AWS의 CloudTrail은 AWS 계정에서 발생하는 모든 API 호출과 관리 작업에 대한 상세한 로그를 기록하는 서비스로, AWS 리소스의 보안 감사 및 규정 준수를 위한 중요한 도구입니다. 본 포스팅에서는 이러한 CloudTrail의 이벤트 기록에서 로그를 확인하는 방법에 대해 알아보겠습니다.
CloudTrail이란?
AWS CloudTrail 서비스는 AWS 계정의 보안 및 감사 요구 사항을 충족하기 위한 강력한 도구로, 이벤트 기록을 통해 AWS 리소스의 액세스 및 변경 내역을 확인하고 관리할 수 있습니다. 이를 통해 AWS 계정의 보안 강화와 리소스의 변경 내역과 액세스 기록을 추적하고, 문제를 식별하며, 리소스의 활동에 대한 규정 준수를 강화하는 데 도움을 줍니다.
CloudTrail 이벤트 기록 확인 방법
[그림 1]과 같이 AWS Management Console에서 CloudTrail을 검색합니다.
CloudTrail에 들어가면 왼쪽 탭에서 이벤트 기록을 선택합니다.
이벤트 기록에 들어오면 발생한 이벤트의 이름과 시간, 이벤트를 발생시킨 사용자 이름이 담긴 리스트를 확인할 수 있고, 속성 조회를 통해 특정 서비스, 리소스, 사용자, 이벤트 유형 등을 선택하여 원하는 이벤트를 검색할 수도 있습니다.
여기서 새로운 이벤트를 생성하기 위해 vpc를 생성해보겠습니다.
vpc를 생성하고나서 다시 CloudTrail의 이벤트 기록으로 돌아가보겠습니다.
위에서 생성했던 vpc에 대한 이벤트가 CreateVpc라는 이벤트 이름으로 기록되어 있는 것을 확인하실 수 있습니다. 해당 이벤트의 세부 정보를 확인하려면 이벤트 이름을 클릭하면 됩니다.
이벤트 이름을 클릭하여 [그림 5]와 [그림 6]의 화면을 함께 보실 수 있고, 세부정보에서 타임스탬프, 이벤트 소스, 이벤트 이름, 사용자 정보, IP 주소, 리소스 정보 등의 정보를 확인할 수 있습니다.
이러한 이벤트 기록들은 90일 동안 유지가 되고, 90일이 지난 이벤트들은 삭제된다고 합니다.
90일이 지나고나서도 확인해야 할 이벤트들에 대해서는 별도로 저장을 해야하고, 이벤트를 다운로드하려면 이벤트 다운로드를 선택하고 원하는 형식(JSON, CSV)을 선택할 수 있습니다. 그리고 Athena 테이블을 통해서도 이벤트를 관리할 수 있는 기능을 제공하고 있으니 참고해주시면 되겠습니다.