라인에 있는 리소스를 볼 수 있는 열AWS Config콘솔.

만약 아이콘이 회색인AWS Config켜져 있지 않거나 리소스 유형을 기록하지 않습니다. 서비스를 설정하거나 해당 리소스 유형의 기록을 시작하려면 아이콘을 선택하여 AWS Config 콘솔로 이동합니다. 자세한 내용은 AWS Config 개발자 가이드의 콘솔을 사용하여 AWS Config 설정 단원을 참조하세요.

[Link not available]이 열에 나타나지 않으면 다음과 같은 이유 중 하나로 인해 리소스를 볼 수 없습니다.

• AWS Config가 리소스 유형을 지원하지 않습니다. 자세한 내용은 AWS Config 개발자 가이드의 지원되는 리소스, 구성 항목 및 관계 단원을 참조하세요.

• AWS Config최근에 리소스 유형에 대한 지원을 추가했지만 아직 에서 사용할 수 있습니다. CloudTrail 콘솔. AWS Config 콘솔에서 리소스를 조회하여 리소스에 대한 타임라인을 볼 수 있습니다.

• 리소스가 다른 AWS 계정에 속해 있습니다.

• 리소스가 관리형 IAM 정책과 같은 다른 AWS 서비스에 속해 있습니다.

• 리소스가 생성된 다음 즉시 삭제되었습니다.

• 리소스가 최근에 생성되었거나 업데이트되었습니다.

예

1. IAM 리소스를 기록하도록 AWS Config를 구성합니다.

2. IAM 사용자인 Bob-user를 생성합니다. [이벤트 기록(Event history)] 페이지에 CreateUser 이벤트 및 Bob-user가 IAM 리소스로 표시됩니다. AWS Config 아이콘을 선택하면 AWS Config 타임라인에서 이 IAM 리소스를 볼 수 있습니다.

3. 사용자 이름을 Bob-admin으로 업데이트합니다.

4. [이벤트 기록(Event history)] 페이지에 UpdateUser 이벤트 및 Bob-admin이 업데이트된 IAM 리소스로 표시됩니다.

5. 아이콘을 선택하면 타임라인에서 Bob-admin IAM 리소스를 볼 수 있습니다. 그러나 리소스 이름이 변경되었으므로 Bob-user에 대한 아이콘은 선택할 수 없습니다. 이제 AWS Config가 업데이트된 리소스를 기록합니다.

AWS Config 콘솔에서 리소스를 볼 수 있도록 사용자에게 읽기 전용 권한을 부여하려면 보기 권한 부여AWS Config에 대한 정보 CloudTrail 콘솔 단원을 참조하세요.

AWS Config에 대한 자세한 내용은 AWS Config개발자 안내서 단원을 참조하세요.