[AWS] CloudTrail란 무엇인가?

 

AWS CloudTrail이란 무엇입니까?

AWS CloudTrail은 AWS 계정의 운영 및 위험 감사, 거버넌스 및 규정 준수를 활성화하는 데 도움이 되는 AWS 서비스입니다. 사용자, 역할 또는 AWS 서비스가 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에는 AWS Management Console, AWS Command Line Interface 및 AWS SDK, API에서 수행되는 작업들이 포함됩니다.

CloudTrail을 계정 생성 시 AWS 계정에서 사용할 수 있습니다. 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록됩니다. 이벤트 기록으로 이동해서 CloudTrail 콘솔에서 손쉽게 최신 이벤트를 확인할 수 있습니다. AWS 계정의 활동 및 이벤트 기록을 보유하려면 추적을 생성하십시오. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하세요.

AWS 계정 활동에 대한 가시성은 보안 및 운영 모범 사례에서 중요한 측면입니다. CloudTrail을 사용하여 AWS 인프라 전반에서 계정 활동을 확인, 검색, 다운로드, 보관 및 응답할 수 있습니다. 누가 또는 무엇이 어떤 작업을 수행했는지, 어떤 리소스에 대해 조치가 취해졌는지, 언제 이벤트가 발생했는지, AWS 계정에서 활동 분석 및 응답에 도움이 되는 기타 세부 정보를 식별할 수 있습니다. 선택적으로 추적에서 AWS CloudTrail Insights를 활성화하여 비정상적인 활동을 식별하고 이에 대응할 수 있습니다.

API를 사용해 CloudTrail을 애플리케이션에 통합시킴으로써 조직에 대한 추적 생성을 자동화하고 생성한 추적 상태를 확인하며 사용자가 CloudTrail 이벤트를 확인하는 방법을 제어할 수 있습니다.

 

 

1. CloudTrail 생성

 

먼저 콘솔창에 CloudTrail이라고 검색 한 후 추적 생성을 클릭한다. 

 

그렇다면 추적 세부 정보에 있는 Create trail을 클릭 해 준다.

현재는 빠른 추적 생성으로 세부적인 세팅을 못하기 때문이다. 

 

그 다음 CloudTrail의 이름을 생성해 준다.

그리고 S3 버킷을 지정해 줘야한다. 추적에 대한 로그를 저장해야 하기 때문에 기존에 있는 버킷 혹은 새 S3 버킷을 생성해야 한다. 

 

그 후 로그파일 SSE-KMS 암호화 여부를 선택한다. 

그리고 로그파일 검증을 활성화 시킬지 선택한다.

로그 파일 유효성 검사에서 사용을 선택하여 로그 다이제스트를 Amazon S3 버킷으로 배달합니다. 요약 파일을 사용하여 CloudTrail이 로그 파일을 전송한 후 로그 파일이 변경되지 않았는지 확인할 수 있습니다.

그 후 나는 SNS를 활성화 해 주었다. 

 

 

그리고 CloudWatch Logs를 활성화 시킨 후 로그그룹 이름을 정하고 역할을 넣어준다. 

 

두 번째는 로그 이벤트를 선택하는 것이다. 위 세가지는 중복해서 선택할 수 있다. 나는 일단 관리 이벤트만 체크 한 후 다음으로 넘겨 주었다. 

 

 

넘겨준 후 검토를 마치고 만들어 준다면 CloudTrail의 추적이 하나 생성된다.  

이제 CloudTrail의 추적과 연결된 S3 버킷을 확인해 봐야 한다.

 

 

S3를 확인해보니 이렇게 두개의 디렉토리가 생성이 되었다. 그 중 CloudTrail을 계속 들어가보면 아래와 같은 압축 파일을 확인할 수 있다. 

 

이러한 json 형식의 파일을 확인할 수 있다. 

 

그리고 시간이 경과할수록 로그들이 하나씩 쌓이는 것을 확인할 수 있었다.

 

 

CloudWatch 로그 그룹에서 역시 로그 스트림이 하나씩 쌓이는 것을 확인할 수 있다.

 

추후에는 이것을 통해서 Athena로 로그를 분석하는 것까지 실습을 진행 해 볼 예정이다. 

 

 

출처

https://www.youtube.com/watch?v=0fSJv5AxC14&ab_channel=Pythoholic