[AWS] Cloud Trail 란?

나야 나 CloudTrail

 

CloudTrail은 AWS 계정 내에서 일어나는 활동을 기록해주는 서비스로 AWS의 핵심 로그 서비스이다.

- 모든 AWS 계정에서 계정 생성 시 따로 기록을 설정할 필요없이 사용자의 작업을 기록하고 Event History에서 90일동안 확인가능하다.

- 로그는 JSON 형태로 저장된다.

• 즉, Cloud Trail은  다음과 같이 로그로 남겨주는 감사서비스이다.
• 누가 (IAM user/Role), 언제, 어떤 서비스에서, 어떤 작업(API)를 수행했는지 로그로 남겨준다.

 

CloudTaril에서 다루는 이벤트 종류는 다음과 같다.  

- 관리 이벤트 : AWS 계정 리소스에서 수행되는 관리 작업 등 (예 : EC2 생성/삭제 등 )

- 데이터 이벤트 : 리소스 자체 또는리소스 내에서 수행되는 서비스 (예: S3 객체 수준의 API 활동(업로드/다운로드), Lambda 함수 실행)

 

Cloud Trail 자체는 무료 서비스가 있고 유료 기능으로는 다음이 있다. 

- Cloud Trail Insights : IAM 작업의 급증, 리소스 프로비저닝 급증 등 평소와 다른 비 정상적인 활동을 탐지하고 알려주는 기능이다.

 

통합되는 서비스로는 Lambda, cloud watch 가 있다.

 

실습 

- Cloud Trail 로그 확인 

 

AWS 콘솔에서 Cloud Trail에 접속하면 다음과 같은 화면이 나온다.

로그를 보고 싶다면 대시보드 아래있는 이벤트 기록을 클릭한다.

이벤트 기록 항목에 들어가면 다음과 같이 특정 IAM 유저가 활동한게 전부 기록되어있다.

예를 들어 인스턴스를 생성한 이벤트만 보고 싶다면 이벤트 이름에 CreateInstance와 같이 검색하면 

인스턴스 생성 로그만 확인도 가능하다. 

 

그리고 아래와 같이 JSON 형태로 정리되어있다.