[AWS] CloudTrail을 통한 이벤트 기록 확인하기

AWS의 CloudTrail은 AWS 계정에서 발생하는 모든 API 호출과 관리 작업에 대한 상세한 로그를 기록하는 서비스로, AWS 리소스의 보안 감사 및 규정 준수를 위한 중요한 도구입니다. 본 포스팅에서는 이러한 CloudTrail의 이벤트 기록에서 로그를 확인하는 방법에 대해 알아보겠습니다.

---

CloudTrail이란?

AWS CloudTrail 서비스는 AWS 계정의 보안 및 감사 요구 사항을 충족하기 위한 강력한 도구로, 이벤트 기록을 통해 AWS 리소스의 액세스 및 변경 내역을 확인하고 관리할 수 있습니다. 이를 통해 AWS 계정의 보안 강화와 리소스의 변경 내역과 액세스 기록을 추적하고, 문제를 식별하며, 리소스의 활동에 대한 규정 준수를 강화하는 데 도움을 줍니다.

CloudTrail 이벤트 기록 확인 방법

 [그림 1]과 같이 AWS Management Console에서 CloudTrail을 검색합니다.

[그림 1] AWS 콘솔 화면에서 CloudTrail 서비스 검색 및 접근

CloudTrail에 들어가면 왼쪽 탭에서 이벤트 기록을 선택합니다.

[그림 2] CloudTrail 이벤트 기록에서 검색

이벤트 기록에 들어오면 발생한 이벤트의 이름과 시간, 이벤트를 발생시킨 사용자 이름이 담긴 리스트를 확인할 수 있고, 속성 조회를 통해 특정 서비스, 리소스, 사용자, 이벤트 유형 등을 선택하여 원하는 이벤트를 검색할 수도 있습니다. 

여기서 새로운 이벤트를 생성하기 위해 vpc를 생성해보겠습니다. 

[그림 3] 이벤트 확인을 위한 vpc 생성

vpc를 생성하고나서 다시 CloudTrail의 이벤트 기록으로 돌아가보겠습니다.

[그림 4] vpc 생성 이벤트 확인

위에서 생성했던 vpc에 대한 이벤트가 CreateVpc라는 이벤트 이름으로 기록되어 있는 것을 확인하실 수 있습니다. 해당 이벤트의 세부 정보를 확인하려면 이벤트 이름을 클릭하면 됩니다.

[그림 5] 이벤트 세부 정보

[그림 6] 이벤트 레코드

이벤트 이름을 클릭하여 [그림 5]와 [그림 6]의 화면을 함께 보실 수 있고, 세부정보에서 타임스탬프, 이벤트 소스, 이벤트 이름, 사용자 정보, IP 주소, 리소스 정보 등의 정보를 확인할 수 있습니다.

이러한 이벤트 기록들은 90일 동안 유지가 되고, 90일이 지난 이벤트들은 삭제된다고 합니다.

90일이 지나고나서도 확인해야 할 이벤트들에 대해서는 별도로 저장을 해야하고, 이벤트를 다운로드하려면 이벤트 다운로드를 선택하고 원하는 형식(JSON, CSV)을 선택할 수 있습니다. 그리고 Athena 테이블을 통해서도 이벤트를 관리할 수 있는 기능을 제공하고 있으니 참고해주시면 되겠습니다.