CloudTrail 콘솔에서 CloudTrail Insights 이벤트 보기 - AWS CloudTrail

CloudTrail 콘솔에서 CloudTrail Insights 이벤트 보기

추적에서 CloudTrail Insights 이벤트를 사용 설정한 후 CloudTrail이 비정상적인 API 혹은 오류율 활동을 감지하면 CloudTrail은 Insights 이벤트를 생성하여 AWS Management Console의 [대시보드(Dashboard)] 및 [인사이트(Insights)] 페이지에 표시합니다. 콘솔에서 Insights 이벤트를 확인하고 비정상적인 활동의 문제를 해결할 수 있습니다. 가장 최근 90일간의 Insights 이벤트가 콘솔에 표시됩니다. AWS CloudTrail 콘솔을 사용하여 Insights 이벤트를 다운로드할 수도 있습니다. AWS SDK 또는 AWS Command Line Interface을 사용하여 프로그래밍 방법으로 이벤트를 확인합니다. CloudTrail Insights 이벤트에 대한 자세한 내용은 이 설명서의 추적에 대한 Insights 이벤트 로깅 단원을 참조하세요.

인사이트 이벤트가 로깅되고 나면 이벤트가 90일 동안 Insights(인사이트) 페이지에 표시됩니다. Insights(인사이트) 페이지에서 이벤트를 수동으로 삭제할 수 없습니다. CloudTrail Insights를 사용하려면 먼저, 추적을 생성해야 하므로 추적 설정에 구성된 S3 버킷에 Insights 이벤트를 저장하는 한 추적에 로그된 해당 Insights 이벤트를 볼 수 있습니다.

Amazon CloudWatch Logs를 사용하여 추적 로그를 모니터링하고 특정 Insights 이벤트 활동이 발생할 때 알림을 받을 수 있습니다. 자세한 내용은 섹션을 참조하세요Amazon CloudWatch Logs로 CloudTrail 로그 파일 모니터링

Insights 이벤트를 보려면

CloudTrail Insights 이벤트는 콘솔에서 Insights 이벤트를 볼 수 있도록 추적에서 사용 설정해야 합니다. 비정상적인 활동이 감지된 경우 CloudTrail이 첫 번째 Insights 이벤트를 전달하는 데 최대 36시간이 걸립니다.

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/cloudtrail/home/에서 CloudTrail 콘솔을 엽니다.

  2. 탐색 창에서 [대시보드(Dashboard)]를 선택하여 가장 최근의 Insights 이벤트 5개를 확인하거나 [인사이트(Insights)]를 선택하여 최근 90일 동안 계정에 로그된 모든 Insights 이벤트를 확인합니다.

    [인사이트(Insights)] 페이지에서는 이벤트 API 소스, 이벤트 이름, 이벤트 ID를 비롯한 조건을 기준으로 Insights 이벤트를 필터링하고 표시되는 이벤트를 특정 시간 범위 내에 발생한 이벤트로 제한할 수 있습니다. Insights 이벤트 필터링에 대한 자세한 내용은 Insights 이벤트 필터링 단원을 참조하세요.

Insights 이벤트 필터링

Insights(인사이트)의 기본 이벤트 표시는 역연대순으로 이벤트를 표시합니다. 이벤트 시작 시간별로 정렬된 최신 Insights 이벤트가 맨 위에 있습니다. 다음 목록에서는 사용 가능한 속성에 대해 설명합니다. 처음 세 속성인 이벤트 이름(Event name), 이벤트 소스(Event source), 및 이벤트 ID(Event ID)에 대해 필터링할 수 있습니다.


                CloudTrail Insights 이벤트 목록 필터입니다.
이벤트 이름

이벤트, 일반적으로 비정상적인 활동 수준이 기록된 AWS API의 이름입니다.

이벤트 소스

AWS 또는 iam.amazonaws.com 등 요청이 이루어진 s3.amazonaws.com 서비스입니다. [Event source] 필터를 선택한 후 이벤트 소스 목록을 스크롤할 수 있습니다.

이벤트 ID

인사이트 이벤트의 ID입니다. 이벤트 ID는 [인사이트(Insights)] 페이지 테이블에 표시되지 않지만 Insights 이벤트를 필터링할 수 있는 속성입니다. Insights 이벤트를 생성하기 위해 분석된 관리 이벤트의 이벤트 ID는 Insights 이벤트의 이벤트 ID와 다릅니다.

이벤트 시작 시간

비정상적인 활동이 기록된 첫 번째 분으로 측정된 Insights 이벤트의 시작 시간입니다. 이 속성은 [인사이트(Insights)] 테이블에 표시됩니다. 그러나 콘솔에서 이벤트 시작 시간을 필터링할 수 없습니다.

기준 평균

API 호출률 또는 오류율 활동의 일반적인 패턴입니다. 기준 평균은 Insights 이벤트가 시작되기 전 7일 동안 계산됩니다. 기준 기간(CloudTrail이 API에 대한 정상 활동을 측정하는 기간) 값은 약 7일이지만 CloudTrail이 기준 기간을 정수 일로 반올림하므로 정확한 기준 기간은 달라질 수 있습니다.

Insight 평균

API에 대한 평균 호출 수 또는 Insights 이벤트를 트리거한 API 호출에 대해 반환된 특정 오류의 평균 수입니다. 시작 이벤트에 대한 CloudTrail Insights 평균은 Insights 이벤트를 트리거한 발생 비율입니다. 일반적으로 이것은 비정상적인 활동의 첫 번째 분입니다. 종료 이벤트에 대한 Insights 평균은 시작 Insights 이벤트와 종료 Insights 이벤트 사이의 비정상적인 활동 기간 동안 발생하는 비율입니다.

요율 변경

백분율로 측정된 기준 평균(Baseline average)Insight 평균(Insight average)의 값 간의 차이입니다. 예를 들어, 발생하는 AccessDenied 오류의 기준 평균이 1.0이고 Insight 평균이 3.0인 경우 요율 변경은 300%입니다. 기준 평균을 초과하는 Insight 평균의 요율 변경은 값 옆에 위쪽 화살표가 표시합니다. 활동이 기준 평균보다 낮기 때문에 Insights 이벤트가 로그된 경우 요율 변경(Rate change)은 백분율 옆에 아래쪽 화살표를 표시합니다.

선택한 속성 또는 시간에 대해 로깅된 이벤트가 없는 경우 결과 목록이 비어 있습니다. 시간 범위 이외에 속성 필터 하나만 적용할 수 있습니다. 다른 속성 필터를 선택하는 경우 지정된 시간 범위가 유지됩니다.

다음 단계는 속성을 기준으로 필터링하는 방법을 설명합니다.

속성을 기준으로 필터링하려면
  1. 속성을 기준으로 결과를 필터링하려면 드롭다운 메뉴에서 조회 속성을 선택한 다음, [조회 값 입력(Enter a lookup value)] 상자에 값을 입력하거나 선택합니다.

  2. 속성 필터를 제거하려면 속성 필터 상자의 오른쪽에 있는 X를 선택합니다.

다음 단계는 시작/종료 날짜 및 시간을 기준으로 필터링하는 방법을 설명합니다.

시작/종료 날짜 및 시간을 기준으로 필터링하려면
  1. 확인하려는 이벤트의 시간 범위를 좁히려면 테이블 상단의 기간 막대에서 시간 범위를 선택합니다. 사전 설정된 시간 범위로는 30분, 1시간, 3시간 또는 12시간이 있습니다. 사용자 지정 시간 범위를 지정하려면 [사용자 지정(Custom)]을 선택합니다.

  2. 다음 탭 중 하나를 선택합니다.

    • [절대(Absolute)] - 특정 시간을 선택할 수 있습니다. 다음 단계로 이동합니다.

    • [선택한 이벤트에 상대적(Relative to selected event)] - 기본값으로 선택됩니다. Insights 이벤트의 시작 시간을 기준으로 기간을 선택할 수 있습니다. 4단계로 이동합니다.

  3. 절대 시간 범위를 설정하려면 다음을 수행합니다.

    1. [절대(Absolute)] 탭에서 시간 범위를 시작할 날짜를 선택합니다. 선택한 날짜의 시작 시간을 입력합니다. 날짜를 수동으로 입력하려면 yyyy/mm/dd 형식으로 날짜를 입력합니다. 시작 및 종료 시간은 24시간제를 사용하며 값은 hh:mm:ss 형식이어야 합니다. 예를 들어 오후 6시 30분의 시작 시간을 나타내려면 18:30:00을 입력합니다.

    2. 달력에서 범위의 종료 날짜를 선택하거나 달력 아래에서 종료 날짜 및 시간을 지정합니다. 적용을 선택합니다.

  4. 선택한 이벤트에 상대적 시간 범위를 설정하려면 다음을 수행합니다.

    1. Insights 이벤트의 시작 시간을 기준으로 사전 설정된 기간을 선택합니다. 사전 설정된 값은 분, 시간, 일 또는 주 단위로 지정 가능합니다. 최대 상대 기간은 12주입니다.

    2. 필요한 경우 사전 설정 아래의 상자에서 사전 설정 값을 사용자 지정합니다. 필요한 경우 [지우기(Clear)]를 선택하여 변경 사항을 재설정합니다. 원하는 상대 시간을 설정했으면 [적용(Apply)]을 선택합니다.

  5. 에서 요일을 선택하고 시간 범위의 끝으로 사용할 시간을 지정합니다. 적용을 선택합니다.

  6. 시간 범위 필터를 제거하려면 시간 범위 상자의 오른쪽에 있는 달력 아이콘을 선택한 다음 제거를 선택합니다.

Insights 이벤트 세부 정보 보기

  1. 결과 목록에서 인사이트 이벤트를 선택하여 세부 정보를 표시합니다. 인사이트 이벤트의 세부 정보 페이지에는 비정상적인 활동 일정 그래프가 표시됩니다.

    
                        Insights 이벤트로 로그된 비정상적인 API 활동을 보여 주는 CloudTrail Insights 세부 정보 페이지입니다.
  2. 그래프에서 각 Insights 이벤트의 시작 시간 및 지속 기간을 표시하려면 강조 표시된 밴드 위로 마우스를 가져갑니다.

    
                        인사이트 이벤트 위로 마우스를 가져간 후 표시되는 인사이트 이벤트 통계입니다.

    다음 정보는 그래프의 추가 정보(Additional information) 영역에 표시됩니다.

    • [인사이트 유형(Insight type)]. API 호출 속도 또는 API 오류율이 될 수 있습니다.

    • 트리거 [CloudTrail 이벤트(Cloudtrail events)] 탭에 대한 링크로, 비정상적인 활동이 발생했는지 확인하기 위해 분석된 관리 이벤트를 나열합니다.

    • 분당 API 호출(API calls per minute

      • 기준 평균(Baseline average) - 계정의 특정 리전에서 약 7일 이내에 측정된 Insights 이벤트가 로그된 API의 일반적인 분당 발생 비율입니다.

      • 인사이트 평균(Insights average) - 인사이트 이벤트를 트리거한 이 API에 대한 분당 발생 비율입니다. 시작 이벤트의 CloudTrail Insights 평균은 Insights 이벤트를 트리거한 API의 분당 호출 또는 오류의 비율입니다. 일반적으로 이것은 비정상적인 활동의 첫 번째 분입니다. 종료 이벤트의 Insights 평균은 시작 Insights 이벤트와 종료 Insights 이벤트 사이의 비정상적인 활동 기간 동안 분당 API 호출 또는 오류의 비율입니다.

    • [이벤트 소스(Event source)]. 비정상적인 수의 API 호출 또는 오류가 로그된 AWS 서비스 엔드포인트입니다. 앞의 이미지에서 소스는 Amazon EC2의 서비스 엔드포인트인 ec2.amazonaws.com입니다.

    • 이벤트 ID

      • 시작 이벤트 ID - 비정상적인 활동 시작 시 로그된 Insights 이벤트의 ID입니다.

      • 종료 이벤트 ID - 비정상적인 활동 종료 시 로그된 Insights 이벤트의 ID입니다.

      • 공유 이벤트 ID - Insights 이벤트에서 공유 이벤트 ID는 Insights 이벤트의 시작 및 종료 쌍을 고유하게 식별하기 위해 CloudTrail Insights에서 생성되는 GUID입니다. 공유 이벤트 ID는 시작 Insights 이벤트와 종료 Insights 이벤트 간에 공통으로 두 이벤트 간의 상관 관계를 생성하여 비정상적인 활동을 고유하게 식별하는 데 도움이 됩니다.

  3. 사용자 자격 증명, 사용자 에이전트, API 호출율 Insights 이벤트, 비정상적인 활동 및 기준 활동과 관련된 및 오류 코드에 대한 정보를 보려면 [속성(Attributions)] 탭을 선택합니다. 최대 5개의 사용자 자격 증명, 5개의 사용자 에이전트 및 5개의 오류 코드가 [속성(Attributions)] 탭의 테이블에 표시되며, 활동 수의 평균을 기준으로 가장 높은 것에서 가장 낮은 것까지 내림차순으로 정렬됩니다. [속성(Attributions)] 탭에 대한 자세한 내용은 이 설명서의 속성(Attributions) 탭CloudTrail Insights insightDetails 요소 단원을 참조하세요.

  4. [CloudTrail 이벤트(CloudTrail events)] 탭에서는 CloudTrail이 분석한 관련 이벤트를 확인하여 비정상적인 활동이 발생했는지 파악할 수 있습니다. 기본적으로 관련 API의 이름이기도 한 Insights 이벤트 이름에 대해 필터가 이미 적용되어 있습니다. [CloudTrail 이벤트(CloudTrail events)] 탭에는 Insights 이벤트의 시작 시간(- 1분)과 종료 시간(+ 1분) 사이에 발생한 주제 API와 관련된 CloudTrail 관리 이벤트가 표시됩니다.

    그래프에서 다른 Insights 이벤트를 선택하면 [CloudTrail 이벤트(CloudTrail events)] 테이블에 표시되는 이벤트가 변경됩니다. 이러한 이벤트는 인사이트 이벤트의 발생 가능한 원인과 비정상적인 API 활동의 원인을 파악하기 위해 심층 분석을 수행하는 데 도움이 됩니다.

    Insights 이벤트 기간 동안 로그된 모든 CloudTrail 이벤트는 물론 관련 API에 대한 이벤트를 표시하려면 필터를 해제합니다.

  5. Insights 시작 및 종료 이벤트를 JSON 형식으로 보려면 [Insights 이벤트 레코드(Insights event record)] 탭을 선택합니다.

  6. 연결된 [이벤트 소스(Event source)]를 선택하면 해당 이벤트 소스로 필터링된 [인사이트(Insights)] 페이지로 돌아갑니다.

그래프 확대/축소, 이동 및 다운로드

인사이트 이벤트 세부 정보 페이지에서 오른쪽 상단 모서리에 있는 도구 모음을 사용하여 그래프 축을 확대/축소, 이동 및 재설정할 수 있습니다.


                PNG로 다운로드, 확대/축소, 이동, 확대, 축소 및 축 재설정 명령 도구 모음.

왼쪽에서 오른쪽으로 그래프 도구 모음의 명령 단추는 다음을 수행합니다.

  • 플롯을 PNG로 다운로드 - 상세 정보 페이지에 표시된 그래프 이미지를 다운로드하여 PNG 형식으로 저장합니다.

  • 확대/축소 - 그래프에서 확대해서 더 자세히 보고 싶은 영역을 드래그하여 선택합니다.

  • 이동 - 그래프를 이동하여 인접한 날짜 또는 시간을 확인합니다.

  • 축 재설정 - 그래프 축을 원래 상태로 다시 변경하여 확대/축소 및 이동 설정을 지웁니다.

그래프 시간 범위 설정 변경

그래프의 오른쪽 상단 모서리에 있는 설정을 선택하여 그래프에 표시되는 시간 범위(x 축에 표시되는 이벤트의 선택된 기간)를 변경할 수 있습니다.


                Insights 이벤트의 시간 범위 컨트롤입니다.

그래프에 표시되는 기본 시간 범위는 선택한 인사이트 이벤트의 지속 시간에 따라 다릅니다.

인사이트 이벤트 기간 기본 시간 범위

4시간 미만

3h(3시간)

4 ~ 12시간

12h(12시간)

12 ~ 24시간

1d(1일)

24 ~ 72시간

3d(3일)

72시간 이상

1w(1주일)

5분, 30분, 1시간, 3시간, 12시간의 사전 설정 또는 [사용자 지정(Custom)]을 선택할 수 있습니다. 다음 이미지는 [사용자 지정(Custom)] 설정에서 선택할 수 있는 [선택한 이벤트에 상대적(Relative to selected event)] 기간을 보여 줍니다. 상대 기간은 인사이트 이벤트 세부 정보 페이지에 표시되는 선택한 인사이트 이벤트의 시작과 종료를 아우르는 대략적인 기간입니다.


                Insights 그래프 시간 범위 사용자 지정 구성, [상대적(Relative)] 시간

선택한 사전 설정을 사용자 지정하려면 사전 설정 아래의 상자에서 숫자와 시간 단위를 지정합니다.

정확한 날짜 및 시간 범위를 지정하려면 절대 탭을 선택합니다. 절대 날짜 및 시간 범위를 설정하는 경우 시작 및 종료 시간이 필수입니다. 시간을 설정하는 방법에 대한 자세한 내용은 이 주제의 Insights 이벤트 필터링 단원을 참조하세요.


                Insights 그래프 시간 범위 사용자 지정 구성, 절대 시간

Insights 이벤트 다운로드

기록이 완료된 인사이트 이벤트 기록을 CSV 또는 JSON 형식의 파일로 다운로드할 수 있습니다. 필터 및 시간 범위를 사용하여 다운로드하는 파일의 크기를 줄입니다.

참고

CloudTrail 이벤트 기록 파일은 개별 사용자가 구성할 수 있는 정보(예: 리소스 이름)가 포함된 데이터 파일입니다. 일부 데이터는 이 데이터를 읽고 분석하는 데 사용되는 프로그램에서 명령으로 해석될 수 있습니다(CSV 주입). 예를 들어 CloudTrail 이벤트를 CSV로 내보내고 스프레드시트 프로그램으로 가져오면 해당 프로그램에서 보안 문제에 대한 경고가 표시될 수 있습니다. 보안상 가장 좋은 방법은 다운로드한 이벤트 기록 파일에서 링크나 매크로를 비활성화하는 것입니다.

  1. 다운로드하려는 이벤트에 대한 필터 및 시간 범위를 지정합니다. 예를 들어, 이벤트 이름 StartInstances를 지정하고 지난 3일 동안의 활동에 대한 시간 범위를 지정할 수 있습니다.

  2. 이벤트 다운로드(Download events)를 선택한 다음, CSV 다운로드(Download CSV) 또는 JSON 다운로드(Download JSON)를 선택합니다. 파일을 저장할 위치를 선택하라는 메시지가 표시됩니다.

    참고

    다운로드가 완료되는 데 약간의 시간이 걸릴 수 있습니다. 더 빠른 결과를 얻으려면 다운로드 프로세스를 시작하기 전에 더 구체적인 필터 또는 더 짧은 시간 범위를 사용하여 결과를 좁히십시오.

  3. 다운로드가 완료되면 파일을 열어 지정한 이벤트를 확인합니다.

  4. 다운로드를 취소하려면 다운로드 취소를 선택합니다. 다운로드가 완료되기 전에 다운로드를 취소하면 로컬 컴퓨터의 CSV 또는 JSON 파일에 이벤트의 일부만 포함될 수 있습니다.