교차 계정 교차 리전 로그 중앙 집중화 - Amazon CloudWatch Logs
데이터 중앙 집중화 개념로그 중앙 집중화 설정중앙 집중화 규칙 모니터링 및 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 계정 교차 리전 로그 중앙 집중화

Amazon CloudWatch Logs 데이터 중앙 집중화는와 함께 작동 AWS Organizations 하여 교차 계정 및 교차 리전 중앙 집중화 규칙을 사용하여 여러 멤버 계정의 로그 데이터를 하나의 데이터 리포지토리로 수집합니다. 여러 계정 및 AWS 리전 의 로그 데이터를 조직 내 중앙 집중화된 계정으로 자동 복제하는 규칙을 정의합니다. 이 기능은 로그 통합을 간소화하여 전체 AWS 인프라에서 중앙 집중식 모니터링, 분석 및 규정 준수를 개선합니다.

CloudWatch Logs 데이터 중앙 집중화는 대상 계정 내에서 규칙 설정 중에 백업 리전을 구성하여 복원력을 높이는 등 운영 및 보안 요구 사항을 충족할 수 있는 구성 유연성을 제공합니다. 또한 소스 계정에서 복사한 로그 그룹의 암호화 동작을 완벽하게 제어하여 고객 관리형 KMS 키로 원래 암호화된 데이터를 처리할 수 있습니다.

참고

CloudWatch Logs 중앙 집중화 기능은 중앙 집중화 규칙을 생성한 후 소스 계정에 도착하는 새 로그 데이터만 처리합니다. 기록 로그 데이터(규칙 생성 전에 존재한 로그)는 중앙 집중화되지 않습니다.

데이터 중앙 집중화 개념

CloudWatch Logs 데이터 중앙 집중화 사용을 시작하기 전에 다음 개념을 숙지합니다.

중앙 집중화 규칙

소스 계정 및 리전의 로그 데이터를 대상 계정 및 리전에 복제하는 방법을 정의하는 구성. 규칙은 소스 기준 및 대상 설정을 지정합니다.

소스 계정

로그 데이터가 시작되는 AWS 계정입니다. 소스 계정의 로그 이벤트는 정의한 중앙 집중화 규칙에 따라 대상 계정으로 복제됩니다.

대상 계정

복제된 로그 데이터가 저장되는 대상 AWS 계정입니다. 이 계정은 로그 분석 및 모니터링을 위한 중앙 집중화 위치 역할을 합니다.

백업 리전

복원력 향상 및 재해 복구를 위해 로그 데이터를 복제할 수 있는 대상 계정 내의 선택적 보조 리전.

CloudWatch Logs에서의 암호화

로그 그룹 데이터는 항상 CloudWatch Logs에서 암호화됩니다. 기본적으로 CloudWatch Logs는 256비트 고급 암호화 표준 갈루아/카운터 모드(AES-GCM)를 사용하는 서버 측 암호화로 서버 측 암호화를 사용하여 저장 로그 데이터를 암호화합니다. 또는이 암호화에 AWS Key Management Service를 사용할 수 있습니다. 자세한 내용은 CloudWatch Logs Encryption 설명서를 참조하세요.

  • 중앙 집중화 중 암호화 작동 방식: CloudWatch Logs 중앙 집중화는 소스 계정에서 대상 계정으로 수집 시 로그 데이터를 능동적으로 복사합니다. 이 프로세스 중에 데이터는 AWS 소유 서비스 키를 사용하여 전송 중에 암호화된 상태로 유지됩니다. 소스 및 대상 로그 그룹 모두에 저장된 데이터는 선택한 암호화 방법(고객 관리형 또는 AWS 소유 KMS 키)을 사용하여 암호화됩니다. 대상 로그 그룹에서 고객 관리형 KMS 키를 사용하는 경우 중앙 집중화 서비스가 액세스할 수 있도록 LogsManaged = true kms 키에 태그를 추가합니다.

  • KMS 권한이 필요한 경우:

    • 소스 계정에서 고객 관리형 KMS 키를 사용하는 경우 CloudWatch Logs에는 다음 예제 시나리오에서 KMS 권한이 필요합니다.

      • 처리량 관리: 중앙 집중화 처리량 한도에 도달하면 대역폭을 사용할 수 있을 때까지 고객 관리형 KMS 키로 암호화된 로그 데이터가 일시적으로 저장됩니다.

      • 데이터 보호 및 수정: 소스 로그 그룹에 데이터 보호 정책이 활성화된 경우 CloudWatch Logs는 원시 로그 데이터에 액세스하여 중앙 집중화하려면 복호화 권한이 필요합니다.

중요

중앙 집중화 규칙은 AWS Organizations 관리 계정 또는 위임된 관리자가 관리합니다. 고객 관리형 KMS 암호화 로그 그룹을 중앙 집중화에서 제외하려면 규칙 설정을 " AWS KMS 키로 암호화된 로그 그룹을 중앙 집중화하지 마십시오"로 구성합니다.

로그 중앙 집중화 설정

CloudWatch Logs Centralization을 설정하려면 소스 계정의 로그 그룹에서 대상 계정의 로그 그룹으로 로그 데이터가 흐르는 방식을 정의하는 중앙 집중화 규칙을 구성해야 합니다.

중앙 집중화 규칙이 활성화되고 로그 이벤트가 대상 계정에 복제되면 향상된 필터링 기능을 사용하여 중앙 집중식 로그 그룹에 지표, 구독 및 계정 필터를 생성할 수 있습니다. 이러한 필터는 특정 소스 계정 및 리전의 로그 이벤트를 대상으로 할 수 있으며 소스 계정 및 리전 정보를 지표 차원으로 내보낼 수 있습니다. 자세한 내용은 필터를 사용하여 로그 이벤트에서 지표 생성 단원을 참조하십시오.

사전 조건

  • AWS Organizations 를 설정해야 하며 소스 계정과 대상 계정이 모두 조직에 속해야 합니다.

  • 로그 데이터에 대한 액세스를 제공하려면 CloudWatch, 관리 계정 및 대상 계정에 대해 신뢰할 수 있는 액세스를 활성화해야 합니다.

    참고

    필요한 서비스 연결 역할(SLR)을 자동으로 생성하는 콘솔을 통해 신뢰할 수 있는 액세스를 활성화하는 것이 좋습니다. 다른 방법을 통해 신뢰할 수 있는 액세스가 활성화된 경우 서비스 연결 역할을 별도로 생성해야 합니다.

대상 로그 그룹 이름 사용자 지정

중앙 집중화 규칙을 생성할 때 속성을 사용하여 대상 로그 그룹 이름을 구성하는 방법을 사용자 지정할 수 있습니다. 이러한 속성은 로그 그룹이 생성될 때 실제 값으로 자동 대체되므로 대상 계정에서 계층적으로 로그를 구성할 수 있습니다. 기본적으로 속성만 사용되며,이 ${source.logGroup} 속성은 대상 계정에서 이름이 동일한 모든 로그 그룹을 병합합니다. 변수를 확인할 수 없는 경우 계층 구조의 상위 변수에서 값을 상속합니다.

사용 가능한 속성

대상 로그 그룹 이름 패턴에 다음 속성을 사용할 수 있습니다.

대상 로그 그룹 이름 속성
속성 설명
${source.accountId} 로그가 시작된 AWS 계정 ID입니다.
${source.region} 로그가 시작된 AWS 리전 입니다.
${source.logGroup} 소스 계정의 원래 로그 그룹 이름입니다.
${source.org.id} 소스 계정의 AWS Organizations ID입니다.
${source.org.ouId} 소스 계정의 조직 단위 ID
${source.org.rootId} 조직 루트 ID
${source.org.path} 계정에서 루트까지의 전체 조직 경로

예제

원래 로그 그룹 구조 보존

패턴: /centralized/${source.accountId}${source.logGroup}

Result: /centralized/123456789012/aws/lambda/my-function

계정 및 리전별로 구성

패턴: /centralized/${source.accountId}/${source.region}

Result: /centralized/123456789012/us-east-1

조직 구조별로 구성

패턴: /logs/${source.org.id}/${source.org.ouId}/${source.accountId}

Result: /logs/o-abc123/ou-xyz-12345678/123456789012

단순 플랫 구조

패턴: /centralized-logs

Result: /centralized-logs

모범 사례

  • 소스 계정 ID를 포함하여 어떤 계정 로그에서 왔는지 쉽게 식별합니다.

  • 여러 리전에서 중앙 집중화하는 경우 소스 리전을 포함합니다.

  • 구조 대상 로그 그룹 이름은 512자 미만이어야 합니다. CloudWatch Logs는 최대 512자의 로그 그룹 이름 길이를 적용합니다.

중앙 집중화 규칙 생성

다음 절차에 따라 소스 계정에서 대상 계정으로 로그 데이터를 복제하는 중앙 집중화 규칙을 생성합니다.

중앙 집중화 규칙을 생성하려면

  1. 조직의 '관리 또는 위임된 관리자' 계정에서 CloudWatch 콘솔로 이동합니다.

  2. 설정을 선택합니다.

  3. 조직 탭으로 이동합니다.

  4. 규칙 구성을 선택합니다.

  5. 다음 필드를 설정하여 소스 세부 정보를 지정한 다음, 다음을 선택합니다.

    1. 중앙 집중화 규칙 이름: 중앙 집중화 규칙의 고유한 이름을 입력합니다.

    2. 소스 계정: 원격 측정 데이터를 중앙 집중화할 계정을 선택하기 위한 소스 선택 기준을 정의합니다. 선택 기준에는 다음이 포함될 수 있습니다.

      • 조직에서의 멤버 계정의 목록

      • 조직에서의 조직 단위의 목록

      • 전체 조직

      두 가지 모드로 선택 기준을 제공할 수 있습니다.

      • 빌더: 소스 선택 기준을 생성하기 위한 클릭 기반 환경

      • 편집기: 소스 선택 기준을 제공하기 위한 자유 형식 텍스트 상자

      소스 선택 기준에 지원되는 구문:

      • 지원되는 키: OrganizationId | OrganizationUnitId | AccountId | *

      • 지원되는 연산자: = | IN | OR

    3. 소스 리전: 중앙 집중화할 원격 측정 데이터를 찾을 리전 목록을 선택합니다.

  6. 다음 필드를 설정하여 대상 세부 정보를 지정한 다음, 다음을 선택합니다.

    1. 대상 계정: 원격 측정 데이터의 중앙 대상 역할을 하는 조직의 계정을 선택합니다.

    2. 대상 리전: 중앙 집중식 원격 측정 데이터의 사본을 저장하는 기본 리전을 선택합니다.

    3. 백업 리전: 중앙 집중식 원격 측정 데이터의 두 번째 복사본을 저장하는 리전을 선택적으로 선택합니다.

  7. 다음 필드를 설정하여 원격 측정 데이터를 지정한 다음, 다음을 선택합니다.

    1. 로그 그룹: 다음 옵션 중 하나를 선택합니다:

      • 모든 로그 그룹: 소스 계정의 모든 로그 그룹에서 로그를 중앙 집중화합니다.

      • 로그 그룹 필터링: 로그 그룹 선택 기준을 매칭하는 소스 계정의 로그 그룹 하위 집합에서 로그를 중앙 집중화합니다. 두 가지 모드로 선택 기준을 제공할 수 있습니다.

        • 빌더: 로그 그룹 선택 기준을 생성하기 위한 클릭 기반 환경

        • 편집기: 로그 그룹 선택 기준을 제공하기 위한 자유 형식 텍스트 상자

        로그 그룹 선택 기준에 지원되는 구문:

        • 지원되는 키: LogGroupName | *

        • 지원되는 연산자: = | != | IN | NOT IN | 및 | 또는 | LIKE | NOT LIKE

    2. KMS 암호화된 로그 그룹

      중요

      중앙 집중화 규칙에 제공된 KMS 키가 CloudWatch Logs의 사용을 허용하지 않는 경우 CloudWatch 중앙 집중화 규칙은 소스 계정에서 대상 로그 그룹으로 로그를 전달하지 못합니다. 대상 로그 그룹에서 고객 관리형 KMS 키를 사용하는 경우 LogsManaged = true 태그를 kms 키에 추가합니다. 자세한 내용은 2단계: KMS 키에 대한 권한 설정 단원을 참조하십시오.

      다음 옵션 중 하나를 선택하세요.

      • 대상별 고객 관리형 KMS 키를 사용하여 고객 관리형 KMS 키로 암호화된 소스 로그 그룹 중앙 집중화: 고객 관리형 KMS 키로 암호화된 소스 로그 그룹의 로그 이벤트를 대상 계정의 고객 관리형 KMS 키로 암호화된 대상 로그 그룹으로 중앙 집중화합니다.

        이 설정을 선택하면 다음 사항도 설정해야 합니다.

        • 대상 암호화 키 ARN: 새로 생성된 대상 로그 그룹과 연결할 대상 계정 및 기본 대상 리전의 고객 관리형 KMS 키 ARN입니다.

        • 백업 대상 암호화 키 ARN(백업 리전을 선택한 경우): 새로 생성된 대상 로그 그룹과 연결할 대상 계정 및 백업 대상 리전에 있는 고객 관리형 KMS 키의 ARN입니다.

        • 암호화되지 않은 대상 로그 그룹으로 중앙 집중화 건너뛰기(선택 사항): 고객 관리형 KMS 키 없이 로그 그룹이 이미 있는 경우 CloudWatch는 암호화를 업데이트할 수 없습니다. 고객 관리형 KMS 키로 암호화된 소스 로그 그룹에서 고객 관리형 KMS 키와 연결되지 않은 대상 로그 그룹으로 로그 이벤트를 중앙 집중화하지 않으려면이 옵션을 선택합니다.

      • AWS 소유 KMS 키가 있는 대상 계정에서 고객 관리형 KMS 키로 암호화된 로그 그룹 중앙 집중화: 고객 관리형 KMS 키로 암호화된 소스 로그 그룹의 로그 이벤트를 AWS 소유 KMS 키를 사용하여 암호화된 새로 생성된 대상 로그 그룹으로 중앙 집중화합니다.

      • 고객 관리형 KMS 키로 암호화된 로그 그룹을 중앙 집중화하지 마십시오. 고객 관리형 KMS 키로 암호화된 소스 로그 그룹에서 로그 이벤트의 중앙 집중화를 건너뜁니다.

  8. 중앙 집중화 규칙을 검토하고 필요에 따라 마지막 순간에 편집한 다음, 중앙 집중화 정책 생성을 선택합니다.

중앙 집중화 규칙 수정

기존 중앙 집중화 규칙을 수정하려면 다음 절차를 따릅니다.

중앙 집중화 규칙을 수정하려면

  1. 조직의 '관리 또는 위임된 관리자' 계정에서 CloudWatch 콘솔로 이동합니다.

  2. 설정을 선택합니다.

  3. 조직 탭으로 이동합니다.

  4. 규칙 관리를 선택합니다.

  5. 업데이트할 규칙을 선택하고 편집을 선택합니다.

  6. 필요에 따라 규칙 구성을 업데이트하고 다음을 선택하여 각 단계를 진행합니다.

  7. 4단계, 검토 및 구성에서 중앙 집중화 정책 업데이트를 선택합니다.

중앙 집중화 규칙 보기

기존 중앙 집중화 규칙의 세부 정보를 보려면 다음 절차를 따릅니다.

중앙 집중화 규칙을 보려면

  1. 조직의 '관리 또는 위임된 관리자' 계정에서 CloudWatch 콘솔로 이동합니다.

  2. 설정을 선택합니다.

  3. 조직 탭으로 이동합니다.

  4. 규칙 관리를 선택합니다.

  5. 모든 기존 중앙 집중화 규칙의 목록을 확인하고 특정 규칙 이름을 선택하여 세부 정보를 확인합니다.

중앙 집중화 규칙 삭제

다음 절차에 따라 기존 중앙 집중화 규칙을 삭제합니다.

중앙 집중화 규칙을 삭제하려면

  1. 조직의 '관리 또는 위임된 관리자' 계정에서 CloudWatch 콘솔로 이동합니다.

  2. 설정을 선택합니다.

  3. 조직 탭으로 이동합니다.

  4. 규칙 관리를 선택합니다.

  5. 삭제할 규칙을 선택하고 삭제를 선택합니다.

  6. 삭제를 확인하고 삭제를 선택합니다.

중앙 집중화 규칙 모니터링 및 문제 해결

CloudWatch 지표, CloudWatch Logs 콘솔 및 AWS CloudTrail 로그를 사용하여 중앙 집중화 규칙의 상태 및 성능을 모니터링할 수 있습니다. 이렇게 하면 로그 데이터가 성공적으로 복제되고 중앙 집중화 구성과 관련된 문제를 식별할 수 있습니다.

CloudWatch Logs는 다음을 제공합니다.

  1. 중앙 집중화 규칙당 규칙 상태

    1. 설정을 선택합니다.

    2. 조직 탭으로 이동합니다.

    3. 규칙 관리를 선택합니다.

  2. 를 사용하여 API 호출을 로깅합니다. AWS CloudTrail

  3. 또한 CloudWatch는 복제된 로그 이벤트, 오류 및 제한을 포함하여 중앙 집중화에 대한 지표를 게시합니다. 이러한 지표 및 차원에 대한 자세한 내용은 섹션을 참조하세요중앙 집중화 지표 및 차원.

중앙 집중화 규칙 상태

각 중앙 집중화 규칙에는 올바르게 작동하는지 여부를 나타내는 상태가 있습니다. 콘솔 또는 프로그래밍 방식으로 API를 사용하여 규칙 상태를 확인할 수 있습니다.

규칙 상태는 다음과 같습니다.

  • HEALTHY: 규칙이 정상적으로 작동하고 구성된 대로 로그 데이터를 복제합니다.

  • UNHEALTHY: 규칙에 문제가 발생하여 데이터를 올바르게 복제하지 못할 수 있습니다.

  • PROVISIONING: 조직의 중앙 집중화가 설정 중입니다.

규칙이 UNHEALTHY로 표시되면 FailureReason 필드는 해결해야 하는 특정 문제에 대한 세부 정보를 제공합니다.

를 사용하여 중앙 집중화 API 호출 모니터링 AWS CloudTrail

AWS CloudTrail 는 중앙 집중화 서비스에 대한 API 호출을 로깅하므로 구성 변경을 추적하고의 멤버인 계정의 문제를 해결할 수 있습니다 AWS Organizations.

중앙 집중화를 위한 주요 CloudTrail 이벤트는 다음과 같습니다.

  • CreateCentralizationRuleForOrganization: 새 중앙 집중화 규칙이 생성되는 경우

  • UpdateCentralizationRuleForOrganization: 기존 규칙이 수정되는 경우

  • DeleteCentralizationRuleForOrganization: 규칙이 삭제되는 경우

  • GetCentralizationRuleForOrganization: 규칙 세부 정보가 검색되는 경우

  • ListCentralizationRulesForOrganization: 규칙이 나열되는 경우

CloudTrail 로그를 사용하여 중앙 집중화 구성 변경 사항을 감사하고 성능 문제 또는 복제 실패와 상호 연관시킬 수 있습니다.

모니터링 권장 사항

중앙 집중화가 올바르게 작동하는지 확인하려면 CloudWatch 지표에 제공하는 주요 중앙 집중화 지표에 대한 CloudWatch 경보를 설정하는 것이 좋습니다. 이 사전 모니터링을 통해 문제를 조기에 감지하고 조직 전체에서 안정적인 로그 중앙 집중화를 유지할 수 있습니다.

모니터링할 주요 지표는 다음과 같습니다.

  • IncomingCopiedBytes: 대상 계정에 성공적으로 복제되는 로그 데이터의 볼륨을 모니터링합니다. 이 지표가 갑자기 삭제되거나 없으면 중앙 집중화 문제가 발생할 수 있습니다.

  • CentralizationError: 중앙 집중화 프로세스의 오류에 대한 경보를 설정하여 문제를 신속하게 식별하고 해결합니다.

  • CentralizationThrottled: 로그 복제 성능에 영향을 미칠 수 있는 제한 이벤트를 모니터링합니다.

사용 가능한 중앙 집중화 지표 및 해당 차원의 전체 목록은 섹션을 참조하세요중앙 집중화 지표 및 차원.

로그가 예상대로 중앙 집중화되지 않는 경우 로그 중앙 집중화를 방지할 수 있는 다음과 같은 일반적인 시나리오를 검토합니다.

기록 로그 데이터

CloudWatch Logs 중앙 집중화 기능은 중앙 집중화 규칙을 생성한 후 소스 계정에 도착하는 새 로그 데이터만 처리합니다. 기록 로그 데이터(규칙 생성 전에 존재한 로그)는 중앙 집중화되지 않습니다.

KMS 키 권한

중앙 집중화 규칙에 제공된 KMS 키가 CloudWatch Logs에서 로그를 사용하도록 허용하지 않는 경우 중앙 집중화 규칙은 소스 계정에서 대상 로그 그룹으로 로그를 전송하지 못합니다. KMS 키 정책이 CloudWatch Logs에 필요한 권한을 부여하는지 확인합니다. 자세한 내용은 2단계: KMS 키에 대한 권한 설정 단원을 참조하십시오.

고객 관리형 KMS 키 구성

규칙 생성 중에 고객 관리형 KMS 키로 암호화된 로그 그룹을 중앙 집중화하지 않음을 선택한 경우 고객 관리형 KMS 키로 암호화된 소스 로그 그룹의 로그 이벤트는 건너뛰고 중앙 집중화되지 않습니다.

대상 암호화 불일치

대상 로그 그룹이 중앙 집중화 규칙이 지정하는 것과 다른 KMS 암호화 구성으로 이미 존재하고 충돌 해결이 SKIP로 설정된 경우 레코드가 삭제되고 DestinationEncryptionMismatch 오류가 발생합니다. 예를 들어 대상에 기본 암호화가 있지만 규칙이 고객 관리형 KMS 키를 지정하는 경우에 발생합니다.

신뢰할 수 있는 액세스가 활성화되지 않음

관리 계정 및 대상 계정에서 로그 데이터에 대한 액세스를 제공하려면의 CloudWatch에 AWS Organizations 대해 신뢰할 수 있는 액세스를 활성화해야 합니다.

소스 선택 기준

중앙 집중화 규칙의 소스 선택 기준이 올바르게 구성되었는지 확인합니다.

  • 계정 및 리전: 소스 계정과 로그가 시작된 리전이 규칙에 포함되어 있는지 확인합니다. 규칙에 지정되지 않은 계정 또는 리전의 로그 그룹은 중앙 집중화되지 않습니다.

  • 로그 그룹 필터: 로그 그룹 필터를 구성한 경우 지정된 기준과 일치하는 로그 그룹만 중앙 집중화됩니다. 로그 그룹 선택 기준에 중앙 집중화할 것으로 예상되는 로그 그룹이 포함되어 있는지 확인합니다.

  • 조직 멤버십: 소스 계정과 대상 계정 모두 동일한 AWS Organizations 조직에 속해야 합니다. 조직 외부의 계정은 중앙 집중화에 참여할 수 없습니다.

로그 그룹 할당량 한도에 도달했습니다.

대상 계정이 로그 그룹 할당량 한도에 도달한 경우 중앙 집중화를 위해 새 로그 그룹을 생성할 수 없습니다. 대상 계정에 모든 소스 계정의 중앙 집중식 로그 그룹을 수용할 수 있는 충분한 할당량이 있는지 확인합니다. 필요한 경우 할당량 증가를 요청할 수 있습니다.

로그 스트림 이름 길이 제한을 초과했습니다.

로그 스트림 이름에는 최대 길이 제한이 있습니다. 중앙 집중화가 로그 스트림을 대상 계정에 복제하면 로그 스트림 이름에 접미사가 추가됩니다. 결과 로그 스트림 이름이 최대 허용 길이를 초과하면 레코드가 삭제되고 고객 계정에 InvalidLogStream 오류가 발생합니다.

규칙 상태

콘솔에서 또는 GetCentralizationRuleForOrganization API를 사용하여 중앙 집중화 규칙 상태를 확인합니다. 규칙이 UNHEALTHY로 표시된 경우 FailureReason 필드에 문제에 대한 구체적인 세부 정보가 있는지 검토합니다.

중앙 집중화 문제를 진단하려면 콘솔에서 중앙 집중화 규칙 상태를 검토하고 CloudWatch 지표에서 오류 및 제한을 확인하고 AWS CloudTrail 로그에서 API 호출 실패를 검사합니다. 중앙 집중화 지표에 대한 자세한 내용은 섹션을 참조하세요중앙 집중화 지표 및 차원.