를 사용하여 이벤트 데이터 스토어 생성 AWS CLI - AWS CloudTrail
를 사용하여 S3 데이터 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI를 사용하여 KMS 네트워크 활동 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI를 사용하여 구성 항목에 대한 AWS Config 이벤트 데이터 스토어 생성 AWS CLI를 사용하여 관리 이벤트에 대한 조직 이벤트 데이터 스토어 생성 AWS CLI를 사용하여 Insights 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 이벤트 데이터 스토어 생성 AWS CLI

이 섹션에서는 create-event-data-store 명령을 사용하여 이벤트 데이터 스토어를 생성하는 방법을 설명하고 생성할 수 있는 다양한 유형의 이벤트 데이터 스토어의 예를 제공합니다.

이벤트 데이터 스토어를 생성할 때 유일한 필수 파라미터는 이벤트 데이터 스토어를 식별하는 데 사용되는 --name입니다. 다음을 포함한 추가 옵션 파라미터를 구성할 수 있습니다.

  • --advanced-event-selectors - 이벤트 데이터 스토어에 포함할 이벤트의 유형을 지정합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 고급 이벤트 선택기에 대한 자세한 내용은 참조AdvancedEventSelector의 CloudTrail API 섹션을 참조하세요.

  • --kms-key-id - 에서 제공하는 이벤트를 암호화하는 데 사용할 KMS 키 ID를 지정합니다 CloudTrail. 값은 접두사가 인 별칭 이름alias/, 별칭ARN에 완전히 지정됨, 키ARN에 완전히 지정됨 또는 전역 고유 식별자일 수 있습니다.

  • --multi-region-enabled - 계정 AWS 리전 의 모든 에 대한 이벤트를 기록하는 다중 리전 이벤트 데이터 스토어를 생성합니다. 파라미터가 추가되지 않은 경우에도 기본적으로 --multi-region-enabled가 설정됩니다.

  • --organization-enabled - 이벤트 데이터 스토어에서 조직의 모든 계정에 대한 이벤트를 수집할 수 있도록 합니다. 기본적으로 이벤트 데이터 스토어는 기본적으로 모든 계정에 대해 활성화되지 않습니다.

  • --billing-mode - 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다.

    사용 가능한 값은 다음과 같습니다.

    • EXTENDABLE_RETENTION_PRICING - 이 결제 모드는 일반적으로 한 달에 25TB 미만의 이벤트 데이터를 모으고 최대 3653일(약 10년)의 유연한 보존 기간을 원하는 경우에 권장됩니다. 이 결제 모드의 기본 보존 기간은 366일입니다.

    • FIXED_RETENTION_PRICING - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 2557일(약 7년)의 보존 기간이 필요한 경우 이 결제 모드가 권장됩니다. 이 결제 모드의 기본 보존 기간은 2557일입니다.

    기본값은 EXTENDABLE_RETENTION_PRICING입니다.

  • --retention-period - 이벤트 데이터 스토어에 이벤트를 보관하는 일수입니다. 유효한 값은 --billing-modeEXTENDABLE_RETENTION_PRICING인 경우 7~3653의 정수이고, --billing-modeFIXED_RETENTION_PRICING으로 설정된 경우 7~2,557의 정수입니다. 를 지정하지 않으면 는 의 기본 보존 기간을 --retention-period CloudTrail 사용합니다--billing-mode.

  • --start-ingestion - --start-ingestion 파라미터는 이벤트 데이터 스토어가 생성될 때 이벤트 모으기를 시작합니다. 이 파라미터는 파라미터가 추가되지 않은 경우에도 설정됩니다.

    이벤트 데이터 스토어가 라이브 이벤트를 모으지 않도록 하려면 --no-start-ingestion을 지정합니다. 예를 들어, 이벤트를 이벤트 데이터 스토어에 복사하고 이벤트 데이터만 사용하여 과거 이벤트를 분석하려는 경우 이 파라미터를 설정할 수 있습니다. --no-start-ingestion 파라미터는 eventCategoryManagement, Data 또는 ConfigurationItem인 경우에만 유효합니다.

다음 예제에서는 다양한 유형의 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다.

를 사용하여 S3 데이터 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI

다음 예제 AWS Command Line Interface (AWS CLI) create-event-data-store 명령은 모든 Amazon S3 데이터 이벤트를 선택하고 KMS 키를 사용하여 암호화my-event-data-store되는 라는 이벤트 데이터 스토어를 생성합니다.

aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
            ]
        }
    ]'

다음은 응답의 예입니다.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
    "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}

를 사용하여 KMS 네트워크 활동 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI

참고

네트워크 활동 이벤트는 에 대한 미리 보기 릴리스 중 CloudTrail 이며 변경될 수 있습니다.

다음 예제에서는 에 대한 VpceAccessDenied 네트워크 활동 이벤트를 포함하도록 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다 AWS KMS. 이 예제에서는 errorCode 필드를 VpceAccessDenied 이벤트와 같게 설정하고 eventSource 필드를 로 설정합니다kms.amazonaws.com.

aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
     {
        "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
        "FieldSelectors": [
            {
                "Field": "eventCategory",
                "Equals": ["NetworkActivity"]
            },
            {
                "Field": "eventSource",
                "Equals": ["kms.amazonaws.com"]
            },
            {
                "Field": "errorCode",
                "Equals": ["VpceAccessDenied"]
            }
        ]
    }
]'

이 명령은 다음 출력 예를 반환합니다.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "NetworkActivity"
                    ]
                },
                {
                    "Field": "eventSource",
                    "Equals": [
                        "kms.amazonaws.com"
                    ]
                },
                {
                    "Field": "errorCode",
                    "Equals": [
                        "VpceAccessDenied"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}

네트워크 활동 이벤트에 대한 자세한 내용은 섹션을 참조하세요네트워크 활동 이벤트 로깅.

를 사용하여 구성 항목에 대한 AWS Config 이벤트 데이터 스토어 생성 AWS CLI

다음 예제 AWS CLI create-event-data-store 명령은 라는 이벤트 데이터 스토어를 생성config-items-eds하여 AWS Config 구성 항목을 선택합니다. 구성 항목을 수집하려면 고급 이벤트 선택기에서 eventCategory 필드 Equals ConfigurationItem을 지정합니다.

aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

다음은 응답의 예입니다.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "config-items-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select AWS Config configuration items",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "ConfigurationItem"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
    "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}

를 사용하여 관리 이벤트에 대한 조직 이벤트 데이터 스토어 생성 AWS CLI

다음 예제 AWS CLI create-event-data-store 명령은 모든 관리 이벤트를 수집하고 --billing-mode 파라미터를 로 설정하는 조직 이벤트 데이터 스토어를 생성합니다FIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

다음은 응답의 예입니다.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "FIXED_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

를 사용하여 Insights 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI

CloudTrail Lake에서 Insights 이벤트를 로깅하려면 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어와 Insights를 활성화하고 관리 이벤트를 로깅하는 소스 이벤트 데이터 스토어가 필요합니다.

이 절차는 대상 및 소스 이벤트 데이터 스토어를 생성하고, Insights 이벤트를 활성화하는 방법을 보여 줍니다.

  1. aws cloudtrail create-event-data-store 명령을 실행하여 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 생성합니다. eventCategory의 값은 Insight이어야 합니다. Replace retention-period-days 이벤트 데이터 스토어에 이벤트를 보존하려는 일수가 표시됩니다. 유효한 값은 --billing-modeEXTENDABLE_RETENTION_PRICING인 경우 7~3653의 정수이고, --billing-modeFIXED_RETENTION_PRICING으로 설정된 경우 7~2,557의 정수입니다. 를 지정하지 않으면 는 의 기본 보존 기간을 --retention-period CloudTrail 사용합니다--billing-mode.

    AWS Organizations 조직의 관리 계정으로 로그인한 경우 위임된 관리자에게 이벤트 데이터 스토어에 대한 액세스 권한을 부여하려면 --organization-enabled 파라미터를 포함하세요.

    aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
    {
      "Name": "Select Insights events",
      "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Insight"] }
        ]
    }
  ]'

    다음은 응답의 예입니다.

    {
    "Name": "insights-event-data-store",
    "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
    "AdvancedEventSelectors": [
        {
           "Name": "Select Insights events",
           "FieldSelectors": [
              {
                  "Field": "eventCategory",
                  "Equals": [
                      "Insight"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": false,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": "90",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}

    응답의 ARN (또는 의 ID 접미사ARN)를 3단계의 --insights-destination 파라미터 값으로 사용합니다.

  2. aws cloudtrail create-event-data-store 명령을 실행하여 관리 이벤트를 로그하는 소스 이벤트 데이터 저장소를 생성합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 모든 관리 이벤트를 로그하려면, 고급 이벤트 선택기를 지정할 필요가 없습니다. Replace retention-period-days 이벤트 데이터 스토어에 이벤트를 보존하려는 일수가 표시됩니다. 유효한 값은 --billing-modeEXTENDABLE_RETENTION_PRICING인 경우 7~3653의 정수이고, --billing-modeFIXED_RETENTION_PRICING으로 설정된 경우 7~2,557의 정수입니다. 를 지정하지 않으면 는 의 기본 보존 기간을 --retention-period CloudTrail 사용합니다--billing-mode. 조직 이벤트 데이터 스토어를 생성하려면, --organization-enabled 파라미터를 포함합니다.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    다음은 응답의 예입니다.

    {
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
    "Name": "source-event-data-store",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 90,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
    "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}

    응답의 ARN (또는 의 ID 접미사ARN)를 3단계의 --event-data-store 파라미터 값으로 사용합니다.

  3. put-insight-selectors 명령을 실행하여 Insights 이벤트를 활성화합니다. Insights 선택기 값은 ApiCallRateInsight, ApiErrorRateInsight 또는 두 개 모두가 될 수 있습니다. --event-data-store 파라미터에 관리 이벤트를 기록하고 Insights를 활성화하는 소스 이벤트 데이터 스토어의 ARN (또는 의 ID 접미사ARN)를 지정합니다. --insights-destination 파라미터에 Insights 이벤트를 로깅할 대상 이벤트 데이터 스토어의 ARN (또는 의 ID 접미사ARN)를 지정합니다.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    다음 결과는 이벤트 데이터 스토어에 대해 구성된 Insights 이벤트 선택기를 보여 줍니다.

    {
  "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
  "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
  "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ]
}

    이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 CloudTrail 에서 첫 번째 Insights 이벤트를 전달하는 데 최대 7일이 걸릴 수 있습니다.

    CloudTrail Insights는 글로벌이 아닌 단일 리전에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원되는 관리 이벤트가 생성되는 것과 동일한 리전에서 생성됩니다.

    조직 이벤트 데이터 스토어의 경우 는 조직의 모든 관리 이벤트의 집계를 CloudTrail 분석하는 대신 각 멤버의 계정에서 관리 이벤트를 분석합니다.

CloudTrail Lake에서 Insights 이벤트를 수집하면 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금 섹션을 참조하세요.