콘솔을 사용하여 트레일의 CloudTrail Insights 이벤트 보기 - AWS CloudTrail
Insights 이벤트 필터링Insights 이벤트 세부 정보 보기그래프 확대/축소, 이동 및 다운로드그래프 시간 범위 설정 변경Insights 이벤트 다운로드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

콘솔을 사용하여 트레일의 CloudTrail Insights 이벤트 보기

트레일에서 CloudTrail Insights 이벤트를 활성화한 후 API 비정상적이거나 오류율이 높은 활동이 CloudTrail 감지되면 Insights 이벤트를 CloudTrail 생성하여 의 대시보드Insights 페이지에 표시합니다. AWS Management Console콘솔에서 Insights 이벤트를 확인하고 비정상적인 활동의 문제를 해결할 수 있습니다. 가장 최근 90일간의 Insights 이벤트가 콘솔에 표시됩니다. AWS CloudTrail 콘솔을 사용하여 Insights 이벤트를 다운로드할 수도 있습니다. OR를 사용하여 프로그래밍 방식으로 이벤트를 조회할 수 있습니다 AWS SDKs. AWS Command Line Interface CloudTrail Insights 이벤트에 대한 자세한 내용은 이 Insights 이벤트 로깅 가이드의 내용을 참조하십시오.

참고

API통화량에 Insights 이벤트를 기록하려면 트레일에서 write 관리 이벤트를 기록해야 합니다. API오류율에 따라 Insights 이벤트를 기록하려면 트레일에서 read 또는 write 관리 이벤트를 기록해야 합니다.

인사이트 이벤트가 로깅되고 나면 이벤트가 90일 동안 Insights(인사이트) 페이지에 표시됩니다. Insights(인사이트) 페이지에서 이벤트를 수동으로 삭제할 수 없습니다. CloudTrail Insights를 활성화하려면 먼저 트레일을 생성해야 하므로 트레일 설정에 구성된 S3 버킷에 저장하기만 하면 트레일에 기록된 Insights 이벤트를 볼 수 있습니다.

Amazon CloudWatch Logs에서 트레일 로그를 모니터링하고 특정 Insights 이벤트 활동이 발생하면 알림을 받을 수 있습니다. 자세한 내용은 Amazon Logs를 사용한 CloudTrail CloudWatch 로그 파일 모니터링 단원을 참조하십시오.

Insights 이벤트를 보려면

CloudTrail 콘솔에서 Insights 이벤트를 보려면 트레일에서 Insights 이벤트를 활성화해야 합니다. 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 CloudTrail 전송되기까지 최대 36시간이 걸릴 수 있습니다.

  1. https://console.aws.amazon.com/cloudtrail/집에 AWS Management Console 로그인하고 CloudTrail 콘솔을 여십시오/.

  2. 탐색 창에서 [대시보드(Dashboard)]를 선택하여 가장 최근의 Insights 이벤트 5개를 확인하거나 [인사이트(Insights)]를 선택하여 최근 90일 동안 계정에 로그된 모든 Insights 이벤트를 확인합니다.

    Insights 페이지에서 이벤트 API 소스, 이벤트 이름, 이벤트 ID 등의 기준에 따라 Insights 이벤트를 필터링하고 특정 시간 범위 내에서 발생하는 이벤트로 표시할 이벤트를 제한할 수 있습니다. Insights 이벤트 필터링에 대한 자세한 내용은 Insights 이벤트 필터링 단원을 참조하세요.

Insights 이벤트 필터링

Insights(인사이트)의 기본 이벤트 표시는 역연대순으로 이벤트를 표시합니다. 이벤트 시작 시간별로 정렬된 최신 Insights 이벤트가 맨 위에 있습니다. 다음 목록에서는 사용 가능한 속성에 대해 설명합니다. 처음 세 속성인 이벤트 이름(Event name), 이벤트 소스(Event source), 및 이벤트 ID(Event ID)에 대해 필터링할 수 있습니다.

CloudTrail Insights 이벤트 목록은 필터링합니다.
이벤트 이름

일반적으로 비정상적인 수준의 활동이 기록된 이벤트의 이름입니다. AWS API

Insights 유형

CloudTrail Insights 이벤트의 유형으로, API통화율 또는 API오류율입니다. API통화 속도 인사이트 유형은 기준 API 통화량을 기준으로 분당 집계되는 쓰기 전용 관리 API 호출을 분석합니다. API오류율 인사이트 유형은 오류 코드를 초래하는 관리 API 통화를 분석합니다. API통화가 실패하면 오류가 표시됩니다.

이벤트 소스

요청이 이루어진 AWS 서비스 (예: iam.amazonaws.com 또는s3.amazonaws.com). [Event source] 필터를 선택한 후 이벤트 소스 목록을 스크롤할 수 있습니다.

이벤트 ID

인사이트 이벤트의 ID입니다. IDs이벤트는 Insights 페이지 테이블에 표시되지 않지만 Insights 이벤트를 필터링할 수 있는 속성입니다. Insights 이벤트를 생성하기 위해 분석되는 관리 이벤트의 이벤트는 Insights IDs 이벤트의 이벤트와 다릅니다. IDs

이벤트 시작 시간

비정상적인 활동이 기록된 첫 번째 분으로 측정된 Insights 이벤트의 시작 시간입니다. 이 속성은 [인사이트(Insights)] 테이블에 표시됩니다. 그러나 콘솔에서 이벤트 시작 시간을 필터링할 수 없습니다.

기준 평균

API통화율 또는 오류율 활동의 일반적인 패턴. 기준 평균은 Insights 이벤트가 시작되기 전 7일 동안 계산됩니다. 기준 기간 (정상 활동을 CloudTrail 분석하는 기간) 의 값은 약 7일이지만 기준 기간을 전체 정수로 CloudTrail 반올림하므로 정확한 기준 기간은 달라질 APIs 수 있습니다.

Insight 평균

Insights 이벤트를 트리거한 API 대상 호출에 대해 반환된 평균 통화 수 또는 특정 오류의 평균 횟수입니다. API 시작 이벤트의 CloudTrail Insights 평균은 Insights 이벤트를 트리거한 발생 건수의 비율입니다. 일반적으로 이것은 비정상적인 활동의 첫 번째 분입니다. 종료 이벤트에 대한 Insights 평균은 시작 Insights 이벤트와 종료 Insights 이벤트 사이의 비정상적인 활동 기간 동안 발생하는 비율입니다.

요율 변경

백분율로 측정된 기준 평균(Baseline average)Insight 평균(Insight average)의 값 간의 차이입니다. 예를 들어, 발생하는 AccessDenied 오류의 기준 평균이 1.0이고 Insight 평균이 3.0인 경우 요율 변경은 300%입니다. 기준 평균을 초과하는 Insight 평균의 요율 변경은 값 옆에 위쪽 화살표가 표시합니다. 활동이 기준 평균보다 낮기 때문에 Insights 이벤트가 로그된 경우 요율 변경(Rate change)은 백분율 옆에 아래쪽 화살표를 표시합니다.

선택한 속성 또는 시간에 대해 로깅된 이벤트가 없는 경우 결과 목록이 비어 있습니다. 시간 범위 이외에 속성 필터 하나만 적용할 수 있습니다. 다른 속성 필터를 선택하는 경우 지정된 시간 범위가 유지됩니다.

다음 단계는 속성을 기준으로 필터링하는 방법을 설명합니다.

속성을 기준으로 필터링하려면

  1. 속성을 기준으로 결과를 필터링하려면 드롭다운 메뉴에서 조회 속성을 선택한 다음, [조회 값 입력(Enter a lookup value)] 상자에 값을 입력하거나 선택합니다.

  2. 속성 필터를 제거하려면 속성 필터 상자의 오른쪽에 있는 X를 선택합니다.

다음 단계는 시작/종료 날짜 및 시간을 기준으로 필터링하는 방법을 설명합니다.

시작/종료 날짜 및 시간을 기준으로 필터링하려면

  1. 확인하려는 이벤트의 시간 범위를 좁히려면 테이블 상단의 기간 막대에서 시간 범위를 선택합니다. 사전 설정된 시간 범위로는 30분, 1시간, 3시간 또는 12시간이 있습니다. 사용자 지정 시간 범위를 지정하려면 [사용자 지정(Custom)]을 선택합니다.

  2. 다음 탭 중 하나를 선택합니다.

    • [절대(Absolute)] - 특정 시간을 선택할 수 있습니다. 다음 단계로 이동합니다.

    • [선택한 이벤트에 상대적(Relative to selected event)] - 기본값으로 선택됩니다. Insights 이벤트의 시작 시간을 기준으로 기간을 선택할 수 있습니다. 4단계로 이동합니다.

  3. 절대 시간 범위를 설정하려면 다음을 수행합니다.

    1. [절대(Absolute)] 탭에서 시간 범위를 시작할 날짜를 선택합니다. 선택한 날짜의 시작 시간을 입력합니다. 날짜를 수동으로 입력하려면 yyyy/mm/dd 형식으로 날짜를 입력합니다. 시작 및 종료 시간은 24시간제를 사용하며 값은 hh:mm:ss 형식이어야 합니다. 예를 들어 오후 6시 30분의 시작 시간을 나타내려면 18:30:00을 입력합니다.

    2. 달력에서 범위의 종료 날짜를 선택하거나 달력 아래에서 종료 날짜 및 시간을 지정합니다. 적용을 선택합니다.

  4. 선택한 이벤트에 상대적 시간 범위를 설정하려면 다음을 수행합니다.

    1. Insights 이벤트의 시작 시간을 기준으로 사전 설정된 기간을 선택합니다. 사전 설정된 값은 분, 시간, 일 또는 주 단위로 지정 가능합니다. 최대 상대 기간은 12주입니다.

    2. 필요한 경우 사전 설정 아래의 상자에서 사전 설정 값을 사용자 지정합니다. 필요한 경우 [지우기(Clear)]를 선택하여 변경 사항을 재설정합니다. 원하는 상대 시간을 설정했으면 [적용(Apply)]을 선택합니다.

  5. 에서 요일을 선택하고 시간 범위의 끝으로 사용할 시간을 지정합니다. 적용을 선택합니다.

  6. 시간 범위 필터를 제거하려면 시간 범위 상자의 오른쪽에 있는 달력 아이콘을 선택한 다음 제거를 선택합니다.

Insights 이벤트 세부 정보 보기

  1. 결과 목록에서 인사이트 이벤트를 선택하여 세부 정보를 표시합니다. 인사이트 이벤트의 세부 정보 페이지에는 비정상적인 활동 일정 그래프가 표시됩니다.

    비정상적인 API 활동을 보여주는 CloudTrail Insights 세부 정보 페이지.

  2. 그래프에서 각 Insights 이벤트의 시작 시간 및 지속 기간을 표시하려면 강조 표시된 밴드 위로 마우스를 가져갑니다.

    인사이트 이벤트 위로 마우스를 가져간 후 표시되는 인사이트 이벤트 통계입니다.

    다음 정보는 그래프의 추가 정보(Additional information) 영역에 표시됩니다.

    • [인사이트 유형(Insight type)]. 이는 API 통화율이나 API 오류율일 수 있습니다.

    • [트리거(Trigger)] [CloudTrail 이벤트(Cloudtrail events)] 탭에 대한 링크로, 비정상적인 활동이 발생했는지 확인하기 위해 분석된 관리 이벤트를 나열합니다.

    • API분당 통화 수

      • 기준 평균 - 계정 내 특정 지역에서 인사이트 이벤트가 기록된 분당 일반적인 발생 횟수로, 약 지난 7일 이내에 측정한 수치입니다. API

      • 인사이트 평균 - Insights 이벤트를 트리거한 이벤트의 분당 발생률입니다API. 시작 이벤트의 CloudTrail Insights 평균은 Insights 이벤트를 API 트리거한 이벤트의 분당 통화 또는 오류 비율입니다. 일반적으로 이것은 비정상적인 활동의 첫 번째 분입니다. 최종 이벤트의 Insights 평균은 Insights 시작 이벤트와 종료 Insights 이벤트 종료 사이의 비정상적인 활동이 발생한 기간 동안의 분당 API 통화 또는 오류 비율입니다.

    • [이벤트 소스(Event source)]. 비정상적으로 많은 수의 API 통화 또는 오류가 기록된 AWS 서비스 엔드포인트입니다. 위 이미지에서 소스는 ec2.amazonaws.com EC2 Amazon의 서비스 엔드포인트입니다.

    • 이벤트 IDs.

      • 시작 이벤트 ID - 비정상적인 활동 시작 시 로그된 Insights 이벤트의 ID입니다.

      • 종료 이벤트 ID - 비정상적인 활동 종료 시 로그된 Insights 이벤트의 ID입니다.

      • 공유 이벤트 ID - Insights 이벤트에서 공유 이벤트 ID는 Insights 이벤트의 시작 및 종료 쌍을 고유하게 식별하기 위해 CloudTrail Insights에서 생성하는 ID입니다. GUID 공유 이벤트 ID는 시작 Insights 이벤트와 종료 Insights 이벤트 간에 공통으로 두 이벤트 간의 상관 관계를 생성하여 비정상적인 활동을 고유하게 식별하는 데 도움이 됩니다.

  3. 어트리뷰션 탭을 선택하면 사용자 ID, 사용자 에이전트, API 통화 속도 인사이트 이벤트, 비정상적 활동 및 기본 활동과 관련된 오류 코드에 대한 정보를 볼 수 있습니다. 최대 5개의 사용자 자격 증명, 5개의 사용자 에이전트 및 5개의 오류 코드가 [속성(Attributions)] 탭의 테이블에 표시되며, 활동 수의 평균을 기준으로 가장 높은 것에서 가장 낮은 것까지 내림차순으로 정렬됩니다.

  4. CloudTrail 이벤트 탭에서 비정상적인 활동이 발생했음을 확인하기 위해 CloudTrail 분석된 관련 이벤트를 볼 수 있습니다. 기본적으로 Insights 이벤트 이름 (관련 이름) 에는 필터가 이미 적용되어 API 있습니다. CloudTrail 이벤트 탭에는 Insights 이벤트의 시작 시간 (1분 미만) 과 종료 시간 (1분 추가) 사이에 API 발생한 주제 관련 CloudTrail 관리 이벤트가 표시됩니다.

    그래프에서 다른 Insights 이벤트를 선택하면 이벤트 테이블에 표시된 CloudTrail 이벤트가 변경됩니다. 이러한 이벤트는 심층 분석을 수행하여 Insights 이벤트의 가능한 원인과 비정상적인 API 활동의 원인을 파악하는 데 도움이 됩니다.

    관련 CloudTrail API 이벤트뿐 아니라 Insights 이벤트 기간 동안 기록된 모든 이벤트를 표시하려면 필터를 끄십시오.

  5. Insights 이벤트 레코드 탭을 선택하면 Insights 시작 및 종료 이벤트를 JSON 형식으로 볼 수 있습니다.

  6. 연결된 [이벤트 소스(Event source)]를 선택하면 해당 이벤트 소스로 필터링된 [인사이트(Insights)] 페이지로 돌아갑니다.

그래프 확대/축소, 이동 및 다운로드

인사이트 이벤트 세부 정보 페이지에서 오른쪽 상단 모서리에 있는 도구 모음을 사용하여 그래프 축을 확대/축소, 이동 및 재설정할 수 있습니다.

축 명령 도구 모음으로 PNG 다운로드, 확대, 이동, 확대, 축소, 축 재설정 등의 작업을 수행할 수 있습니다.

왼쪽에서 오른쪽으로 그래프 도구 모음의 명령 단추는 다음을 수행합니다.

  • 플롯을 a로 다운로드 PNG - 세부 정보 페이지에 표시된 그래프 이미지를 다운로드하고 PNG 형식으로 저장합니다.

  • 확대/축소 - 그래프에서 확대해서 더 자세히 보고 싶은 영역을 드래그하여 선택합니다.

  • 이동 - 그래프를 이동하여 인접한 날짜 또는 시간을 확인합니다.

  • 축 재설정 - 그래프 축을 원래 상태로 다시 변경하여 확대/축소 및 이동 설정을 지웁니다.

그래프 시간 범위 설정 변경

그래프의 오른쪽 상단 모서리에 있는 설정을 선택하여 그래프에 표시되는 시간 범위(x 축에 표시되는 이벤트의 선택된 기간)를 변경할 수 있습니다.

Insights 이벤트의 시간 범위 컨트롤입니다.

그래프에 표시되는 기본 시간 범위는 선택한 인사이트 이벤트의 지속 시간에 따라 다릅니다.

인사이트 이벤트 기간 기본 시간 범위

4시간 미만

3h(3시간)

4 ~ 12시간

12h(12시간)

12 ~ 24시간

1d(1일)

24 ~ 72시간

3d(3일)

72시간 이상

1w(1주일)

5분, 30분, 1시간, 3시간, 12시간의 사전 설정 또는 [사용자 지정(Custom)]을 선택할 수 있습니다. 다음 이미지는 [사용자 지정(Custom)] 설정에서 선택할 수 있는 [선택한 이벤트에 상대적(Relative to selected event)] 기간을 보여 줍니다. 상대 기간은 인사이트 이벤트 세부 정보 페이지에 표시되는 선택한 인사이트 이벤트의 시작과 종료를 아우르는 대략적인 기간입니다.

Insights 그래프 시간 범위 사용자 지정 구성, [상대적(Relative)] 시간

선택한 사전 설정을 사용자 지정하려면 사전 설정 아래의 상자에서 숫자와 시간 단위를 지정합니다.

정확한 날짜 및 시간 범위를 지정하려면 절대 탭을 선택합니다. 절대 날짜 및 시간 범위를 설정하는 경우 시작 및 종료 시간이 필수입니다. 시간을 설정하는 방법에 대한 자세한 내용은 이 주제의 Insights 이벤트 필터링 단원을 참조하세요.

Insights 그래프 시간 범위 사용자 지정 구성, 절대 시간

Insights 이벤트 다운로드

기록된 Insights 이벤트 기록을 파일 CSV 또는 JSON 형식으로 다운로드할 수 있습니다. 필터 및 시간 범위를 사용하여 다운로드하는 파일의 크기를 줄입니다.

참고

CloudTrail 이벤트 기록 파일은 개별 사용자가 구성할 수 있는 정보 (예: 리소스 이름) 가 포함된 데이터 파일입니다. 일부 데이터는 이 데이터를 읽고 분석하는 데 사용되는 프로그램의 명령 (CSV삽입) 으로 해석될 수 있습니다. 예를 들어 스프레드시트 프로그램으로 CloudTrail 이벤트를 내보내고 스프레드시트 프로그램으로 가져오는 경우 해당 프로그램에서 보안 문제에 대해 경고할 수 있습니다. CSV 보안상 가장 좋은 방법은 다운로드한 이벤트 기록 파일에서 링크나 매크로를 비활성화하는 것입니다.

  1. 다운로드하려는 이벤트에 대한 필터 및 시간 범위를 지정합니다. 예를 들어, 이벤트 이름 StartInstances를 지정하고 지난 3일 동안의 활동에 대한 시간 범위를 지정할 수 있습니다.

  2. 이벤트 다운로드를 선택한 다음 다운로드 CSV JSON 또는 다운로드를 선택합니다. 파일을 저장할 위치를 선택하라는 메시지가 표시됩니다.

    참고

    다운로드가 완료되는 데 약간의 시간이 걸릴 수 있습니다. 더 빠른 결과를 얻으려면 다운로드 프로세스를 시작하기 전에 더 구체적인 필터 또는 더 짧은 시간 범위를 사용하여 결과를 좁히십시오.

  3. 다운로드가 완료되면 파일을 열어 지정한 이벤트를 확인합니다.

  4. 다운로드를 취소하려면 다운로드 취소를 선택합니다. 다운로드가 완료되기 전에 취소하면 로컬 컴퓨터에 있는 CSV 또는 JSON 파일에 이벤트의 일부만 포함될 수 있습니다.