로그 수집 및 처리 - AWS에서 GDPR 규정 준수 탐색

로그 수집 및 처리

CloudWatch Logs를 사용하면 Amazon EC2 인스턴스, AWS CloudTrail, Route 53 및 기타 소스의 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다. CloudWatch Logs에 로그를 게시하는 AWS 서비스 설명서 페이지를 참조하세요.

로그 정보에는 예를 들어 다음과 같은 정보가 포함됩니다.

  • Amazon S3 객체에 대한 액세스의 세분화된 로깅

  • VPC 흐름 로그를 통한 네트워크의 흐름에 대한 자세한 정보

  • 규칙 기반 구성 확인 및 AWS Config 규칙을 사용한 작업

  • CloudFront의 웹 애플리케이션 방화벽(WAF) 기능을 사용하여 애플리케이션에 대한 HTTP 액세스 필터링 및 모니터링

Amazon EC2 인스턴스 또는 온프레미스 서버에 CloudWatch 에이전트를 설치하여 사용자 지정 애플리케이션 지표와 로그도 CloudWatch Logs에 게시할 수 있습니다.

CloudWatch Logs Insights를 사용하여 로그를 대화식으로 분석하고 쿼리를 수행하여 운영 문제에 더 효율적이고 효과적으로 대응할 수 있습니다.

CloudWatch Logs는 구독 필터를 구성하여 거의 실시간으로 처리할 수 있으며 Amazon OpenSearch Service(OpenSearch Service) 클러스터, Amazon Kinesis 스트림, Amazon Kinesis Data Firehose 스트림 또는 Lambda와 같은 다른 서비스로 전송하여 사용자 지정 처리 또는 분석에 사용하거나 다른 시스템에 로드할 수 있습니다.

CloudWatch 지표 필터를 사용하여 로그 데이터에서 찾을 패턴을 정의하고 이 패턴을 숫자 CloudWatch 지표로 변환할 수 있으며 비즈니스 요구 사항을 기반으로 경보를 설정할 수 있습니다. 예를 들어 일상적인 작업에 루트 사용자를 사용하지 않는 것이 좋다는 AWS 권장 사항에 따라, CloudTrail 로그(CloudWatch Logs에 전송됨)에 대한 특정 CloudWatch 지표 필터를 설정하여 사용자 지정 지표를 생성하고 루트 자격 증명이 AWS 계정에 액세스하는 데 사용되는 경우 관련 이해 관계자에게 알리는 경보를 구성할 수 있습니다.

Amazon S3 서버 액세스 로그, Elastic Load Balancing 액세스 로그, VPC 흐름 로그 및 AWS Global Accelerator 흐름 로그와 같은 로그를 Amazon S3 버킷으로 직접 전송할 수 있습니다. 예를 들어 Amazon Simple Storage Service 서버 액세스 로그를 활성화하면 Amazon S3 버킷에 수행하는 요청에 대한 자세한 정보를 얻을 수 있습니다. 액세스 로그 레코드에는 요청 유형, 요청에 지정된 리소스, 요청이 처리된 날짜 및 시간과 같은 요청 세부 정보가 포함됩니다. 로그 메시지의 콘텐츠에 대한 자세한 내용은 Amazon Simple Storage Service 개발자 가이드Amazon Simple Storage Service 서버 액세스 로그 형식을 참조하십시오. 서버 액세스 로그는 버킷 소유자에게 자신이 제어하지 않는 클라이언트에서 수행된 요청의 특성에 대한 인사이트를 제공하기 때문에 많은 애플리케이션에 유용합니다. 기본적으로 Amazon S3은 서비스 액세스 로그를 수집하지 않지만, 로깅을 활성화하면 Amazon S3은 몇 시간 이내에 액세스 로그를 버킷에 전송합니다. 더 빠른 전송이 필요하거나 여러 대상에 로그를 전송해야 하는 경우 CloudTrail 로그를 사용하거나 CloudTrail 로그와 Amazon S3을 함께 사용하는 것이 좋습니다. 대상 버킷에서 기본 객체 암호화를 구성하여 저장된 로그를 암호화할 수 있습니다. 객체는 Amazon S3 관리형 키를 사용하는 서버 측 암호화(SSE-S3) 또는 AWS Key Management Service(AWS KMS)에 저장된 고객 마스터 키(CMK)를 사용하는 서버 측 암호화로 암호화됩니다.

Amazon S3 버킷에 저장된 로그는 Amazon Athena를 사용하여 쿼리하고 분석할 수 있습니다. Amazon Athena는 표준 SQL을 사용하여 S3의 데이터를 분석할 수 있는 대화형 쿼리 서비스입니다. Athena를 사용하면 데이터를 Athena에 집계하거나 로드할 필요 없이 ANSI SQL을 통해 임시 쿼리를 실행할 수 있습니다. Athena는 비정형, 반정형 및 정형 데이터 집합을 처리할 수 있으며 Amazon QuickSight와 통합되어 간편한 시각화를 제공합니다.

또한 로그는 자동 위협 탐지에 유용한 정보 소스입니다. Amazon GuardDuty는 VPC 흐름 로그, CloudTrail 관리 이벤트 로그, CloudTrail, Amazon S3 데이터 이벤트 로그 및 DNS 로그와 같은 여러 소스의 이벤트를 분석하고 처리하는 지속적 보안 모니터링 서비스입니다. 이 서비스는 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예기치 않게 발생할 수 있는 무단 활동과 악의적 활동을 찾아냅니다. 리전에서 GuardDuty를 활성화하면 이 서비스는 CloudTrail 이벤트 로그 분석을 즉시 시작합니다. 이 서비스는 독립적이고 중복되는 이벤트 스트림을 통해 CloudTrail에서 직접 CloudTrail 관리와 Amazon S3 데이터 이벤트를 사용합니다.