AWS 서비스 이해 - Cloud Trail (2)
CloudTrail의 기본 로그 형식과 예에 대해 조금 더 알아보자.
https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-examples.html
CloudTrail log file examples - AWS CloudTrail
CloudTrail log file examples CloudTrail monitors events for your account. If you create a trail, it delivers those events as log files to your Amazon S3 bucket. If you create an event data store in CloudTrail Lake, events are logged to your event data stor
docs.aws.amazon.com
AWS Service가 수행하는 작업들은 CloudTrail에 이벤트로 기록된다. (이 때 이벤트는 AWS Management Console, AWS CLI, AWS SDK, API에서 수행하는 모든 작업들을 말한다.)
관리 이벤트란? (Management Events)
관리 이벤트는 AWS 계정의 Resource에 대해 수행되는 관리 작업에 대한 정보를 말한다. 이를 제어 영역 작업이라고도 한다. 이를 Control Plane Operations라고 부르기도 한다.
- 보안 구성 (IAM의 AttachRolePolicy API 등)
- 디바이스 등록 (Amazon EC2 CreateDefualtVpc API 등)
- 데이터 라우팅 규칙 구성 (Amazon EC2 CreateSubnet API 등)
- 로깅 설정 (AWS CloudTrail API 등)
관리 이벤트에는 AWS 계정에서 발생한 비 API 이벤트도 포함될 수 있다. (로그인 기록:ConsoleLogin)
데이터 이벤트란? (Data Events)
데이터 이벤트는 Resource 상에서 혹은 Resource 내에서 수행되는 Resource 작업에 대한 정보를 말한다. 이를 데이터 영역 작업이라고 한다.
- Amazon S3 객체 수준 API 활동 (GetObject, DeleteObject, PutObject API 등)
- AWS Lambda 함수 실행 활동 (Invoke API 등)
Cloud Trail 에서 해당 계정의 이벤트를 모니터링 후 사용자가 추적을 생성하면 CloudTrail에서 이러한 이벤트를 로그 파일 형태로 Amazon S3 버킷에 전달 하는 형태를 가진다.
이때 S3 버킷으로 전송하는 로그 파일 객체에 대해 다음과 같은 파일 이름 형식을 지원하는데,
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
YYYY, MM, DD, HH 및 mm은 로그 파일이 전송된 연도, 월, 일, 시, 분에 대한 숫자이다. 시간은 24시간 형식이며, Z는 시간이 UTC 기준임을 뜻한다.
FileNameFormat은 파일의 인코딩이다. 현재 인코딩은 json.gz이며, 압축 gzip 형식의 JSON 텍스트 파일이다.
진행중인 프로젝트를 하면서 추가적으로 알게 된 점에 대해서도 써보자면,,
프로젝트에서 현재 사용중인 리젼은 서울 - ap-northeast-2 이다.
추후에 기술 하겠지만, 침해 사고 시나리오 중 Root 계정의 반복되는 로그인 실패를 가정하였고, 이와 관련하여 수집된 로그 자료들(ConsoleLogin)을 확인하기 위해 Cloud Trail, Cloud Watch, S3 등을 확인 하였지만 검색이 되지 않았다. 그러다가 Root 사용자의 경우 리젼이 us-east-1 으로 기록되는 것을 알게 되었다.