CloudTrail은 사용자가 어떤 행위를 했는지 기록하는 서비스입니다.
다양한 이름으로 이벤트가 기록되며 90일이 지난 후에는 Event history(이벤트 기록)에 더 이상 표시되지 않습니다. 또한 Event history(이벤트 기록)에서 수동 삭제할 수 없습니다.
이벤트 데이터 스토어 / 추적을 생성하면 최대 7년 또는 2557일 동안 이벤트를 보관할 수 있습니다.
CloudTrail - Event history(이벤트 기록) 메뉴에 진입하면 어떤 유저가 접속해서 어떤 행위를 했는지 기록되어 있습니다.
이벤트는 여러 가지 방식으로 필터링을 할 수 있는데 모든 콘솔 로그인 이벤트를 보려면 이벤트 이름 필터를 선택하고 ConsoleLogin을 지정할 수 있습니다.
CloudTrail - Event history(이벤트 기록) 메뉴에 진입하면 어떤 유저가 접속해서 어떤 행위를 했는지 기록되어 있습니다.
이벤트는 여러 가지 방식으로 필터링을 할 수 있는데 모든 콘솔 로그인 이벤트를 보려면 이벤트 이름 필터를 선택하고 ConsoleLogin을 지정할 수 있습니다.
이벤트 클릭(ConsoleLogin) 시 이벤트에 대한 상세 정보를 확인 할 수 있습니다.
사용자 이름, 접속 시간/IP, 브라우저 등 JSON 형식으로 기록된 정보를 볼 수 있습니다.
이러한 이벤트 기록을 CloudWatch Logs로 보낼 수도 있습니다.
특정 이벤트에 대한 CloudWatch 경보를 생성하여 알림을 전송하도록 구성 할 수 있으니 아래 링크를 참고 하시면 좋을 것 같아요~!!
[Amazon CloudWatch Logs로 CloudTrail 로그 파일 모니터링]
이러한 Event 기록을 통해 AWS 콘솔 이용에 대한 이슈 사항을 확인해 보겠습니다.
AWS 콘솔 접속 시 모든 서비스 이용이 거부된다는 접수가 있었습니다.
저희는 AWS 콘솔 이용 시 특정 IP대역만 서비스 이용이 가능하도록 IAM정책을 지정했습니다.
그래서 CloudTrail의 Event를 통해 접속 IP를 확인해 보았습니다.
183.111 대역으로 접속 시 원활한 서비스 이용이 가능했으나 서비스 이용이 제한된 경우 다른 IP로 접속 되고 있는 것을 확인 할 수 있습니다.
이벤트 로그 상세 확인 시 sourceIPAddress, errorCode, errorMessage의 내용으로 서비스 이용에 제한이 걸려있음을 확인할 수 있습니다.
특정 AWS 계정 접속 시 모든 서비스가 이용이 안된다는 증상이 접수되었고, CloudTrail을 이용해 이에 대한 원인을 확인해 보았습니다.
AWS 계정의 활동 기록에 대한 로그를 제공하기에 계정 활동 추적, 감사 로그와 같은 보안 사고 예방 및 대비에 도움이 될 것 같습니다.
[참고 사이트]
관리 이벤트 로깅 - AWS CloudTrail
AWS Management Console 로그인 이벤트 - AWS CloudTrail
'AWS' 카테고리의 다른 글
| [AWS][VPC] Traffic Mirroring으로 패킷 확인하기 (0) | 2024.01.25 |
|---|---|
| [AWS][CloudWatch] 데이터 전송량 → Bps단위로 변환해서 네트워크 모니터링 하기 (0) | 2024.01.05 |
| [AWS] VPC Flow Logs로 트래픽 로그 확인하기(3) (0) | 2023.05.18 |
| [AWS] VPC Flow Logs로 트래픽 로그 확인하기(2) (0) | 2023.05.18 |
| [AWS] VPC Flow Logs로 트래픽 로그 확인하기 (0) | 2023.05.18 |
