CloudTrail 이벤트 기록을 검색하여 보안 그룹 또는 리소스가 어떻게 변경되었는지 확인하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 9월 3일

감사 목적으로 보안 그룹 API 호출 이벤트 기록을 보려고 합니다.

​해결 방법

AWS CloudTrail 이벤트 기록, Amazon Athena 쿼리 또는 AWS Config 구성 기록을 사용하여 보안 그룹 이벤트 기록을 봅니다.

CloudTrail 이벤트 기록

CloudTrail 이벤트 기록 보기를 사용하여 지난 90일간의 보안 그룹 이벤트 기록을 검색할 수 있습니다.

1.    CloudTrail 콘솔을 엽니다.

2.    [Event history]를 선택합니다.

3.    [Filter]에서 드롭다운 메뉴를 선택하고 [Resource name]을 선택합니다.

4.    [Enter resource name] 필드에 리소스 이름을 입력합니다. 예를 들어 sg-123456789를 입력한 다음 디바이스에서 Enter(입력)를 선택합니다.

5.    [Event time]을 확장한 다음 [View event]를 선택합니다.

이 예에서 인바운드 규칙은 192.168.0.0/32의 TCP 포트 998을 허용합니다.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

자세한 내용은 CloudTrail 콘솔에서 CloudTrail 이벤트 보기를 참조하십시오.

Athena 쿼리

Athena 쿼리를 사용하여 지난 90일간 CloudTrail 로그에서 보안 그룹 이벤트 기록을 검색할 수 있습니다.

참고: S3 버킷에 로깅하려면 트레일을 활성화해야 합니다.

1.    Athena 콘솔을 엽니다.

2.    [Query Editor]를 선택합니다.

3.    Athena 쿼리 편집기에서 다음 쿼리를 복사하여 붙여 넣습니다.

참고: 예제 테이블 이름을 테이블 이름으로 바꿉니다.  

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

4.    [Run query]를 선택합니다.

이 쿼리 결과는 보안 그룹 생성 및 삭제를 추적합니다.

5.    다음 쿼리를 사용하여 특정 보안 그룹에 대한 모든 변경 사항을 쿼리할 수 있습니다.  

SELECT *
FROM your example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

자세한 내용은 CloudTrail 로그 및 Athena 테이블 이해를 참조하십시오.

AWS Config 구성 기록

AWS Config를 사용하여 기본 90일 제한을 초과하는 보안 그룹 이벤트 기록에 대한 구성 기록을 볼 수 있습니다.

참고: AWS Config 구성 레코더가 켜져 있어야 합니다. 자세한 내용은 구성 레코더 관리를 참조하십시오.

  1. CloudTrail 콘솔을 엽니다.
  2. [Event history]를 선택합니다.
  3. [Filter] 드롭다운 메뉴를 선택하고 [Event name]을 선택합니다.
  4. [Enter event name] 필드에 리소스 이름을 입력합니다. 예를 들어 [CreateSecurityGroup]을 선택한 다음 디바이스에서 Enter(입력)를 선택합니다.
  5. [Event time]을 확장합니다.
  6. [Resources Referenced]에서 시계 아이콘을 선택하여 구성 타임라인을 봅니다.

자세한 내용은 AWS Config로 참조된 리소스 보기를 참조하십시오.  


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?