개요
Cloudtail 과 CloudWatch 비교를 합니다.
Cloudtail
1. 용도
AWS CloudTrail은 AWS 계정에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하는 데 도움이 되는 AWS 서비스입니다. 사용자, 역할 또는 AWS 서비스가 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에는 AWS Management Console, AWS Command Line Interface 및 AWS SDK, API에서 수행되는 작업들이 포함됩니다.
2. 요약
AWS상에서 일어나는 행위를 감시
3. CloudTrail 이벤트란?
- CloudTrail의 이벤트는 AWS 계정의 활동 레코드입니다.
- 이 활동은 CloudTrail에서 모니터링할 수 있는 사용자, 역할 또는 서비스가 수행하는 작업일 수 있습니다.
- CloudTrail 이벤트는 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 이루어진 API 및 비 API 계정 활동에 대한 기록을 제공합니다.
- CloudTrail에 관리하는 이벤트에는 세 가지 유형, 즉 관리 이벤트, 데이터 이벤트, CloudTrail Insights 이벤트가 있습니다.
- 기본적으로 추적은 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.
4. CloudTrail 이벤트 history 제공 기간
CloudTrail 이벤트 history은 지난 90일간의 CloudTrail 이벤트에 대한 보기, 검색 및 다운로드 가능한 레코드를 제공합니다.
5. 제공하는 이벤트 종류
1) 관리 이벤트
(1) 제공 정보
- AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다
(2) 제공 정보 예시
- 보안 구성(예: AWS Identity and Access Management AttachRolePolicy API 작업).
- 디바이스 등록(예: Amazon EC2 CreateDefaultVpc API 작업)
- 데이터 라우팅 규칙 구성(예: Amazon EC2 CreateSubnet API 작업)
- 로깅 설정(예: AWS CloudTrail CreateTrail API 작업).
2) 데이터 이벤트
(1) 제공 정보
- 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다
(2) 제공 정보 예시
- 버킷 및 버킷의 객체의 Amazon S3 객체 수준 API 활동(예: GetObject, DeleteObject, PutObject API 작업)
- AWS Lambda 함수 실행 활동(Invoke API)
- 테이블의 Amazon DynamoDB 객체 수준 API 활동(예: PutItem, DeleteItem, UpdateItem API 작업)
- Outposts의 Amazon S3 객체 수준 API 활동
- Ethereum 노드의 Amazon Managed Blockchain JSON-RPC 호출(예:eth_getBalance 또
는 eth_getBlockByNumber)
- Amazon S3 객체 Lambda 액세스 포인트의 API 활동(예: CompleteMultipartUpload 및 GetObject에 대한 호출)
- Amazon Elastic Block Store(EBS) 다이렉트 API(예: Amazon EBS 스냅샷의
PutSnapshotBlock, GetSnapshotBlock, ListChangedBlocks)
- 액세스 포인트에 대한 Amazon S3 API 활동
- 스트림의 Amazon DynamoDB API 활동
- 테이블에 대한 AWS Glue API 활동
3) Insights 이벤트
(1) 제공 정보
- 사용자의 AWS 계정에서 비정상적인 API 호출률 또는 오류율 활동을 캡처합니다
- 관련 API, 오류 코드, 인시던트 시간, 통계 등 비정상적인 활동을 파악하고 이에 대한 조치를 취하는 데 도움이 되는 관련
정보를 제공합니다.
- CloudTrail이 계정의 일반적인 사용 패턴과 크게 다른 계정의 API 사용 또는 오류율 로깅 변경을 감지한 경우에만 로그됩
니다
(2) 제공 정보 예시
- 계정이 일반적으로 분당 20건 이하의 Amazon S3 deleteBucket API 호출을 로그하는데, 계정에서 분당 평균 100건
의 deleteBucket API 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사
이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다.
- 계정이 일반적으로 분당 20건의 Amazon EC2 AuthorizeSecurityGroupIngress API 호출을 로그하는데, 계정에서 0건
의 AuthorizeSecurityGroupIngress 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅
되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다.
- 계정은 일반적으로 AWS Identity and Access Management API, DeleteInstanceProfile에서 7일 동안 1개 미만
의 AccessDeniedException 오류를 로그합니다. 계정에서 DeleteInstanceProfile API 호출에서 분당 평균 12개
의 AccessDeniedException 오류를 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그
되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.
6. trail(추적)
trail은 CloudTrail 이벤트를 Amazon S3 버킷, CloudWatch Logs, CloudWatch Events에 전달할 수 있게 하는 구성입니다. trail을 사용하면 전달하려는 CloudTrail 이벤트를 필터링하고 AWS KMS 키로 CloudTrail 이벤트 로그 파일을 암호화하며 로그 파일 전달의 Amazon SNS 알림을 설정할 수 있습니다
7. CloudTrail Console
AWS CloudTrail 콘솔에서 CloudTrail 서비스를 사용하고 관리할 수 있습니다. 콘솔은 다음과 같은 다양한 CloudTrail 작업을 수행할 수 있도록 사용자 인터페이스를 제공합니다.
- AWS 계정의 최근 이벤트 및 이벤트 기록 보기.
- 지난 90일간의 이벤트에 대해 필터링된 파일이나 전체 파일을 다운로드.
- CloudTrail 추적 생성 및 편집.
- 다음을 포함한 CloudTrail 추적 구성.
- Amazon S3 버킷 선택.
- 접두사 설정.
- CloudWatch Logs로의 전달 구성.
- 암호화를 위한 AWS KMS 키 사용.
- 로그 파일 전달의 Amazon SNS 알림 사용 설정.
- 추적에 대한 태그 추가 및 관리.
2019년 4월 12일부터 추적이 이벤트를 로깅하는 AWS 리전에서만 해당 추적을 볼 수 있습니다. 모든 AWS 리전에서 이벤트를 로그하는 추적을 생성할 경우 해당 추적이 모든 AWS 리전의 콘솔에 표시됩니다. 단일 AWS 리전에서만 이벤트를 로그하는 추적을 생성할 경우 해당 AWS 리전에서만 추적을 보고 관리할 수 있습니다.
8. SDK 사용법
9. 참조
https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
CloudWatch
1. 용도
- Amazon CloudWatch는 Amazon Web Services(AWS) 리소스 및 AWS에서 실행되는 애플리케이션을 실시간으로 모니터링합니다. CloudWatch를 사용하여 리소스 및 애플리케이션에 대해 측정할 수 있는 변수인 지표를 수집하고 추적할 수 있습니다.
2. 요약
- AWS의 리소스 및 애플리키이션 상태를 감시
3. 작동 방식
Amazon CloudWatch는 기본적으로 지표 리포지토리입니다. Amazon EC2와 같은 AWS 서비스는 지표를 리포지토리에 저장하므로 이러한 지표를 기반으로 통계를 검색할 수 있습니다. 사용자 지정 지표를 리포지토리에 저장하면 해당 지표에 대한 통계도 검색할 수 있습니다.
특정 기준이 충족되었을 때 Amazon EC2 인스턴스를 중지, 시작 또는 종료하도록 경보 작업을 구성할 수 있습니다. 또한 사용자를 대신하여 Amazon EC2 Auto Scaling 및 Amazon Simple Notification Service(Amazon SNS) 작업을 시작하는 경보를 생성할 수 있습니다.
3. SDK 사용법
4. 참조
https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html
'[AWS-SM] > CloudTrail' 카테고리의 다른 글
[참고] CloudTrail !! (0) | 2023.04.03 |
---|---|
[참고] CloudTrail 생성 - 빠른 추적 생성 (0) | 2023.03.09 |
[중요][AWS] CloudTrail 로그 확인!! (0) | 2023.02.13 |
[중요][AWS] CloudTrail란 무엇인가? (0) | 2023.02.13 |
[AWS] CloudTrail 이란!! (0) | 2023.02.13 |