콘솔을 사용하여 쿼리 실행 및 쿼리 결과 저장

1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/cloudtrail/ CloudTrail 콘솔을 엽니다.

2. 탐색 창의 Lake에서 쿼리를 선택합니다.

3. 저장된 쿼리 또는 샘플 쿼리 탭에서 쿼리 이름을 선택하여 실행할 쿼리를 선택합니다.

4. 편집기 탭의 이벤트 데이터 스토어에 대해 드롭다운 목록에서 이벤트 데이터 스토어를 선택합니다.

5. (선택 사항) 편집기 탭에서 S3에 결과 저장를 선택하여 쿼리 결과를 S3 버킷에 저장합니다. 기본 S3 버킷을 선택하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 기본 S3 버킷을 선택하는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 s3:PutEncryptionConfiguration 작업에 대한 권한을 포함해야 합니다. 쿼리 결과 저장에 대한 자세한 내용은 저장된 쿼리 결과에 대한 추가 정보 단원을 참조하세요.

   참고

   다른 버킷을 사용하려면 버킷 이름을 지정하거나 S3 검색를 선택하여 버킷을 선택합니다. 버킷 정책으로 쿼리 결과를 버킷에 전송할 수 있는 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책 단원을 참조하세요.

6. 편집 탭에서 실행을 선택합니다.

   이벤트 데이터 스토어의 크기와 포함된 데이터 일수에 따라 쿼리를 실행하는 데 몇 분이 걸릴 수 있습니다. 명령 출력(Command output) 탭에는 쿼리 상태와 쿼리의 실행 완료 여부가 표시됩니다. 쿼리 실행이 완료되면 쿼리 결과(Query results) 탭을 열어서 활성 쿼리(현재 편집기에 표시된 쿼리)에 대한 결과 테이블을 표시합니다.

Amazon S3 버킷에 쿼리 결과 저장

1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/cloudtrail/ CloudTrail 콘솔을 엽니다.

2. 탐색 창의 Lake에서 쿼리를 선택합니다.

3. 샘플 쿼리(Sample queries) 또는 저장된 쿼리(Saved queries) 탭에서 쿼리 이름(Query name)을 선택하여 실행할 쿼리를 선택합니다. 이 예시에서는 사용자 작업 조사(Investigate user actions)라는 샘플 쿼리를 선택합니다.

4. 편집기 탭의 이벤트 데이터 스토어에 대해 드롭다운 목록에서 이벤트 데이터 스토어를 선택합니다. 목록에서 이벤트 데이터 스토어를 선택하면 CloudTrail이 자동으로 From 라인에 이벤트 데이터 스토어 ID를 채웁니다.

5. 이 샘플 쿼리에서는 userIdentity.ARN 값을 편집하여 Admin이라는 이름의 사용자를 지정하고, eventTime에 대한 기본값은 그대로 유지합니다. 쿼리 실행 시 요금은 검사한 데이터 양을 기준으로 청구됩니다. 비용을 제어하려면 쿼리에 시작 및 끝 eventTime 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.

   

6. (선택 사항) S3에 결과 저장(Save results to S3)를 선택하여 S3 버킷에 쿼리 결과를 저장합니다. 기본 S3 버킷을 선택하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 기본 S3 버킷을 선택하는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 s3:PutEncryptionConfiguration 작업에 대한 권한을 포함해야 합니다. 이 예에서는 기본 S3 버킷을 사용합니다.

   참고

   다른 버킷을 사용하려면 버킷 이름을 지정하거나 S3 검색를 선택하여 버킷을 선택합니다. 버킷 정책으로 쿼리 결과를 버킷에 전송할 수 있는 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책 단원을 참조하세요.

   

7. Run(실행)을 선택합니다. 이벤트 데이터 스토어의 크기와 포함된 데이터 일수에 따라 쿼리를 실행하는 데 몇 분이 걸릴 수 있습니다. 명령 출력(Command output) 탭에는 쿼리 상태와 쿼리의 실행 완료 여부가 표시됩니다. 쿼리 실행이 완료되면 쿼리 결과(Query results) 탭을 열어서 활성 쿼리(현재 편집기에 표시된 쿼리)에 대한 결과 테이블을 표시합니다.

8. CloudTrail이 S3 버킷으로 저장된 쿼리 결과 전송을 완료하면, 전송 상태(Delivery status) 열은 저장된 쿼리 결과 파일과 저장된 쿼리 결과를 확인하는 데 사용할 수 있는 서명 파일(sign file)이 있는 S3 버킷의 링크를 제공합니다. 쿼리 결과 파일과 S3 버킷의 서명 파일을 보려면 S3에서 보기(View in S3)를 선택합니다.

   참고

   쿼리 결과를 저장하면 쿼리 스캔이 완료된 후 CloudTrail에서 쿼리 결과를 전송하기 때문에 쿼리 결과가 S3 버킷에 표시되기 전에 CloudTrail 콘솔에 표시될 수 있습니다. 대부분의 쿼리는 몇 분 내에 완료되지만, 이벤트 데이터 스토어의 크기에 따라 CloudTrail에서 쿼리 결과를 S3 버킷으로 전달하는 데는 훨씬 더 오래 걸릴 수 있습니다. CloudTrail은 압축된 gzip 형식으로 S3 버킷에 쿼리 결과를 전달합니다. 쿼리 스캔이 완료된 후에는 S3 버킷으로 전송되는 데이터 GB당 평균 지연 시간 60~90초를 예상할 수 있습니다.

   

9. 쿼리 결과를 다운로드하려면, 쿼리 결과 파일(이 예에서는 result_1.csv.gz)을 선택하고 다운로드(Download)를 선택합니다.