본문 바로가기
[AWS-SM]/CloudTrail

[추천][AWS] Cloudtail 과 CloudWatch 비교

by SAMSUNG Metaverse-Cloud 2023. 2. 13.
728x90

 

 

개요

Cloudtail 과 CloudWatch 비교를 합니다. 

 

Cloudtail

1. 용도

     AWS CloudTrail은 AWS 계정에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하는 데 도움이 되는 AWS 서비스입니다. 사용자, 역할 또는 AWS 서비스가 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에는 AWS Management Console, AWS Command Line Interface 및 AWS SDK, API에서 수행되는 작업들이 포함됩니다.

 

2. 요약 

    AWS상에서 일어나는 행위를 감시

 

3. CloudTrail 이벤트란?

    - CloudTrail의 이벤트는 AWS 계정의 활동 레코드입니다.

    - 이 활동은 CloudTrail에서 모니터링할 수 있는 사용자, 역할 또는 서비스가 수행하는 작업일 수 있습니다.

    - CloudTrail 이벤트는 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 이루어진 API 및 비        API 계정 활동에 대한 기록을 제공합니다.

    - CloudTrail에 관리하는 이벤트에는 세 가지 유형, 즉 관리 이벤트, 데이터 이벤트, CloudTrail Insights 이벤트가 있습니다.

    - 기본적으로 추적은 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.

 

4. CloudTrail 이벤트 history 제공 기간

    CloudTrail 이벤트 history은 지난 90일간의 CloudTrail 이벤트에 대한 보기, 검색 및 다운로드 가능한 레코드를 제공합니다. 

 

5. 제공하는 이벤트 종류

    1) 관리 이벤트

        (1) 제공 정보

            - AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다

        (2) 제공 정보 예시

           - 보안 구성(예: AWS Identity and Access Management AttachRolePolicy API 작업).

           - 디바이스 등록(예: Amazon EC2 CreateDefaultVpc API 작업)

           - 데이터 라우팅 규칙 구성(예: Amazon EC2 CreateSubnet API 작업)

           - 로깅 설정(예: AWS CloudTrail CreateTrail API 작업).

    2) 데이터 이벤트

        (1) 제공 정보

            - 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다

        (2) 제공 정보 예시

            - 버킷 및 버킷의 객체의 Amazon S3 객체 수준 API 활동(예: GetObject, DeleteObject, PutObject API 작업)

            - AWS Lambda 함수 실행 활동(Invoke API)

            - 테이블의 Amazon DynamoDB 객체 수준 API 활동(예: PutItem, DeleteItem, UpdateItem API 작업)

            - Outposts의 Amazon S3 객체 수준 API 활동

            - Ethereum 노드의 Amazon Managed Blockchain JSON-RPC 호출(예:eth_getBalance 또         

              는 eth_getBlockByNumber)

            - Amazon S3 객체 Lambda 액세스 포인트의 API 활동(예: CompleteMultipartUpload  GetObject에 대한 호출)

            - Amazon Elastic Block Store(EBS) 다이렉트 API(예: Amazon EBS 스냅샷의         

              PutSnapshotBlock, GetSnapshotBlock, ListChangedBlocks)

            - 액세스 포인트에 대한 Amazon S3 API 활동

            - 스트림의 Amazon DynamoDB API 활동

            - 테이블에 대한 AWS Glue API 활동

    3) Insights 이벤트

        (1) 제공 정보

            - 사용자의 AWS 계정에서 비정상적인 API 호출률 또는 오류율 활동을 캡처합니다

            - 관련 API, 오류 코드, 인시던트 시간, 통계 등 비정상적인 활동을 파악하고 이에 대한 조치를 취하는 데 도움이 되는 관련
              정보를 제공합니다.

            - CloudTrail이 계정의 일반적인 사용 패턴과 크게 다른 계정의 API 사용 또는 오류율 로깅 변경을 감지한 경우에만 로그됩
              니다

        (2) 제공 정보 예시

            - 계정이 일반적으로 분당 20건 이하의 Amazon S3 deleteBucket API 호출을 로그하는데, 계정에서 분당 평균 100건
              의 deleteBucket API 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사
              이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다.

            - 계정이 일반적으로 분당 20건의 Amazon EC2 AuthorizeSecurityGroupIngress API 호출을 로그하는데, 계정에서 0건
              의 AuthorizeSecurityGroupIngress 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅

              되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다.

            - 계정은 일반적으로 AWS Identity and Access Management API, DeleteInstanceProfile에서 7일 동안 1개 미만

              의 AccessDeniedException 오류를 로그합니다. 계정에서 DeleteInstanceProfile API 호출에서 분당 평균 12개

              의 AccessDeniedException 오류를 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그

              되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.

 

6. trail(추적)

    trail은 CloudTrail 이벤트를 Amazon S3 버킷, CloudWatch Logs, CloudWatch Events에 전달할 수 있게 하는 구성입니다. trail을 사용하면 전달하려는 CloudTrail 이벤트를 필터링하고 AWS KMS 키로 CloudTrail 이벤트 로그 파일을 암호화하며 로그 파일 전달의 Amazon SNS 알림을 설정할 수 있습니다

 

 

7. CloudTrail Console

    AWS CloudTrail 콘솔에서 CloudTrail 서비스를 사용하고 관리할 수 있습니다. 콘솔은 다음과 같은 다양한 CloudTrail 작업을 수행할 수 있도록 사용자 인터페이스를 제공합니다.

  • AWS 계정의 최근 이벤트 및 이벤트 기록 보기.
  • 지난 90일간의 이벤트에 대해 필터링된 파일이나 전체 파일을 다운로드.
  • CloudTrail 추적 생성 및 편집.
  • 다음을 포함한 CloudTrail 추적 구성.
    • Amazon S3 버킷 선택.
    • 접두사 설정.
    • CloudWatch Logs로의 전달 구성.
    • 암호화를 위한 AWS KMS 키 사용.
    • 로그 파일 전달의 Amazon SNS 알림 사용 설정.
    • 추적에 대한 태그 추가 및 관리.

2019년 4월 12일부터 추적이 이벤트를 로깅하는 AWS 리전에서만 해당 추적을 볼 수 있습니다. 모든 AWS 리전에서 이벤트를 로그하는 추적을 생성할 경우 해당 추적이 모든 AWS 리전의 콘솔에 표시됩니다. 단일 AWS 리전에서만 이벤트를 로그하는 추적을 생성할 경우 해당 AWS 리전에서만 추적을 보고 관리할 수 있습니다.

 

8. SDK 사용법

 

 

 

9. 참조 

https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

 

AWS CloudTrail이란 무엇입니까? - AWS CloudTrail

AWS CloudTrail이란 무엇입니까? AWS CloudTrail은 AWS 계정에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하는 데 도움이 되는 AWS 서비스입니다. 사용자, 역할 또는 AWS 서비스가 수행하는 작업

docs.aws.amazon.com


CloudWatch

1. 용도

    - Amazon CloudWatch는 Amazon Web Services(AWS) 리소스 및 AWS에서 실행되는 애플리케이션을 실시간으로 모니터링합니다. CloudWatch를 사용하여 리소스 및 애플리케이션에 대해 측정할 수 있는 변수인 지표를 수집하고 추적할 수 있습니다.

 

2. 요약 

    - AWS의 리소스 및 애플리키이션 상태를 감시

 

3. 작동 방식

    Amazon CloudWatch는 기본적으로 지표 리포지토리입니다. Amazon EC2와 같은 AWS 서비스는 지표를 리포지토리에 저장하므로 이러한 지표를 기반으로 통계를 검색할 수 있습니다. 사용자 지정 지표를 리포지토리에 저장하면 해당 지표에 대한 통계도 검색할 수 있습니다.

 

특정 기준이 충족되었을 때 Amazon EC2 인스턴스를 중지, 시작 또는 종료하도록 경보 작업을 구성할 수 있습니다. 또한 사용자를 대신하여 Amazon EC2 Auto Scaling 및 Amazon Simple Notification Service(Amazon SNS) 작업을 시작하는 경보를 생성할 수 있습니다. 

 

3. SDK 사용법

 

 

4. 참조 

https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html

 

Amazon CloudWatch란 무엇인가요? - Amazon CloudWatch

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

 

 

 

728x90