기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 통한 최근 관리 이벤트 보기 AWS CLI
aws cloudtrail lookup-events명령을 AWS 리전 사용하여 지난 90일 동안의 CloudTrail 관리 이벤트에서 현재 이벤트를 조회할 수 있습니다. 이 aws cloudtrail lookup-events 명령은 이벤트가 발생한 AWS 리전 위치의 이벤트를 표시합니다.
조회는 관리 이벤트에 대해 다음과 같은 속성을 지원합니다.
-
AWS 액세스 키
-
이벤트 ID
-
이벤트 이름
-
이벤트 소스
-
읽기 전용
-
리소스 이름
-
리소스 유형
-
사용자 이름
모든 속성은 선택 사항입니다.
lookup-events
-
--max-items
<integer>
— 명령 출력에서 반환할 총 항목 수입니다. 사용 가능한 총 항목 수가 지정된 값을 초과하는 경우 명령의 출력에NextToken
이 제공됩니다. 페이지 매김을 재개하려면, 후속 명령의 시작 토큰에NextToken
값을 제공합니다. AWS CLI외부에서 직접NextToken
응답 요소를 사용하면 안 됩니다. -
--start-time
<timestamp>
— 지정된 시간 이후 또는 지정된 시간에 발생하는 이벤트만 반환되도록 지정합니다. 지정된 시작 시간이 지정된 종료 시간 이후인 경우 오류가 반환됩니다. -
--lookup-attributes
<integer>
— 조회 속성 목록을 포함합니다. 현재 이 목록에는 항목 하나만 포함될 수 있습니다. -
--generate-cli-skeleton
<string>
— 요청을 보내지 않고 JSON 스켈레톤을 표준 출력으로 인쇄합니다. API 값이나 값 입력이 없는 경우 인수로 사용할 수 JSON 있는 샘플 입력을 인쇄합니다.--cli-input-json
마찬가지로 yaml-input을 제공하면 함께 사용할 수 YAML 있는 샘플 입력이 인쇄됩니다.--cli-input-yaml
값 출력과 함께 제공되면 명령 입력의 유효성을 검사하고 해당 명령에 JSON 대한 샘플 출력을 반환합니다. 생성된 JSON 스켈레톤은 버전 간에 안정적이지 않으며 생성된 스켈레톤에는 이전 버전과의 호환성이 보장되지 않습니다. AWS CLI JSON -
--cli-input-json
<string>
— 제공된 문자열에서 인수를 읽습니다. JSON JSON문자열은--generate-cli-skeleton
매개변수에서 제공하는 형식을 따릅니다. 명령줄에 다른 인수가 제공되면 해당 값이 JSON -제공된 값보다 우선합니다. 문자열은 문자 그대로 사용되므로 JSON -제공된 값을 사용하여 임의의 2진수 값을 전달할 수 없습니다. 이 값은--cli-input-yaml
파라미터와 함께 지정할 수 없습니다.
AWS 명령줄 인터페이스 사용에 대한 일반적인 정보는 AWS Command Line Interface 사용자 안내서를 참조하십시오.
목차
사전 조건
-
AWS CLI 명령을 실행하려면 를 설치해야 합니다 AWS CLI. 자세한 내용은 시작하기를 참조하십시오 AWS CLI.
-
AWS CLI 버전이 1.6.6 이상인지 확인하세요. CLI버전을 확인하려면 aws --version 명령줄에서 실행합니다.
-
AWS CLI 세션의 계정 및 기본 출력 형식을 설정하려면 aws configure 명령을 사용합니다. AWS 리전자세한 내용은 AWS 명령줄 인터페이스 구성을 참조하십시오.
참고
CloudTrail AWS CLI 명령은 대소문자를 구분합니다.
명령줄 도움말 받기
lookup-events
에 대한 명령줄 도움말을 보려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events help
이벤트 조회
중요
조회 요청 속도는 계정당, 리전당 초당 2회로 제한됩니다. 이 한도를 초과하면 제한 오류가 발생합니다.
최근 이벤트 10개를 보려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --max-items 10
반환된 이벤트는 가독성을 위해 다음과 같이 가상의 예제와 비슷하게 표시됩니다.
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=", "Events": [ { "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", "Username": "root", "EventTime": 1424476529.0, "CloudTrailEvent": "{ \"eventVersion\":\"1.02\", \"userIdentity\":{ \"type\":\"Root\", \"principalId\":\"111122223333\", \"arn\":\"arn:aws:iam::111122223333:root\", \"accountId\":\"111122223333\"}, \"eventTime\":\"2015-02-20T23:55:29Z\", \"eventSource\":\"signin.amazonaws.com\", \"eventName\":\"ConsoleLogin\", \"awsRegion\":\"us-east-2\", \"sourceIPAddress\":\"203.0.113.4\", \"userAgent\":\"Mozilla/5.0\", \"requestParameters\":null, \"responseElements\":{\"ConsoleLogin\":\"Success\"}, \"additionalEventData\":{ \"MobileVersion\":\"No\", \"LoginTo\":\"https://console.aws.amazon.com/console/home", \"MFAUsed\":\"No\"}, \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\", \"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"111122223333\"}", "EventName": "ConsoleLogin", "Resources": [] } ] }
출력에서 조회 관련 필드에 대한 설명은 이 문서 후반에 있는 조회 출력 필드 단원을 참조하세요. CloudTrail 이벤트의 필드에 대한 설명은 을 참조하십시오. CloudTrail 기록 내용
반환할 이벤트 수 지정
반환할 이벤트 수를 지정하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --max-items
<integer>
가능한 값은 1에서 50까지입니다. 다음 예제는 하나의 이벤트를 반환합니다.
aws cloudtrail lookup-events --max-items 1
시간 범위별 이벤트 조회
지난 90일간의 이벤트를 조회할 수 있습니다. 시간 범위를 지정하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --start-time
<timestamp>
--end-time<timestamp>
--start-time
에서 UTC 지정된 시간 이후 또는 지정된 시간에 발생하는 이벤트만 반환되도록 지정합니다. 지정된 시작 시간이 지정된 종료 시간 이후인 경우 오류가 반환됩니다.<timestamp>
--end-time
in은 UTC 지정된 시간 이전 또는 지정된 시간에 발생한 이벤트만 반환되도록 지정합니다. 지정된 종료 시간이 지정된 시작 시간 이전인 경우 오류가 반환됩니다.<timestamp>
기본 시작 시간은 최근 90일 중 데이터가 확인되는 가장 이른 날짜입니다. 기본 종료 시간은 현재 시간과 가장 근접해 발생한 이벤트의 시간입니다.
모든 타임스탬프는 에 표시됩니다. UTC
속성별 이벤트 조회
속성별로 필터링하려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=
<attribute>
,AttributeValue=<string>
각 lookup-events 명령에 대한 속성 키/값 페어 하나만 지정할 수 있습니다. AttributeKey
의 유효한 값은 다음과 같습니다. 값 이름은 대/소문자를 구분합니다.
-
AccessKeyId
-
EventId
-
EventName
-
EventSource
-
ReadOnly
-
ResourceName
-
ResourceType
-
Username
의 최대 길이는 AttributeValue
2000자입니다. 다음 문자 ('', _
'',
'', ,
\\n
') 는 2자로 계산되며 최대 2000자까지 입력할 수 있습니다.
속성 조회 예제
다음 예제 명령은 AccessKeyId
값이 AKIAIOSFODNN7EXAMPLE
인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE
다음 예제 명령은 지정된 이벤트에 대한 이벤트를 반환합니다 CloudTrailEventId
.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
다음 예제 명령은 EventName
값이 RunInstances
인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances
다음 예제 명령은 EventSource
값이 iam.amazonaws.com
인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com
다음 예제 명령은 쓰기 이벤트를 반환합니다. GetBucketLocation
및 DescribeStream
등의 읽기 이벤트는 제외됩니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false
다음 예제 명령은 ResourceName
값이 CloudTrail_CloudWatchLogs_Role
인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role
다음 예제 명령은 ResourceType
값이 AWS::S3::Bucket
인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket
다음 예제 명령은 Username
값이 root
인 이벤트를 반환합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
결과의 다음 페이지 지정
lookup-events
명령에서 결과의 다음 페이지를 가져오려면 다음 명령을 입력하십시오.
aws cloudtrail lookup-events
<same parameters as previous command>
--next-token=<token>
여기서 값은 <token>
이전 명령 출력의 첫 번째 필드에서 가져옵니다.
명령에서 --next-token
을 사용할 때 이전 명령과 같은 파라미터를 사용해야 합니다. 예를 들어 다음과 같은 명령을 실행한다고 가정하겠습니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
결과의 다음 페이지를 가져오기 위해 사용하는 다음 명령은 아래와 유사합니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=
파일에서 JSON 입력 가져오기
일부 AWS 서비스의 경우 에는 두 개의 매개 변수가 --generate-cli-skeleton
있으며--cli-input-json
, 이를 사용하여 JSON 템플릿을 생성하여 매개 --cli-input-json
변수에 AWS CLI 대한 입력으로 수정 및 사용할 수 있습니다. 이 단원에서는 aws cloudtrail lookup-events
로 이러한 파라미터를 사용하는 방법을 설명합니다. 일반적인 정보는 AWS CLI 스켈레톤 및 입력 파일을 참조하십시오.
파일에서 JSON 입력을 받아 CloudTrail 이벤트를 조회하려면
-
다음 예와 같이
--generate-cli-skeleton
출력을 파일로 리디렉션하여lookup-events
와 함께 사용할 입력 템플릿을 생성합니다.aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt
생성된 템플릿 파일 (이 LookupEvents 경우에는.txt) 은 다음과 같습니다.
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": "" }
-
텍스트 편집기를 사용하여 JSON 필요에 따라 수정합니다. JSON입력에는 지정된 값만 포함되어야 합니다.
중요
템플릿을 사용하기 전에 템플릿에서 모든 비어 있는 값이나 null 값을 제거해야 합니다.
다음 예제에서는 반환할 최대 결과 수와 시간 범위를 지정합니다.
{ "StartTime": "2023-11-01", "EndTime": "2023-12-12", "MaxResults": 10 }
-
편집한 파일을 입력으로 사용하려면 다음 구문을 사용하십시오.
--cli-input-json file://
<filename>
다음 예제와 같습니다.aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
참고
--cli-input-json
과 동일한 명령줄에서 다른 인수를 사용할 수 있습니다.
조회 출력 필드
- 이벤트
-
조회 속성과 지정된 시간 범위를 기반으로 한 조회 이벤트 목록입니다. 이벤트 목록은 최신 이벤트부터 먼저 나열되는 시간별로 정렬됩니다. 각 항목은 조회 요청에 대한 정보를 포함하며 검색된 CloudTrail 이벤트의 문자열 표현을 포함합니다.
다음 항목은 각 조회 이벤트의 필드를 설명합니다.
- CloudTrailEvent
-
JSON반환된 이벤트의 개체 표현이 포함된 문자열입니다. 반환된 각 요소에 관한 정보는 레코드 본문 콘텐츠를 참조하십시오.
- EventId
-
반환된 이벤트가 포함된 문자열입니다. GUID
- EventName
-
반환된 이벤트 이름을 포함한 문자열입니다.
- EventSource
-
요청이 이루어진 AWS 서비스.
- EventTime
-
이벤트의 날짜 및 UNIX 시간 (시간 형식).
- 리소스
-
반환된 이벤트가 참조하는 리소스 목록입니다. 각 리소스 항목은 리소스 유형 및 리소스 이름을 지정합니다.
- ResourceName
-
이벤트가 참조하는 리소스 이름을 포함하는 문자열입니다.
- ResourceType
-
이벤트가 참조하는 리소스 유형을 포함하는 문자열입니다. 리소스 유형을 결정할 수 없는 경우 null이 반환됩니다.
- 사용자 이름
-
반환된 이벤트에 대한 계정 사용자 이름을 포함하는 문자열입니다.
- NextToken
-
이전
lookup-events
명령에서 결과의 다음 페이지를 가져오는 문자열입니다. 토큰을 사용하기 위해 파라미터는 원래 명령의 것과 같아야 합니다. 출력에NextToken
항목이 나타나지 않는 경우 더 반환할 결과가 없는 것입니다.