CloudTrail Lake 개념 및 용어 - AWS CloudTrail
이벤트 데이터 스토어통합쿼리대시보드

CloudTrail Lake 개념 및 용어

이 섹션에서는 AWS CloudTrail Lake를 사용하는 데 도움이 되는 주요 개념과 용어를 설명합니다.

이벤트 데이터 스토어

이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 고급 이벤트 선택기를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다.

이벤트 데이터 저장소를 생성하여 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트), CloudTrail Insights 이벤트, AWS Audit Manager 증거, AWS Config 구성 항목 또는 AWS 외부 이벤트를 로깅할 수 있습니다.

참고

네트워크 활동 이벤트는 CloudTrail에 대한 평가판 릴리스에서 제공되며, 변경 가능합니다.

고급 이벤트 선택기

고급 이벤트 선택기는 이벤트 데이터 스토어에 포함할 이벤트를 결정합니다. 고급 이벤트 선택기는 사용자에게 중요한 이벤트만 로깅하여 비용을 관리하는 데 도움이 됩니다.

관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트의 경우 고급 이벤트 선택기를 사용하여 이벤트를 필터링할 수 있습니다. 예를 들어, 관리 이벤트를 수집하기 위해 이벤트 데이터 스토어를 생성하는 경우 AWS Key Management Service(AWS KMS) 또는 Amazon Relational Database Service(RDS) 데이터 API 이벤트를 필터링할 수 있습니다. 일반적으로 Encrypt, DecryptGenerateDataKey와 같은 AWS KMS 작업이 이벤트의 99% 이상을 생성합니다.

AWS Config 구성 항목, Audit Manager 증거 또는 AWS 외부 이벤트의 경우 고급 이벤트 선택기는 이벤트 데이터 스토어에 해당 유형의 이벤트를 포함하는 데에만 사용됩니다.

연동

페더레이션을 통해 AWS Glue 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Amazon Athena를 사용하여 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. Athena 쿼리 엔진은 AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 쿼리하려는 데이터를 찾고, 읽고, 처리할 방법을 파악합니다.

Lake 쿼리 페더레이션을 활성화하면 CloudTrail은 사용자를 대신하여 페더레이션 리소스를 생성하고 해당 리소스를 AWS Lake Formation에 등록합니다. Lake 페더레이션이 활성화되면 추가 단계를 수행할 필요 없이 Athena에서 이벤트 데이터를 직접 쿼리할 수 있습니다. 자세한 내용은 이벤트 데이터 스토어 페더레이션 단원을 참조하십시오.

요금 옵션

이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 요금에 대한 자세한 내용은 AWS CloudTrail 요금CloudTrail Lake 비용 관리 섹션을 참조하세요.

보존 기간

이벤트 데이터 스토어의 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다. CloudTrail Lake는 이벤트의 eventTime가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 eventTime이 90일이 넘으면 이벤트를 제거합니다.

기본 보존 기간

이벤트 데이터 스토어의 기본 보존 기간은 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기본 일수입니다. 이벤트 데이터 스토어의 기본 보존 기간 동안에는 스토리지가 추가 비용 없이 모으기 요금에 포함됩니다. 기본 보존 기간 후 스토리지 요금은 사용한 만큼만 지불합니다.

최대 보존 기간

이벤트 데이터 스토어의 최대 보존 기간은 이벤트 데이터 스토어에 데이터를 보관할 수 있는 최대 일수를 나타냅니다.

종료 방지

기본적으로 이벤트 데이터 스토어는 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지하는 종료 방지 기능을 활성화합니다. 종료 방지 기능을 활성화한 상태에서 이벤트 데이터 스토어를 삭제하려면 이벤트 데이터 스토어의 세부 정보 페이지에 있는 작업 메뉴에서 종료 방지 기능 변경을 선택합니다. 그런 다음, 이벤트 데이터 스토어 삭제를 진행할 수 있습니다. 자세한 내용은 콘솔을 사용한 변경 종료 보호 단원을 참조하십시오.

통합

CloudTrail Lake 통합을 사용하여 다음 소스의 사용자 활동 데이터를 로깅하고 저장할 수 있습니다.

  • AWS 외부

  • 온프레미스 또는 클라우드에서 호스팅되는 사내 또는 서비스형 소프트웨어(SaaS) 애플리케이션, 가상 머신 또는 컨테이너와 같은 하이브리드 환경의 모든 소스

통합에는 이벤트를 전달하는 채널과 이벤트를 수신하는 이벤트 데이터 스토어가 필요합니다. 통합을 설정한 후 PutAuditEvents API 작업을 직접적으로 호출하여 애플리케이션 활동을 CloudTrail로 모읍니다. 그런 다음, CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다. 자세한 내용은 AWS 외부 이벤트 소스와의 통합 생성 단원을 참조하십시오.

통합 유형

통합에는 직접과 솔루션, 두 가지 유형이 있습니다. 직접 통합을 통해 파트너는 PutAuditEvents API 작업을 직접적으로 호출하여 AWS 계정의 이벤트 데이터 스토어에 이벤트를 전달합니다. 솔루션 통합을 사용하면 애플리케이션이 AWS 계정에서 실행되고 애플리케이션이 PutAuditEvents API 작업을 직접적으로 호출하여 AWS 계정의 이벤트 데이터 스토어에 이벤트를 전달합니다.

채널

AWS 외부 소스의 활동 이벤트는 채널을 사용하여 CloudTrail에서 사용되는 외부 파트너나 자체 소스의 이벤트를 CloudTrail Lake로 가져오는 방식으로 작동합니다. 채널을 생성할 때 채널 소스에서 도착하는 이벤트를 저장할 이벤트 데이터 스토어를 하나 이상 선택합니다. 대상 이벤트 데이터 스토어가 eventCategory="ActivityAuditLog" 이벤트를 로깅하도록 설정된 경우 필요에 따라 채널의 대상 이벤트 데이터 스토어를 변경할 수 있습니다. 외부 파트너의 이벤트에 대한 채널을 생성할 때는 파트너 또는 소스 애플리케이션에 채널 Amazon 리소스 이름(ARN)을 제공합니다.

리소스 기반 정책

리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 채널에 연결된 리소스 기반 정책을 사용하면 소스가 채널을 통해 이벤트를 전송할 수 있습니다. 채널에 리소스 정책이 없는 경우 채널 소유자만 채널에서 PutAuditEvents API 작업을 직접적으로 호출할 수 있습니다. 자세한 내용은 AWS CloudTrail 리소스 기반 정책 예제 단원을 참조하십시오.

쿼리

참고

생성형 인공 지능(생성형 AI) 기능을 사용하여 영어 프롬프트에서 SQL 쿼리를 생성하는 CloudTrail Lake 쿼리에 대한 평가판 기능 소개. 자세한 내용은 영어 프롬프트에서 CloudTrail Lake 쿼리 생성 단원을 참조하십시오.

CloudTrail Lake의 쿼리는 SQL로 작성됩니다. 처음부터 SQL로 쿼리를 작성하거나 저장된 쿼리 또는 샘플 쿼리를 열어서 CloudTrail Lake 편집기(Editor) 탭에서 쿼리를 빌드할 수 있습니다. 포함된 샘플 쿼리를 변경 사항으로 덮어쓸 수는 없지만 새 쿼리로 저장할 수 있습니다. 자세한 내용은 CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집 단원을 참조하십시오.

CloudTrail Lake는 모든 유효한 Presto SELECT 문 및 함수를 지원합니다. 지원되는 SQL 함수와 연산자에 대한 자세한 내용은 Presto 설명서 웹 사이트의 Functions and Operators를 참조하세요.

대시보드

CloudTrail Lake 대시보드를 사용하면 이벤트 데이터 스토어의 이벤트를 시각화하고 상위 AWS 서비스, 사용자 및 오류 등의 이벤트 추세를 확인할 수 있습니다. 자세한 내용은 CloudTrail 콘솔을 사용하여 CloudTrail Lake 대시보드 보기 단원을 참조하십시오.

대시보드 유형

이벤트 데이터 스토어에 사용할 수 있는 대시보드 유형은 이벤트 데이터 스토어의 고급 이벤트 선택기 구성에 따라 달라집니다. 예를 들어 대시보드 유형에 CloudTrail 관리 이벤트에 대한 정보가 표시되는 경우, 현재 선택한 이벤트 데이터 스토어가 CloudTrail 관리 이벤트를 수집하는 경우에만 대시보드를 선택할 수 있습니다.

사용 가능한 대시보드 유형은 다음과 같습니다.

  • 개요 대시보드 - 가장 활동적인 사용자, AWS 리전, AWS 서비스를 이벤트 수별로 표시합니다. readwrite 관리 이벤트 활동, 제한이 가장 심한 이벤트, 주요 오류에 대한 정보도 볼 수 있습니다. 이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있습니다.

  • 관리 이벤트 대시보드 - 콘솔 로그인 이벤트, 액세스 거부 이벤트, 파괴 조치, 사용자별 주요 오류를 보여줍니다. 또한 사용자별 TLS 버전 및 오래된 TLS 호출에 대한 정보를 볼 수 있습니다. 이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있습니다.

  • S3 데이터 이벤트 대시보드 - Amazon S3 계정 활동, 가장 많이 액세스한 S3 객체, 상위 S3 사용자, 상위 S3 작업을 보여줍니다. 이 대시보드는 Amazon S3 데이터 이벤트를 수집하는 이벤트 데이터 스토어에 활용할 수 있습니다.

  • Insights Events(Insights 이벤트) 대시보드 - Insights 유형별 Insights 이벤트의 전체 비율, 상위 사용자 및 서비스에 대한 Insights 유형별 Insights 이벤트 비율, 일일 Insights 이벤트 수를 보여줍니다. 대시보드는 최대 30일간의 Insights 이벤트를 나열하는 위젯도 포함하고 있습니다. 이 대시보드는 Insights 이벤트를 수집하는 이벤트 데이터 스토어에만 사용할 수 있습니다.

    참고

    • 소스 이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 사용 설정한 후 비정상적인 활동이 감지된 경우 CloudTrail이 첫 번째 Insights 이벤트를 전달하는 데 최대 7일이 걸릴 수 있습니다. 자세한 내용은 Insights 이벤트 전달에 대한 이해 단원을 참조하십시오.

    • Insights Events(Insights 이벤트) 대시보드에는 선택한 이벤트 데이터 스토어에서 수집한 Insights 이벤트에 대한 정보만 표시되며, 이 정보는 원본 이벤트 데이터 스토어의 구성에 따라 결정됩니다. 예를 들어 ApiCallRateInsight의 Insights 이벤트는 활성화되어 있지만, ApiErrorRateInsight에 대한 Insights 이벤트는 활성화되지 않도록 소스 이벤트 데이터 스토어를 구성하면, ApiErrorRateInsight의 Insights 이벤트 정보는 표시되지 않습니다.

위젯

위젯은 대시보드를 구성하고 선 차트 또는 막대 그래프와 같은 시각화를 제공하는 구성 요소입니다. 각 위젯은 기본 쿼리를 나타냅니다. 쿼리 실행을 선택하면 CloudTrail은 시스템 생성 쿼리를 실행하여 각 위젯의 데이터를 채웁니다.