기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Insights 이벤트 로깅
AWS CloudTrail 인사이트는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 API 통화 및 API 오류 발생률과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 도와줍니다. CloudTrail Insights는 기준이라고도 하는 API 통화량 및 API 오류율의 일반적인 패턴을 분석하여 통화량 또는 오류율이 정상 패턴을 벗어나면 Insights 이벤트를 생성합니다. API통화량에 대한 Insights 이벤트는 write 관리를 APIs 위해 생성되며 API 오류율에 대한 Insights 이벤트는 write 관리 APIs 부서에 대해 생성됩니다. read
참고
API통화량에 Insights 이벤트를 기록하려면 트레일 또는 이벤트 데이터 저장소에서 write 관리 이벤트를 기록해야 합니다. API오류율에 따라 Insights 이벤트를 기록하려면 트레일 또는 이벤트 데이터 저장소에서 read 또는 write 관리 이벤트를 기록해야 합니다.
CloudTrail Insights는 전 세계가 아닌 단일 지역에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성된 지역과 동일한 지역에서 생성됩니다.
Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금
목차
Insights 이벤트 전달에 대한 이해
CloudTrail 캡처하는 다른 유형의 이벤트와 달리 Insights 이벤트는 계정의 일반적인 사용 패턴과 크게 다른 계정 API 사용 변화를 CloudTrail 감지한 경우에만 기록됩니다.
이벤트를 CloudTrail 전달하는 위치와 Insights 이벤트를 수신하는 데 걸리는 시간은 트레일과 이벤트 데이터 저장소에 따라 다릅니다.
추적에 대한 Insights 이벤트 전달
트레일에서 Insights 이벤트를 활성화했는데 비정상적인 활동이 CloudTrail 감지되면 Insights 이벤트를 트레일에 대해 선택한 대상 S3 버킷의 /CloudTrail-Insight 폴더로 전송합니다. CloudTrail 트레일에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전송되기까지 최대 36시간이 걸릴 수 있습니다. CloudTrail
트레일에서 Insights 이벤트 로깅을 해제한 다음 Insights 이벤트를 다시 활성화하거나 트레일에서 로깅을 중지했다가 다시 시작하는 경우, 비정상적인 활동이 감지되면 Insights 이벤트 전송을 다시 시작하는 CloudTrail 데 최대 36시간이 걸릴 수 있습니다.
이벤트 데이터 스토어에 대한 Insights 이벤트 전송
원본 이벤트 데이터 저장소에서 Insights 이벤트를 활성화한 경우 Insights 이벤트를 대상 이벤트 데이터 저장소에 CloudTrail 전달합니다. 소스 이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 대상 이벤트 데이터 저장소에 전송되기까지 최대 7일이 걸릴 수 있습니다. CloudTrail
원본 이벤트 데이터 저장소에서 Insights 이벤트 로깅을 해제한 다음 Insights 이벤트를 다시 활성화하거나 원본 이벤트 데이터 저장소에서 이벤트 수집을 중지했다가 다시 시작하는 경우, 비정상적인 활동이 감지되면 Insights 이벤트 전송을 다시 시작하는 CloudTrail 데 최대 7일이 걸릴 수 있습니다. Lake에서 Insights 이벤트를 수집하는 경우 추가 요금이 부과됩니다. CloudTrail 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을
를 통한 인사이트 이벤트 로깅 AWS Management Console
콘솔을 사용하여 추적 또는 이벤트 데이터 스토어에서 Insights 이벤트를 활성화할 수 있습니다.
기존 트레일에서 CloudTrail Insights 이벤트 활성화
다음 절차를 사용하여 기존 트레일에서 CloudTrail Insights 이벤트를 활성화하세요. 기본적으로 Insights 이벤트는 사용 설정되어 있지 않습니다.
-
CloudTrail 콘솔의 왼쪽 탐색 창에서 트레일 페이지를 열고 트레일 이름을 선택합니다.
-
[Insights 이벤트(Insights events)]에서 [편집(Edit)]을 선택합니다.
참고
인사이트 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 가격은 요금을 참조하십시오AWS CloudTrail .
-
이벤트 유형(Event type)에서 Insights 이벤트(Insights events)]를 선택합니다.
-
Insights 이벤트의 Insights 유형 선택에서 API 통화 속도, API오류율 또는 둘 다를 선택합니다. API호출 속도에 대한 Insights 이벤트를 기록하려면 트레일에서 쓰기 관리 이벤트를 로깅해야 합니다. Insights 이벤트에서 API오류율을 기록하려면 트레일에서 읽기 또는 쓰기 관리 이벤트를 로깅해야 합니다.
-
변경 사항을 저장하려면 변경 사항 저장을 선택합니다.
비정상적인 활동이 감지되면 첫 번째 Insights 이벤트를 전달하는 CloudTrail 데 최대 36시간이 걸릴 수 있습니다.
기존 이벤트 데이터 저장소에서 CloudTrail Insights 이벤트를 활성화합니다.
다음 절차를 사용하여 기존 이벤트 데이터 저장소에서 CloudTrail Insights 이벤트를 활성화하십시오. 기본적으로 Insights 이벤트는 사용 설정되어 있지 않습니다.
CloudTrail Lake에서 Insights 이벤트를 수집하는 경우 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을
참고
CloudTrail 관리 이벤트가 포함된 이벤트 데이터 저장소에서만 CloudTrail Insights 이벤트를 활성화할 수 있습니다. 다른 이벤트 데이터 저장소 유형에서는 CloudTrail Insights 이벤트를 활성화할 수 없습니다.
-
CloudTrail 콘솔의 왼쪽 탐색 창에 있는 Lake에서 이벤트 데이터 저장소를 선택합니다.
-
이벤트 데이터 스토어 이름을 선택합니다.
-
관리 이벤트(Management events)에서 편집(Edit)을 선택합니다.
-
Insights 활성화(Enable Insights)를 선택합니다.
-
Insights 이벤트를 CloudTrail 제공할 대상 이벤트 데이터 저장소를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성 섹션을 참조하세요.
-
Insights 유형 선택에서 API 통화 속도, API오류율 또는 둘 다를 선택합니다. API호출 속도에 대한 Insights 이벤트를 기록하려면 이벤트 데이터 저장소에서 쓰기 관리 이벤트를 로깅해야 합니다. Insights 이벤트에서 API오류율을 기록하려면 이벤트 데이터 저장소가 읽기 또는 쓰기 관리 이벤트를 로깅하고 있어야 합니다.
-
변경 사항을 저장하려면 변경 사항 저장을 선택합니다.
비정상적인 활동이 감지되면 첫 번째 Insights 이벤트를 전달하는 CloudTrail 데 최대 7일이 걸릴 수 있습니다.
다음을 사용하여 인사이트 이벤트를 기록합니다. AWS Command Line Interface
AWS CLI를 사용하여 Insights 이벤트를 로그하도록 추적과 이벤트 데이터 스토어를 구성할 수 있습니다.
참고
API통화량에 대한 Insights 이벤트를 기록하려면 트레일 또는 이벤트 데이터 저장소에서 write 관리 이벤트를 기록해야 합니다. API오류율에 따라 Insights 이벤트를 기록하려면 트레일 또는 이벤트 데이터 저장소에서 read 또는 write 관리 이벤트를 기록해야 합니다.
를 사용하여 트레일에 대한 인사이트 이벤트를 기록합니다. AWS CLI
추적이 Insights 이벤트를 로그하는지 여부를 확인하려면 get-insight-selectors 명령을 실행합니다.
aws cloudtrail get-insight-selectors --trail-nameTrailName
다음 결과는 트레일의 기본 설정을 보여 줍니다. 기본적으로 추적은 인사이트 이벤트를 로그하지 않습니다. 인사이트 이벤트 모음이 활성화되지 않았기 때문에 InsightType 속성 값이 비어 있고 인사이트 이벤트 선택기가 지정되지 않습니다.
Insights 선택기를 추가하지 않으면 get-insight-selectors 명령은 다음과 같은 오류 메시지를 반환합니다. “ GetInsightSelectors 작업을 호출하는 동안 오류가 발생했습니다 (InsightNotEnabledException): Trail name Insights가 활성화되어 있지 않습니다. 추적 설정을 편집하여 Insights를 활성화한 다음 작업을 다시 시도하십시오.”라는 오류 메시지를 반환합니다.
{ "InsightSelectors": [ ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
Insights 이벤트를 로그하도록 추적을 구성하려면 put-insight-selectors 명령을 실행합니다. 다음 예는 Insights 이벤트를 포함하도록 추적을 구성하는 방법을 보여 줍니다. Insights 선택기 값은 ApiCallRateInsight, ApiErrorRateInsight 또는 모두가 될 수 있습니다.
aws cloudtrail put-insight-selectors --trail-nameTrailName--insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
다음 결과는 트레일에 대해 구성된 인사이트 이벤트 선택기를 보여 줍니다.
{ "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName" }
를 사용하여 이벤트 데이터 저장소의 Insights 이벤트를 로깅합니다. AWS CLI
이벤트 데이터 스토어에서 Insights를 활성화하려면, 관리 이벤트를 로깅하는 소스 이벤트 데이터 스토어와 Insights 이벤트를 로깅하는 대상 이벤트 데이터 스토어가 있어야 합니다.
이벤트 데이터 스토어에서 Insights 이벤트가 활성화되었는지 확인하려면, get-insight-selectors 명령을 실행합니다.
aws cloudtrail get-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
이벤트 데이터 스토어가 Insights 이벤트 또는 관리 이벤트를 수신하도록 구성되었는지 확인하려면 get-event-data-store 명령을 실행합니다.
aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-d483-5c7d-4ac2-adb5dEXAMPLE
다음 절차는 대상 및 소스 이벤트 데이터 스토어를 생성하고, Insights 이벤트를 사용하는 방법을 보여 줍니다.
-
aws cloudtrail create-event-data-store
명령을 실행하여 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 생성합니다. eventCategory의 값은Insight이어야 합니다. Replaceretention-period-days이벤트 데이터 스토어에 이벤트를 보관하려는 일수를 기준으로 합니다.AWS Organizations 조직의 관리 계정으로 로그인한 경우 위임된 관리자에게 이벤트 데이터 저장소에 대한 액세스 권한을 부여하려면
--organization-enabled매개변수를 포함하세요.aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-periodretention-period-days\ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'다음은 응답의 예입니다.
{ "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:22:33.714000+00:00" }3단계에서는 응답의
ARN(또는 의 ID 접미사ARN) 를--insights-destination파라미터 값으로 사용합니다. -
aws cloudtrail create-event-data-store
명령을 실행하여 관리 이벤트를 로그하는 소스 이벤트 데이터 저장소를 생성합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 모든 관리 이벤트를 로그하려면, 고급 이벤트 선택기를 지정할 필요가 없습니다. Replace retention-period-days이벤트 데이터 스토어에 이벤트를 보관하려는 기간 (일) 을 기준으로 합니다. 조직 이벤트 데이터 스토어를 생성하려면,--organization-enabled파라미터를 포함합니다.aws cloudtrail create-event-data-store --name source-event-data-store --retention-periodretention-period-days다음은 응답의 예입니다.
{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-11-08T15:25:35.714000+00:00" }3단계에서는 응답의
ARN(또는 의 ID 접미사ARN) 를--event-data-store파라미터 값으로 사용합니다. -
put-insight-selectors
명령을 실행하여 Insights 이벤트를 활성화합니다. Insights 선택기 값은 ApiCallRateInsight,ApiErrorRateInsight또는 두 개 모두가 될 수 있습니다.--event-data-store파라미터에는 관리 이벤트를 기록하고 Insights를 활성화하는 소스 이벤트 데이터 저장소의 ID 접미사 ARN (또는 ID 접미사ARN) 를 지정합니다.--insights-destination파라미터에는 Insights 이벤트를 기록할 대상 이벤트 데이터 저장소의 ID 접미사 ARN (또는 ID 접미사ARN) 를 지정합니다.aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'다음 결과는 이벤트 데이터 스토어에 대해 구성된 Insights 이벤트 선택기를 보여 줍니다.
{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }이벤트 데이터 저장소에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전달되는 데 최대 7일이 걸릴 수 있습니다. CloudTrail
CloudTrail Insights는 전 세계가 아닌 단일 지역에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성된 지역과 동일한 지역에서 생성됩니다.
조직 이벤트 데이터 저장소의 경우 CloudTrail 조직의 모든 관리 이벤트 집계를 분석하는 대신 각 구성원 계정의 관리 이벤트를 분석합니다.
Lake에서 CloudTrail Insights 이벤트를 수집하는 경우 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을
를 통한 인사이트 이벤트 로깅 AWS SDKs
GetInsightSelectors작업을 실행하여 트레일 또는 이벤트 데이터 저장소가 Insights 이벤트를 지원하는지 확인하세요. PutInsightSelectors작업과 함께 Insights 이벤트를 활성화하도록 트레일 또는 이벤트 데이터 저장소를 구성할 수 있습니다. 자세한 내용은 AWS CloudTrail API참조를 참조하십시오.
