CloudTrail

cloudtrail은 90일 동안의 로그만 기록함

이벤트 로그는 Json 형식으로 남는다.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Root",
        "principalId": "917310548287",
        "arn": "arn:aws:iam::917310548287:root",
        "accountId": "917310548287",
        "accessKeyId": ""
    },
    "eventTime": "2024-01-26T07:42:36Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "ConsoleLogin",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "...",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
    "requestParameters": null,
    "responseElements": {
        "ConsoleLogin": "Success"
    },
    "additionalEventData": {
        "LoginTo": "https://console.aws.amazon.com/console/home?hashArgs=%23&isauthcode=true&state=hashArgsFromTB_ap-southeast-2_28b8e3a07f8a0511",
        "MobileVersion": "No",
        "MFAIdentifier": "...",
        "MFAUsed": "Yes"
    },
    "eventID": "c4133573-fe54-4919-859d-223fb120b419",
    "readOnly": false,
    "eventType": "AwsConsoleSignIn",
    "managementEvent": true,
    "recipientAccountId": "917310548287",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "signin.aws.amazon.com"
    }
}

영구적인 저장 및 분석

영구적인 저장과 분석을 위해서는 추적(trail)을 따로 생성해야 함

로그를 저장하고 있다면 Athena를 활용하여 분석할 수 있다. (표준 ANSI SQL)

Event 종류

관리 이벤트 : 기본적인 이벤트, AWS 리소스에 대한 오퍼레이션 로그 예) EC2 생성, 사용자 생성
데이터 이벤트 : 실제 데이터를 다루게 되는 이벤트 이력 예) s3 read/write, 람다 사용
Insight 이벤트 :

PreviousNACL과 Security Group NextAWS Well-Architecture Framwork

Last updated 2 years ago

hashtagCloudTrail

hashtag영구적인 저장 및 분석

hashtagEvent 종류

CloudTrail

영구적인 저장 및 분석

Event 종류