기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 섹션에서는 명령을 사용하여 Insights 이벤트가 AWS CLI lookup-events 활성화된 추적에 대한 지난 90일간의 Insights 이벤트를 조회하는 방법을 설명합니다. 추적에서 CloudTrail Insights를 활성화하는 방법에 대한 자세한 내용은 섹션을 참조하세요를 사용하여 추적에 대한 Insights 이벤트 로깅 AWS CLI.
참고
lookup-events 명령을 사용하여 이벤트 데이터 스토어에 대한 Insights 이벤트를 조회할 수 없지만, CloudTrail Lake는 Insights 이벤트 데이터 스토어에 대한 여러 샘플 쿼리를 제공합니다. 자세한 내용은 Insights 이벤트에 대한 샘플 쿼리 보기 단원을 참조하십시오.
lookup-events 명령에는 다음과 같은 옵션이 있습니다.
-
--end-time -
--event-category -
--max-results -
--start-time -
--lookup-attributes -
--next-token -
--generate-cli-skeleton -
--cli-input-json
사용에 대한 일반적인 내용은 AWS Command Line Interface 사용 설명서를 AWS Command Line Interface참조하세요.
목차
사전 조건
-
AWS CLI 명령을 실행하려면를 설치해야 합니다 AWS CLI. 자세한 내용은 AWS CLI시작하기를 참조하세요.
-
AWS CLI 버전이 1.6.6보다 큰지 확인합니다. CLI 버전을 확인하려면 명령줄aws --version에서를 실행합니다.
-
AWS CLI 세션의 계정, 리전 및 기본 출력 형식을 설정하려면 aws configure 명령을 사용합니다. 자세한 내용은 AWS 명령줄 인터페이스 구성 단원을 참조하세요.
-
API 호출 속도에 Insights 이벤트를 로깅하려면 추적이
write관리 이벤트를 로깅해야 합니다. API 오류율에 대한 Insights 이벤트를 로깅하려면 추적이read또는write관리 이벤트를 로깅해야 합니다.
참고
CloudTrail AWS CLI 명령은 대/소문자를 구분합니다.
명령줄 도움말 받기
lookup-events에 대한 명령줄 도움말을 보려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events help
Insights 이벤트 조회
최근 Insights 이벤트 10개를 보려면 다음 명령을 입력하세요.
aws cloudtrail lookup-events --event-category insight
반환된 이벤트는 다음 예와 비슷합니다.
{
"NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=",
"Events": [
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:52:00Z",
"awsRegion": "us-east-1",
"eventID": "18378b1e-3653-433d-ba1e-aa11a5958f0c",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "Start",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 1.2
},
"insightDuration": 5,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 1.2
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 1.2
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
},
{
"eventVersion": "1.09",
"eventTime": "2024-12-11T16:53:00Z",
"awsRegion": "us-east-1",
"eventID": "b32f10a0-f039-419a-bad7-e95468930a4f",
"eventType": "AwsCloudTrailInsight",
"recipientAccountId": "888888888888",
"sharedEventID": "fccb064f-dd07-4822-97c0-11115d8b91d4",
"insightDetails": {
"state": "End",
"eventSource": "cloudtrail.amazonaws.com",
"eventName": "DescribeQuery",
"insightType": "ApiErrorRateInsight",
"errorCode": "QueryIdNotFoundException",
"insightContext": {
"statistics": {
"baseline": {
"average": 0
},
"insight": {
"average": 6
},
"insightDuration": 1,
"baselineDuration": 11092
},
"attributions": [
{
"attribute": "userIdentityArn",
"insight": [
{
"value": "arn:aws:sts::888888888888:assumed-role/Admin",
"average": 6
}
],
"baseline": []
},
{
"attribute": "userAgent",
"insight": [
{
"value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"average": 6
}
],
"baseline": []
}
]
}
},
"eventCategory": "Insight"
}
]
} 출력에서 조회 관련 필드에 대한 설명은 이 주제의 조회 출력 필드를 참조하십시오. Insights 이벤트의 필드에 대한 설명은 CloudTrail 레코드 콘텐츠를 참조하십시오.
반환할 Insights 이벤트 수 지정
반환할 이벤트 수를 지정하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --event-category insight --max-results<integer>
의 기본값은 지정되지 않은 <integer>경우 10입니다. 가능한 값은 1에서 50까지입니다. 다음 예제는 하나의 결과를 반환합니다.
aws cloudtrail lookup-events --event-category insight --max-results 1
시간 범위별 Insights 이벤트 조회
지난 90일간의 Insights 이벤트를 조회할 수 있습니다. 시간 범위를 지정하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --event-category insight --start-time<timestamp>--end-time<timestamp>
--start-time 는에서 지정된 시간 또는 이후에 발생하는 Insights 이벤트만 반환UTC되도록 지정합니다. 지정된 시작 시간이 지정된 종료 시간 이후인 경우 오류가 반환됩니다.<timestamp>
--end-time 는에서 지정된 시간 또는 그 이전에 발생하는 Insights 이벤트만 반환UTC되도록 지정합니다. 지정된 종료 시간이 지정된 시작 시간 이전인 경우 오류가 반환됩니다.<timestamp>
기본 시작 시간은 최근 90일 중 데이터가 확인되는 가장 이른 날짜입니다. 기본 종료 시간은 현재 시간과 가장 근접해 발생한 이벤트의 시간입니다.
모든 타임스탬프는에 나와 있습니다UTC.
속성별 Insights 이벤트 조회
속성별로 필터링하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
각 lookup-events 명령에 대한 속성 키-값 페어 하나만 지정할 수 있습니다. 다음은 AttributeKey에서 유효한 인사이트 이벤트 값입니다 . 값 이름은 대/소문자를 구분합니다.
-
EventId -
EventName -
EventSource
AttributeValue의 최대 길이는 2,000자입니다. 다음 문자('_', ' ', ',', '\\n')는 2,000자 제한에 2자로 포함됩니다.
속성 조회 예제
다음 명령 예는 EventName 값이 PutRule인 Insights 이벤트를 반환합니다.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
다음 명령 예는 EventId 값이 b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002인 Insights 이벤트를 반환합니다.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
다음 명령 예는 EventSource 값이 iam.amazonaws.com인 Insights 이벤트를 반환합니다.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
결과의 다음 페이지 지정
lookup-events 명령에서 결과의 다음 페이지를 가져오려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --event-category insight<same parameters as previous command>--next-token=<token>
이 명령에서의 값은 이전 명령 출력의 첫 번째 필드에서 <token> 가져옵니다.
명령에서 --next-token을 사용할 때 이전 명령과 같은 파라미터를 사용해야 합니다. 예를 들어 다음 명령을 실행한다고 가정합니다.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
결과의 다음 페이지를 가져오려면 다음 명령이 아래와 유사합니다.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
파일에서 JSON 입력 가져오기
일부 AWS 서비스의 AWS CLI 에는 두 개의 파라미터 --generate-cli-skeleton 및가 있으며--cli-input-json, 이를 사용하여 JSON 템플릿을 생성할 수 있습니다. 템플릿을 수정하고 --cli-input-json 파라미터에 대한 입력으로 사용할 수 있습니다. 이 단원에서는 aws cloudtrail lookup-events로 이러한 파라미터를 사용하는 방법을 설명합니다. 자세한 내용은 AWS CLI skeletons and input files를 참조하세요.
파일에서 JSON 입력을 가져와 Insights 이벤트를 조회하려면
-
다음 예와 같이
--generate-cli-skeleton출력을 파일로 리디렉션하여lookup-events와 함께 사용할 입력 템플릿을 생성합니다.aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt생성된 템플릿 파일(이 경우 LookupEvents.txt)은 다음과 같습니다.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" } -
텍스트 편집기를 사용하여 필요에 JSON 따라를 수정합니다. JSON 입력에는 지정된 값만 포함되어야 합니다.
중요
템플릿을 사용하기 전에 템플릿에서 모든 비어 있는 값이나 null 값을 제거해야 합니다.
다음 예제에서는 반환할 최대 결과 수와 시간 범위를 지정합니다.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 } -
편집된 파일을 입력으로 사용하려면 다음 예제와
--cli-input-json file://<filename>같이 구문을 사용합니다.aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
참고
--cli-input-json과 동일한 명령줄에서 다른 인수를 사용할 수 있습니다.
조회 출력 필드
- 이벤트
-
조회 속성과 지정된 시간 범위를 기반으로 한 조회 이벤트 목록입니다. 이벤트 목록은 최신 이벤트부터 먼저 나열되는 시간별로 정렬됩니다. 각 항목에는 조회 요청에 대한 정보와 검색된 CloudTrail 이벤트의 문자열 표현이 포함됩니다.
다음 항목은 각 조회 이벤트의 필드를 설명합니다.
- CloudTrailEvent
-
반환된 이벤트의 객체 표현을 포함하는 JSON 문자열입니다. 반환된 각 요소에 관한 정보는 레코드 본문 콘텐츠를 참조하십시오.
- EventId
-
반환된 이벤트GUID의를 포함하는 문자열입니다.
- EventName
-
반환된 이벤트 이름을 포함한 문자열입니다.
- EventSource
-
요청이 수행된 AWS 서비스입니다.
- EventTime
-
이벤트의 UNIX 시간 형식 날짜 및 시간입니다.
- 리소스
-
반환된 이벤트가 참조하는 리소스 목록입니다. 각 리소스 항목은 리소스 유형 및 리소스 이름을 지정합니다.
- ResourceName
-
이벤트가 참조하는 리소스 이름을 포함하는 문자열입니다.
- ResourceType
-
이벤트가 참조하는 리소스 유형을 포함하는 문자열입니다. 리소스 유형을 결정할 수 없는 경우 null이 반환됩니다.
- 사용자 이름
-
반환된 이벤트에 대한 계정 사용자 이름을 포함하는 문자열입니다.
- NextToken
-
이전
lookup-events명령에서 결과의 다음 페이지를 가져오는 문자열입니다. 토큰을 사용하기 위해 파라미터는 원래 명령의 것과 같아야 합니다. 출력에NextToken항목이 나타나지 않는 경우 더 반환할 결과가 없는 것입니다.
CloudTrail Insights 이벤트에 대한 자세한 내용은이 안내서CloudTrail Insights 작업의 섹션을 참조하세요.
