콘솔을 사용하여 쿼리를 실행하고 쿼리 결과를 저장합니다.

1. 에 AWS Management Console 로그인하고 CloudTrail 콘솔을 엽니다 https://console.aws.amazon.com/cloudtrail/.

2. 탐색 창의 Lake에서 쿼리를 선택합니다.

3. 저장된 쿼리 또는 샘플 쿼리 탭에서 쿼리 이름을 선택하여 실행할 쿼리를 선택합니다.

4. 편집기 탭의 이벤트 데이터 스토어에 대해 드롭다운 목록에서 이벤트 데이터 스토어를 선택합니다.

5. (선택 사항) 편집기 탭에서 S3에 결과 저장를 선택하여 쿼리 결과를 S3 버킷에 저장합니다. 기본 S3 버킷을 선택하면 필요한 버킷 정책이 CloudTrail 생성되고 적용됩니다. 기본 S3 버킷을 선택하는 경우 기본적으로 버킷에 대해 서버 측 암호화가 활성화되므로 IAM 정책에 s3:PutEncryptionConfiguration 작업에 대한 권한이 포함되어야 합니다. 쿼리 결과 저장에 대한 자세한 내용은 저장된 쿼리 결과에 대한 추가 정보 단원을 참조하세요.

   참고

   다른 버킷을 사용하려면 버킷 이름을 지정하거나 S3 검색를 선택하여 버킷을 선택합니다. 버킷 정책은 쿼리 결과를 버킷에 전달할 CloudTrail 권한을 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 CloudTrail 레이크 쿼리 결과에 대한 Amazon S3 버킷 정책 단원을 참조하세요.

6. 편집 탭에서 실행을 선택합니다.

   이벤트 데이터 스토어의 크기와 포함된 데이터 일수에 따라 쿼리를 실행하는 데 몇 분이 걸릴 수 있습니다. 명령 출력(Command output) 탭에는 쿼리 상태와 쿼리의 실행 완료 여부가 표시됩니다. 쿼리 실행이 완료되면 쿼리 결과(Query results) 탭을 열어서 활성 쿼리(현재 편집기에 표시된 쿼리)에 대한 결과 테이블을 표시합니다.

Amazon S3 버킷에 쿼리 결과 저장

1. 에 AWS Management Console 로그인하고 에서 CloudTrail 콘솔을 여십시오. https://console.aws.amazon.com/cloudtrail/

2. 탐색 창의 Lake에서 쿼리를 선택합니다.

3. 샘플 쿼리(Sample queries) 또는 저장된 쿼리(Saved queries) 탭에서 쿼리 이름(Query name)을 선택하여 실행할 쿼리를 선택합니다. 이 예시에서는 사용자 작업 조사(Investigate user actions)라는 샘플 쿼리를 선택합니다.

4. 편집기 탭의 이벤트 데이터 스토어에 대해 드롭다운 목록에서 이벤트 데이터 스토어를 선택합니다. 목록에서 이벤트 데이터 저장소를 선택하면 From 줄에 이벤트 데이터 저장소 ID가 CloudTrail 자동으로 채워집니다.

5. 이 샘플 쿼리에서는 userIdentity.ARN 값을 편집하여 Admin이라는 이름의 사용자를 지정하고, eventTime에 대한 기본값은 그대로 유지합니다. 쿼리 실행 시 요금은 검사한 데이터 양을 기준으로 청구됩니다. 비용을 제어하려면 쿼리에 시작 및 끝 eventTime 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.

   

6. (선택 사항) S3에 결과 저장(Save results to S3)를 선택하여 S3 버킷에 쿼리 결과를 저장합니다. 기본 S3 버킷을 선택하면 필요한 버킷 정책을 CloudTrail 생성하고 적용합니다. 기본 S3 버킷을 선택하는 경우 기본적으로 버킷에 대해 서버 측 암호화가 활성화되므로 IAM 정책에 s3:PutEncryptionConfiguration 작업에 대한 권한이 포함되어야 합니다. 이 예에서는 기본 S3 버킷을 사용합니다.

   참고

   다른 버킷을 사용하려면 버킷 이름을 지정하거나 S3 검색를 선택하여 버킷을 선택합니다. 버킷 정책은 쿼리 결과를 버킷에 전달할 CloudTrail 권한을 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 CloudTrail 레이크 쿼리 결과에 대한 Amazon S3 버킷 정책 단원을 참조하세요.

   

7. Run(실행)을 선택합니다. 이벤트 데이터 스토어의 크기와 포함된 데이터 일수에 따라 쿼리를 실행하는 데 몇 분이 걸릴 수 있습니다. 명령 출력(Command output) 탭에는 쿼리 상태와 쿼리의 실행 완료 여부가 표시됩니다. 쿼리 실행이 완료되면 쿼리 결과(Query results) 탭을 열어서 활성 쿼리(현재 편집기에 표시된 쿼리)에 대한 결과 테이블을 표시합니다.

8. 저장된 쿼리 결과를 S3 버킷으로 전송이 CloudTrail 완료되면 전송 상태 열에 저장된 쿼리 결과 파일과 저장된 쿼리 결과를 확인하는 데 사용할 수 있는 서명 파일이 들어 있는 S3 버킷으로 연결되는 링크가 제공됩니다. 쿼리 결과 파일과 S3 버킷의 서명 파일을 보려면 S3에서 보기(View in S3)를 선택합니다.

   참고

   쿼리 결과를 저장하면 쿼리 스캔이 완료된 후 쿼리 결과가 CloudTrail 전달되므로 S3 버킷에서 보기 전에 쿼리 결과가 CloudTrail 콘솔에 표시될 수 있습니다. 대부분의 쿼리는 몇 분 내에 완료되지만 이벤트 데이터 스토어의 크기에 따라 쿼리 결과를 S3 CloudTrail 버킷으로 전달하는 데 시간이 상당히 오래 걸릴 수 있습니다. CloudTrail 쿼리 결과를 압축된 gzip 형식으로 S3 버킷에 전달합니다. 쿼리 스캔이 완료된 후에는 S3 버킷으로 전송되는 데이터 GB당 평균 지연 시간 60~90초를 예상할 수 있습니다.

   

9. 쿼리 결과를 다운로드하려면, 쿼리 결과 파일(이 예에서는 result_1.csv.gz)을 선택하고 다운로드(Download)를 선택합니다.