CloudTrail 이벤트 기록을 확인하는 방법에 대해 알아보자!
소개
안녕하세요! 클래스메소드 금상원 입니다. 이번 블로그에서는 CloudTrail 이벤트 기록을 확인하는 방법에 대해 알아 보겠습니다.
이벤트 기록이란?
지난 90일간의 API 활동(관리 이벤트)에 대한 읽기 전용 보기를 제공합니다.
리전별로 AWS 계정에서 리소스의 생성, 수정 또는 삭제와 관련된 이벤트를 조회 하고 세부정보 확인 및 다운로드할 수 있습니다.
또한, 이벤트 기록을 표시하거나 숨길 열을 선택하여 콘솔에서 이벤트 기록 보기를 사용자 정의할 수 있습니다.
이벤트 기록을 확인 하는 방법
검색 하기
AWS 검색창에서「Cloud Trail」를 검색합니다.
왼쪽 메뉴에서「이벤트 기록」을 클릭합니다.
속성 조회에서 여러분들이 필요한 항목을 선택 하시면 됩니다 속성의 설명은 아래의 내용을 확인해 주세요.
속성에 대해서
- AWS 액세스 키: 요청에 서명하기 위해 사용된 AWS 액세스 키 ID
- 이벤트 ID : 이벤트의 CloudTrail ID
- 이벤트명 : 'CreateEC2' 등 각 서비스에서 발생한 이벤트명
- 이벤트 소스 : 'ec2.amazonaws.com'과 같은 요청처의 AWS 서비스
- 읽기 전용: 이벤트 읽기 이벤트 플래그
- true: 읽기 이벤트가 표시됩니다.
- false: 읽기 이벤트가 표시되지 않습니다.
- 리소스명: 이벤트에 의해 참조되는 리소스의 이름 또는 ID
- 리소스 타입: EC2의 경우는 'Instance'와 같이 이벤트에 따라 참조되는 리소스 유형(※ AWS 서비스마다 다릅니다.)
- 사용자명 : 이벤트에 의해 참조되는 사용자의 ID
검색할 이름을 입력 합니다.
이번 예로는 속성을「이벤트 이름」으로 설정하고 검색어를「deletebucket」으로 검색하였습니다.
검색시간은 30분 부터 12시간 설정 하여 확인할 수 있습니다만, 아래의 커스텀 설정으로 더 자세한 시간의 기록을 확인할 수 있습니다.
「Custom」버튼을 클릭합니다.
Custom 설정의「Relative」에서는 보다 세세하게(분 단위, 시간 단위, 일 단위, 주 단위) 기간을 지정할 수 있습니다.
Custom 설정의「Absolute」에서는 시작 일시와 종료 일정을 설정하고, 그 사이의 기간으로 필터 할 수 있습니다.
상세 내용 확인
확인할 이벤트를 선택하고「이벤트 이름」을 클릭 합니다.
상세화면이 표시되면 AWS 계정 내에서 누가 언제 무엇을 했는지를 확인할 수 있습니다.
이벤트 기록 다운로드
다운로드할 이벤트를 클릭하고 우측상단의「이벤트 다운로드」버튼을 클릭합니다.
다운로드 파일은「CSV」와「JSON」형식이 지원됩니다.
마무리
이번 블로그에서는 CloudTrail에서 AWS계정 내의 이벤트활동 기록을 확인하는 방법에 대해 알아보았습니다.
다른 사람들과 계정을 공유하여 사용하거나 협업하는 경우 누가 언제 무엇을 하였는지 확인 가능하기 때문에 갑자기 생긴 문제점이나 보안등에 대응이 필요하신 분들께 조금이나마 도움이 되었으면 좋겠습니다.
참고 자료
본 블로그 게시글을 보시고 문의 사항이 있으신 분들은 클래스메소드코리아 (info@classmethod.kr)로 연락 주시면 빠른 시일 내 담당자가 회신 드릴 수 있도록 하겠습니다 !