기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Trusted Advisor의 모니터링 및 로깅
Trusted Advisor 및 다른 AWS 솔루션의 신뢰성, 가용성 및 성능을 유지하려면 모니터링이 중요합니다. AWS는 Trusted Advisor를 모니터링하고, 이상이 있을 때 이를 보고하고, 필요한 경우 자동 조치를 취할 수 있도록 다음과 같은 모니터링 도구를 제공합니다.
+ *Amazon EventBridge*는 AWS 리소스의 변경 사항을 설명하는 시스템 이벤트의 스트림을 거의 실시간으로 제공합니다. EventBridge는 특정 이벤트를 감시하는 규칙을 작성하고 이러한 이벤트가 발생할 때 다른 AWS 서비스에서 자동화된 작업을 트리거할 수 있으므로 자동화된 이벤트 기반 컴퓨팅이 가능합니다.
예를 들어 Trusted Advisor에서는 **Amazon S3 버킷 권한** 검사를 제공합니다. 이 점검은 열린 액세스 권한이 있거나 인증된 AWS 사용자에 대한 액세스를 허용하는 버킷이 있는지 여부를 식별합니다. 버킷 권한이 변경되면 Trusted Advisor 검사의 상태가 변경됩니다. EventBridge에서는 이 이벤트를 감지한 다음, 조치를 취할 수 있도록 알림을 보냅니다. 자세한 내용은 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)를 참조하세요.
+ AWS Trusted Advisor 검사는 비용을 절감하고 성능을 향상시키며 AWS 계정의 보안을 강화할 수 있는 방법을 파악합니다. EventBridge를 사용하여 Trusted Advisor 점검 상태를 모니터링할 수 있습니다. 그런 다음 Amazon CloudWatch를 사용하여 Trusted Advisor 지표에 경보를 생성할 수 있습니다. 이러한 경보는 업데이트된 리소스 또는 서비스 할당량에 도달한 것과 같이 Trusted Advisor 검사에 대한 상태가 변경될 때 사용자에게 알립니다.
+ *AWS CloudTrail*은 직접 수행하거나 AWS 계정을 대신하여 수행한 API 호출 및 관련 이벤트를 캡처하고 지정한 Amazon S3 버킷에 로그 파일을 전송합니다. 어떤 사용자 및 계정이 AWS를 직접적으로 호출했는지, 어떤 소스 IP 주소에 직접 호출이 이루어졌는지, 언제 직접 호출이 발생했는지 확인할 수 있습니다. 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
**Topics**
+ [Amazon EventBridge를 사용하여 AWS Trusted Advisor 검사 결과 모니터링](cloudwatch-events-ta.md)
+ [AWS Trusted Advisor 지표를 모니터링하기 위한 Amazon CloudWatch 경보 생성](cloudwatch-metrics-ta.md)
+ [를 사용하여 AWS Trusted Advisor 콘솔 작업 로깅 AWS CloudTrail](logging-using-cloudtrail-for-aws-trusted-advisor.md)
# Amazon EventBridge를 사용하여 AWS Trusted Advisor 검사 결과 모니터링
**중요**
지원 종료 공지: 개발자 지원은 2027년 1월 1일에 중단됩니다. 개발자 지원이 있는 고객은 기존 플랜을 계속 사용하거나 2027년 1월 1일 이전에 언제든지 Business Support\$1로 업그레이드하도록 선택할 수 있습니다. Business Support\$1는 운영의 컨텍스트를 이해하는 AI 기반 지원을 제공하며, 계정당 최소 월 29 USD로 AWS 전문가를 연중무휴로 이용할 수 있습니다. 자세한 내용은 [Business Support\$1 플랜 세부](https://aws.amazon.com/premiumsupport/plans/business-plus/) 정보를 참조하세요.
지원 종료 공지: 2027년 1월 1일에 비즈니스 지원이 중단됩니다. Business Support를 보유한 고객은 기존 플랜을 계속 사용하거나 2027년 1월 1일 이전에 언제든지 Business Support\$1로 업그레이드하도록 선택할 수 있습니다. Business Support\$1는 운영의 컨텍스트를 이해하는 AI 기반 지원을 제공하며, 계정당 최소 월 29 USD로 AWS 전문가를 연중무휴로 이용할 수 있습니다. 자세한 내용은 [Business Support\$1 플랜 세부 정보를](https://aws.amazon.com/premiumsupport/plans/business-plus/) 참조하세요.
지원 종료 공지: 2027년 1월 1일에 AWS 는 Enterprise On-Ramp를 중단합니다. 2026년 내내 Enterprise On-Ramp 고객은 계약 갱신 중에 또는 정기적으로 AWS Enterprise Support로 자동 업그레이드됩니다. 고객은 업그레이드 한 달 전에 이메일 알림을 받게 됩니다. 추가 조치가 필요하지 않습니다. Enterprise Support는 지정된 TAM 할당, 15분 응답 시간을 제공하며 추가 비용 없이 최소 5,000 USD(15,000 USD에서 감소)로 AWS Security Incident Response 제공됩니다. 자세한 내용은 [AWS Enterprise 지원 플랜 세부](https://aws.amazon.com/premiumsupport/plans/enterprise/) 정보를 참조하세요.
자세한 내용은 [개발자, 비즈니스 및 엔터프라이즈 램프 지원 종료](support-plans-eos.md) 단원을 참조하십시오.
개발자 지원, 비즈니스 지원 및 엔터프라이즈 온램프는 AWS GovCloud (US) 리전에서 계속 사용할 수 있습니다.
EventBridge를 사용하여가 Trusted Advisor 상태를 확인하는 시기를 감지할 수 있습니다. 그런 다음, EventBridge는 사용자가 만든 규칙에 따라 상태가 규칙에서 지정한 값으로 변경될 때 하나 이상의 대상 작업을 호출합니다.
상태 변경에 따라 알림을 보내거나, 상태 정보를 캡처하거나, 교정 작업을 수행하거나, 이벤트를 시작하거나, 기타 작업을 수행할 수 있습니다. 예를 들어 문제가 감지되지 않음(녹색)에서 권장 조치(빨간색)로 검사 상태가 변경되는 경우 다음 대상 유형을 지정할 수 있습니다.
+ AWS Lambda 함수를 사용하여 Slack 채널에 알림을 전달합니다.
+ 검사에 대한 데이터를 Amazon Kinesis stream으로 푸시하여 포괄적인 실시간 상태 모니터링을 지원합니다.
+ Amazon Simple Notification Service 주제를 이메일로 보냅니다.
+ Amazon CloudWatch 경보 작업을 통해 알림을 받습니다.
EventBridge 및 Lambda 함수를 사용하여 Trusted Advisor의 응답을 자동화하는 방법에 대한 자세한 내용은 GitHub의 [Trusted Advisor 도구](https://github.com/aws/Trusted-Advisor-Tools)를 참조하세요.
**참고**
Trusted Advisor 는 최대한 이벤트를 전달합니다. 이벤트가 항상 EventBridge에 전달되도록 보장되는 것은 아닙니다.
Trusted Advisor 검사를 위한 규칙을 생성하려면 AWS Business Support\$1, AWS Enterprise Support 또는 AWS 통합 운영 계획이 있어야 합니다. 자세한 내용은 [변경 AWS Support 계획](changing-support-plans.md) 단원을 참조하십시오.
Trusted Advisor 글로벌 서비스와 마찬가지로 모든 이벤트는 미국 동부(버지니아 북부) 리전의 EventBridge로 내보내집니다.
다음 절차에 따라에 대한 EventBridge 규칙을 생성합니다 Trusted Advisor. 이벤트 규칙을 생성하기 전에 다음을 수행해야 합니다.
+ Eventbridge의 이벤트, 규칙, 대상을 숙지해야 합니다. 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [Amazon EventBridge란?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 섹션을 참조하세요.
+ 이벤트 규칙에 사용할 대상을 생성합니다.
**에 대한 EventBridge 규칙을 생성하려면 Trusted Advisor**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 리전을 변경하려면 페이지의 오른쪽 상단에 있는 **리전 선택기**를 사용하고 **미국 동부(버지니아 북부)**를 선택합니다.
1. 탐색 창에서 **규칙**을 선택합니다.
1. **규칙 생성**을 선택합니다.
1. **규칙 세부 정보 정의(Define rule detail)** 페이지에서 규칙의 이름과 설명을 입력합니다.
1. **이벤트 버스(Event bus)**와 **규칙 유형(Rule type)**의 기본값을 유지하고 **다음(Next)**을 선택합니다.
1. **이벤트 패턴 빌드(Build event pattern)** 페이지의 **이벤트 소스(Event source)**에서 **AWS 이벤트 또는 EventBridge 파트너 이벤트(events or EventBridge partner events)**를 선택합니다.
1. **이벤트 패턴(Event pattern)**에서 **AWS 서비스**의 기본값을 유지합니다.
1. **AWS 서비스**에서 **Trusted Advisor**를 선택합니다.
1. **이벤트 유형(Event type)**에서 **항목 새로 고침 상태 검사(Check Item Refresh Status)**를 선택합니다.
1. 검사 상태에 대해 다음 옵션 중 하나를 선택합니다.
+ **모든 상태(Any status)**를 선택하여 상태 변경을 모니터링하는 규칙을 생성합니다.
+ **특정 상태(Specific status(es))**를 선택한 후 규칙에서 모니터링할 값을 선택합니다.
+ **ERROR** - 검사에 대한 작업을 Trusted Advisor 권장합니다.
+ **INFO** - 검사 상태를 확인할 수 Trusted Advisor 없습니다.
+ **OK** - 검사에 대한 문제를 감지 Trusted Advisor 하지 못합니다.
+ **WARN** - 검사에 발생할 수 있는 문제를 Trusted Advisor 감지하고 조사를 권장합니다.
1. 검사에 대해 다음 옵션 중 하나를 선택합니다.
+ **모든 검사(Any check)**를 선택합니다.
+ **특정 검사(Specific check(s))**를 선택한 후 목록에서 검사 이름을 한 개 이상 선택합니다.
1. AWS 리소스에 대해 다음 옵션 중 하나를 선택합니다.
+ **모든 리소스 ID(Any resource ID)**을 선택하여 모든 리소스를 모니터링하는 규칙을 만듭니다.
+ **ARN별 특정 리소스 ID(Specific resource ID(s) by ARN)**를 선택한 후 원하는 Amazon 리소스 이름 (ARN)을 입력합니다.
1. **다음**을 선택합니다.
1. **대상 선택(Select targets)** 페이지에서 이 규칙에 대해 생성한 대상 유형을 선택한 후, 해당 유형에 필요한 모든 추가 옵션을 구성합니다. 예를 들어 이벤트를 Amazon SQS 대기열 또는 Amazon SNS 주제로 보낼 수 있습니다.
1. **다음**을 선택합니다.
1. (선택 사항) **태그 구성(Configure tags)** 페이지에서 태그를 추가하고 **다음(Next)**을 선택합니다.
1. **검토 및 생성(Review and create)** 페이지에서 규칙 설정을 검토하여 이벤트 모니터링 요구 사항을 충족하는지 확인합니다.
1. **규칙 생성**을 선택합니다. 이제 규칙이 Trusted Advisor 검사를 모니터링한 다음 지정한 대상으로 이벤트를 전송합니다.
# AWS Trusted Advisor 지표를 모니터링하기 위한 Amazon CloudWatch 경보 생성
가 검사를 AWS Trusted Advisor 새로 고치면는 검사 결과에 대한 지표를 CloudWatch에 Trusted Advisor 게시합니다. CloudWatch에서 이러한 지표를 검토할 수 있습니다. 또한 경보를 생성하여 리소스에 대한 Trusted Advisor 확인 및 상태 변경과 서비스 할당량 사용량(이전에는 제한이라고 함)에 대한 상태 변경을 감지할 수 있습니다.
다음 절차에 따라 특정 Trusted Advisor 지표에 대한 CloudWatch 경보를 생성합니다.
**Topics**
+ [사전 조건](#prerequisites-cloudwatch-metrics)
+ [에 대한 CloudWatch 지표 Trusted Advisor](#cloudwatch-metrics-dimensions-for-trusted-advisor)
+ [Trusted Advisor 지표 및 차원](#trusted-advisor-metrics-dimensions)
## 사전 조건
Trusted Advisor 지표에 대한 CloudWatch 경보를 생성하기 전에 다음 정보를 검토합니다.
+ CloudWatch가 지표 및 경보를 사용하는 방식을 이해하세요. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [CloudWatch 작동 방법](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_architecture.html)을 참조하세요.
+ Trusted Advisor 콘솔 또는 AWS Support API를 사용하여 검사를 새로 고치고 최신 검사 결과를 가져옵니다. 자세한 내용은 [검사 결과 새로 고침](get-started-with-aws-trusted-advisor.md#refresh-check-results) 단원을 참조하십시오.
**Trusted Advisor 지표에 대한 CloudWatch 경보를 생성하려면**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. **리전 선택기**를 사용하여 **미국 동부(버지니아 북부)** AWS 리전을 선택합니다.
1. 탐색 창에서 **경보(Alarms)**를 선택하세요.
1. **경보 생성**을 선택하세요.
1. **지표 선택(Select metric)**을 선택하세요.
1. **지표(Metrics)**에서, 지표 목록을 필터링할 차원 값을 하나 이상 입력하세요. 예를 들어 지표 이름 **ServiceLimitUsage** 또는 Trusted Advisor 검사 이름과 같은 차원을 입력할 수 있습니다.
**작은 정보**
**Trusted Advisor**를 검색하여 서비스에 대한 모든 지표를 나열할 수 있습니다.
사용 가능한 지표와 차원 이름의 목록은 [Trusted Advisor 지표 및 차원](#trusted-advisor-metrics-dimensions)를 참조하세요.
1. 결과 표에서 원하는 지표가 있는 선택 상자를 선택합니다.
다음 예제에서 검사 이름은 **IAM 액세스 키 교체**이고 지표 이름은**YellowResources**입니다.
![\[CloudWatch 콘솔에서에 대한 IAM 암호 정책 확인 이름 Trusted Advisor 의 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_iam_access_key_rotation.png)
1. **지표 선택(Select metric)**을 선택하세요.
1. **지표 및 조건 지정(Specify metric and conditions)** 페이지에서, 사용자가 선택한 **지표 이름(Metric name)** 및 **검사 이름(CheckName)**이 이 페이지에 나타나는지 확인하세요.
1. **기간(Period)**에는 검사 상태가 변경될 때 경보를 시작하는 데 필요한 기간(예: 5분)을 지정할 수 있습니다.
1. **조건(Conditions)**에서 **고정(Static)**을 선택한 다음 경보가 시작되어야 하는 시기에 대한 경보 조건을 선택하세요.
예를 들어, **크거나 같음 >=임계값(Greater/Equal >=threshold)**을 선택하고 임계값에 **1**을 입력하면 Trusted Advisor 가 지난 90일 동안 교체되지 않은 IAM 액세스 키를 하나 이상 감지했을 때 경보가 시작되는 것을 의미합니다.
**참고**
**GreenChecks**, **RedChecks**, **YellowChecks**, **RedResources**, **YellowResources** 지표에 0 이상의 정수인 임곗값을 지정할 수 있습니다.
Trusted Advisor 는 Trusted Advisor 가 문제를 감지하지 못한 리소스인 **GreenResources**에 대한 지표를 보내지 않습니다.
1. **Next**를 선택하세요.
1. **작업 구성(Configure actions)** 페이지의 **경보 상태 트리거(Alarm state trigger)**에서 **경보 상태(In alarm)**를 선택하세요.
1. **SNS 주제 선택(Select an SNS topic)**에서 기존 Amazon Simple Notification Service(Amazon SNS) 주제를 선택하거나 새로 생성합니다.
![\[CloudWatch 콘솔에서 Trusted Advisor 지표를 모니터링하기 위한 경보의 알림 설정 스크린샷입니다.\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_SNS_topic.png)
1. **Next**를 선택하세요.
1. **이름 및 설명(Name and Description)**에서, 경보에 대한 이름과 설명을 입력하세요.
1. **Next**를 선택하세요.
1. **미리 보기 및 만들기(Preview and create)** 페이지에서 경보 세부 정보를 검토한 다음**경보 생성(Create alarm)**을 선택하세요.
**IAM 액세스 키 교체(IAM Access Key Rotation)** 검사의 상태가 5분 동안 빨간색으로 변경되었다면 경보가 SNS 주제로 알림을 보내게 됩니다.
**Example : CloudWatch 경보에 대한 이메일 알림**
다음 이메일 메시지는 경보가 **IAM 액세스 키 교체** 검사에 대한 변경 사항을 감지했음을 보여 줍니다.
```
You are receiving this email because your Amazon CloudWatch Alarm "IAMAcessKeyRotationCheckAlarm" in the US East (N. Virginia) region has entered the ALARM state,
because "Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition)." at "Friday 26 March, 2021 22:49:42 UTC".
View this alarm in the AWS Management Console:
https://us-east-1.console.aws.amazon.com/cloudwatch/home?region=us-east-1#s=Alarms&alarm=IAMAcessKeyRotationCheckAlarm
Alarm Details:
- Name: IAMAcessKeyRotationCheckAlarm
- Description: This alarm starts when one or more AWS access keys in my AWS account have not been rotated in the last 90 days.
- State Change: INSUFFICIENT_DATA -> ALARM
- Reason for State Change: Threshold Crossed: 1 out of the last 1 datapoints [9.0 (26/03/21 22:44:00)] was greater than or equal to the threshold (1.0) (minimum 1 datapoint for OK -> ALARM transition).
- Timestamp: Friday 26 March, 2021 22:49:42 UTC
- AWS Account: 123456789012
- Alarm Arn: arn:aws:cloudwatch:us-east-1:123456789012:alarm:IAMAcessKeyRotationCheckAlarm
Threshold:
- The alarm is in the ALARM state when the metric is GreaterThanOrEqualToThreshold 1.0 for 300 seconds.
Monitored Metric:
- MetricNamespace: AWS/TrustedAdvisor
- MetricName: RedResources
- Dimensions: [CheckName = IAM Access Key Rotation]
- Period: 300 seconds
- Statistic: Average
- Unit: not specified
- TreatMissingData: missing
State Change Actions:
- OK:
- ALARM: [arn:aws:sns:us-east-1:123456789012:Default_CloudWatch_Alarms_Topic]
- INSUFFICIENT_DATA:
```
## 에 대한 CloudWatch 지표 Trusted Advisor
CloudWatch 콘솔 또는 AWS Command Line Interface (AWS CLI)를 사용하여에 사용할 수 있는 지표를 찾을 수 있습니다 Trusted Advisor.
지표를 게시하는 모든 서비스의 네임스페이스, 지표 및 차원 목록은 *Amazon CloudWatch 사용 설명서*의 [CloudWatch 지표를 게시하는AWS 서비스](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/aws-services-cloudwatch-metrics.html)를 참조하세요.
### Trusted Advisor 지표 보기(콘솔)
CloudWatch 콘솔에 로그인하여 사용 가능한 지표를 볼 수 있습니다 Trusted Advisor.
**사용 가능한 Trusted Advisor 지표를 보려면(콘솔)**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. **리전 선택기**를 사용하여 **미국 동부(버지니아 북부)** AWS 리전을 선택합니다.
1. 탐색 창에서 **지표(Metrics)**를 선택하세요.
1. **TrustedAdvisor** 등의 지표 네임스페이스를 입력하세요.
1. **검사 지표(Check Metrics)** 등의 지표 차원을 선택하세요.
1. **모든 지표(All metrics)** 탭에서 네임스페이스의 해당 차원에 대한 지표가 표시됩니다. 다음을 수행할 수 있습니다.
1. 테이블을 정렬하려면 열 머리글을 선택합니다.
1. 측정치를 그래프로 표시하려면 측정치 옆에 있는 확인란을 선택하세요. 모든 지표를 선택하려면 테이블의 머리글 행에 있는 확인란을 선택하세요.
1. 지표로 필터링하려면 지표 이름을 선택한 후 **검색에 추가**를 선택하세요.
다음 예제는 **보안 그룹 - 제한 없는 특정 포트(Security Groups - Specific Ports Unrestricted)** 검사의 결과를 보여줍니다. 검사는 노란색으로 표시된 검사를 조사하는 데 필요한 yellow. Trusted Advisor recommds 리소스 13개를 식별합니다.
![\[CloudWatch 콘솔에서 보안 그룹 - 제한 없는 특정 포트(Security Groups - Specific Ports Unrestricted) 검사에 대한 두 개의 리소스 지표를 포함하는 그래프입니다.\]](http://docs.aws.amazon.com/ko_kr/awssupport/latest/user/images/trusted_advisor_metrics_cloudwatch_unrestricted_access_check_names.png)
1. (선택 사항) CloudWatch 대시보드에 이 그래프를 추가하려면 **작업(Actions)**을 선택한 후 **대시보드에 추가(Add to dashboard)**를 선택하세요.
지표를 보기 위해 그래프를 만드는 방법에 대한 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [지표 그래프 작성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_a_metric.html)을 참조하세요.
### Trusted Advisor 지표 보기(CLI)
[list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) AWS CLI 명령을 사용하여 사용 가능한 지표를 볼 수 있습니다 Trusted Advisor.
**Example :에 대한 모든 지표 나열 Trusted Advisor**
다음 예제에서는 모든 지표를 볼 `AWS/TrustedAdvisor` 네임스페이스를 지정합니다 Trusted Advisor.
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor
```
출력은 다음과 같을 수 있습니다.
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Magnetic (standard) volume storage (TiB)"
},
{
"Name": "Region",
"Value": "ap-northeast-2"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Overutilized Amazon EBS Magnetic Volumes"
}
],
"MetricName": "YellowResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Provisioned IOPS"
},
{
"Name": "Region",
"Value": "eu-west-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "EBS"
},
{
"Name": "ServiceLimit",
"Value": "Provisioned IOPS"
},
{
"Name": "Region",
"Value": "ap-south-1"
}
],
"MetricName": "ServiceLimitUsage"
},
...
]
}
```
**Example : 차원에 대한 모든 지표 나열**
다음 예제에서는 지정된 AWS 리전에 사용 가능한 지표만 보도록 `AWS/TrustedAdvisor` 네임스페이스와 `Region` 차원을 지정합니다.
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --dimensions Name=Region,Value=us-east-1
```
출력은 다음과 같을 수 있습니다.
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "SES"
},
{
"Name": "ServiceLimit",
"Value": "Daily sending quota"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "AutoScaling"
},
{
"Name": "ServiceLimit",
"Value": "Launch configurations"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "ServiceName",
"Value": "CloudFormation"
},
{
"Name": "ServiceLimit",
"Value": "Stacks"
},
{
"Name": "Region",
"Value": "us-east-1"
}
],
"MetricName": "ServiceLimitUsage"
},
...
]
}
```
**Example : 특정 지표 이름에 대한 지표 나열**
다음 예제는 이 특정 지표의 결과만 보도록 `AWS/TrustedAdvisor` 네임스페이스와 `RedResources` 지표 이름을 지정합니다.
```
aws cloudwatch list-metrics --namespace AWS/TrustedAdvisor --metric-name RedResources
```
출력은 다음과 같을 수 있습니다.
```
{
"Metrics": [
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Amazon RDS Security Group Access Risk"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Exposed Access Keys"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Large Number of Rules in an EC2 Security Group"
}
],
"MetricName": "RedResources"
},
{
"Namespace": "AWS/TrustedAdvisor",
"Dimensions": [
{
"Name": "CheckName",
"Value": "Auto Scaling Group Health Check"
}
],
"MetricName": "RedResources"
},
...
]
}
```
## Trusted Advisor 지표 및 차원
CloudWatch 경보 및 그래프에 사용할 수 있는 Trusted Advisor 지표 및 차원은 다음 표를 참조하세요.
### Trusted Advisor 체크 레벨 지표
Trusted Advisor 검사에 다음 지표를 사용할 수 있습니다.
| 지표 | 설명 |
| --- | --- |
| RedResources | 빨간색 상태(작업 권장)인 리소스의 수. |
| YellowResources | 노란색 상태(조사 권장)인 리소스의 수. |
### Trusted Advisor 서비스 할당량 수준 지표
할당 AWS 서비스 량에 다음 지표를 사용할 수 있습니다.
| 지표 | 설명 |
| --- | --- |
| ServiceLimitUsage | 서비스 할당량(이전에는 제한이라고 지칭)에 대한 리소스 사용량의 백분율입니다. |
### 검사 수준 지표의 차원
Trusted Advisor 검사에 다음 차원을 사용할 수 있습니다.
| 차원 | 설명 |
| --- | --- |
| CheckName | Trusted Advisor 검사의 이름입니다. [Trusted Advisor 콘솔](https://console.aws.amazon.com/trustedadvisor/home) 또는 [AWS Trusted Advisor 참조 확인](trusted-advisor-check-reference.md)에서 모든 검사 이름을 찾을 수 있습니다. |
### 서비스 할당량 지표의 차원
Trusted Advisor 서비스 할당량 지표에 다음 차원을 사용할 수 있습니다.
| 차원 | 설명 |
| --- | --- |
| Region | 서비스 할당량에 AWS 리전 대한 입니다. |
| ServiceName | AWS 서비스의 이름입니다. |
| ServiceLimit | 서비스 할당량의 이름입니다. 서비스 할당량에 대한 자세한 내용은 *AWS 일반 참조*의 [AWS 서비스 할당량](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)을 참조하세요. |
# 를 사용하여 AWS Trusted Advisor 콘솔 작업 로깅 AWS CloudTrail
Trusted Advisor 는 사용자 AWS CloudTrail, 역할 또는 서비스가 수행한 작업에 대한 레코드를 제공하는 AWS 서비스와 통합됩니다 Trusted Advisor. CloudTrail은에 대한 작업을 이벤트 Trusted Advisor 로 캡처합니다. 캡처되는 호출에는 Trusted Advisor 콘솔의 호출이 포함됩니다. 추적을 생성하면 이벤트를 포함하여 CloudTrail 이벤트를 Amazon Simple Storage Service(Amazon S3) 버킷에 지속적으로 배포할 수 있습니다 Trusted Advisor. 추적을 구성하지 않은 경우에도 **이벤트 기록**에서 CloudTrail 콘솔의 최신 이벤트를 볼 수 있습니다. CloudTrail에서 수집한 정보를 사용하여 수행된 요청, 요청이 수행된 Trusted Advisor IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
구성 및 활성화 방법을 포함하여 CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서를](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) 참조하세요.
## Trusted Advisor CloudTrail의 정보
AWS 계정을 생성할 때 계정에서 CloudTrail이 활성화됩니다. 지원되는 이벤트 활동이 Trusted Advisor 콘솔에서 발생하면 해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다. 자세한 내용은 [CloudTrail 이벤트 기록으로 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 Trusted Advisor생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS Region에 추적이 적용됩니다. 추적은 AWS 파티션의 모든 리전에서 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 추가적으로, CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 다음 자료를 참조하세요.
+ [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 지원 서비스 및 통합 ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail에 대한 Amazon SNS 알림 구성 ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [여러 리전으로부터 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정으로부터 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Trusted Advisor 는 Trusted Advisor 콘솔 작업의 하위 집합을 CloudTrail 로그 파일에 이벤트로 로깅할 수 있도록 지원합니다. CloudTrail은 다음 작업을 로그합니다.
+ ` [ BatchUpdateRecommendationResourceExclusion ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) `
+ `CreateEngagement`
+ `CreateEngagementAttachment`
+ `CreateEngagementCommunication`
+ `CreateExcelReport`
+ `DescribeAccount`
+ `DescribeAccountAccess`
+ `DescribeCheckItems`
+ `DescribeCheckRefreshStatuses`
+ `DescribeCheckSummaries`
+ `DescribeChecks`
+ `DescribeNotificationPreferences`
+ `DescribeOrganization`
+ `DescribeOrganizationAccounts`
+ `DescribeReports`
+ `DescribeServiceMetadata`
+ `ExcludeCheckItems`
+ `GenerateReport`
+ `GetEngagement`
+ `GetEngagementAttachment`
+ `GetEngagementType`
+ `GetExcelReport`
+ ` [ GetOrganizationRecommendation ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetOrganizationRecommendation.html) `
+ ` [ GetRecommendation ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_GetRecommendation.html) `
+ `IncludeCheckItems`
+ `ListAccountsForParent`
+ ` [ListChecks](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListChecks.html) `
+ `ListEngagementCommunications`
+ `ListEngagementTypes`
+ `ListEngagements`
+ ` [ ListOrganizationRecommendationAccounts ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationAccounts.html) `
+ ` [ ListOrganizationRecommendationResources ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendationResources.html) `
+ ` [ ListOrganizationRecommendations ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListOrganizationRecommendations.html) `
+ `ListOrganizationalUnitsForParent`
+ ` [ ListRecommendationResources ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendationResources.html) `
+ ` [ ListRecommendations ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_ListRecommendations.html) `
+ `ListRoots`
+ `RefreshCheck`
+ `SetAccountAccess`
+ `SetOrganizationAccess`
+ `UpdateEngagement`
+ `UpdateEngagementStatus`
+ `UpdateNotificationPreferences`
+ ` [ UpdateOrganizationRecommendationLifecycle ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateOrganizationRecommendationLifecycle.html) `
+ ` [ UpdateRecommendationLifecycle ](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_UpdateRecommendationLifecycle.html) `
Trusted Advisor 콘솔 작업의 전체 목록은 섹션을 참조하세요[Trusted Advisor 작업](security-trusted-advisor.md#trusted-advisor-operations).
**참고**
또한 CloudTrail은 Trusted Advisor API [AWS Support 참조에 API](https://docs.aws.amazon.com/awssupport/latest/APIReference/) 작업을 기록합니다. 자세한 내용은 [를 사용하여 AWS Support API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail.md) 단원을 참조하십시오.
모든 이벤트 또는 로그 항목에는 요청을 생성했던 사용자에 관한 정보가 포함됩니다. ID 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
+ 요청이 루트 또는 AWS Identity and Access Management (IAM) 사용자 자격 증명으로 이루어졌는지 여부입니다.
+ 역할 또는 페더레이션 사용자의 임시 자격 증명을 사용하여 요청이 생성되었는지 여부.
+ 요청이 다른 AWS 서비스에서 이루어졌는지 여부입니다.
자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.
## 예: Trusted Advisor 로그 파일 항목
트레일이란 지정한 S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 직접 호출의 주문 스택 트레이스가 아니므로 특정 순서로 표시되지 않습니다.
**Example : RefreshCheck에 대한 로그 항목**
다음은 Amazon S3 버킷 버전 관리 검사(ID R365s2Qddf)의 `RefreshCheck` 작업을 설명하는 CloudTrail 로그 항목을 보여주는 예입니다.
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-10-21T22:06:18Z"
}
}
},
"eventTime":"2020-10-21T22:06:33Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"RefreshCheck",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.34.136",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"checkId":"R365s2Qddf"
},
"responseElements":{
"status":{
"checkId":"R365s2Qddf",
"status":"enqueued",
"millisUntilNextRefreshable":3599993
}
},
"requestID":"d23ec729-8995-494c-8054-dedeaEXAMPLE",
"eventID":"a49d5202-560f-4a4e-b38a-02f1cEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
**Example : UpdateNotificationPreferences에 대한 로그 항목**
다음은 `UpdateNotificationPreferences` 작업을 보여 주는 CloudTrail 로그 항목을 설명하는 예제입니다.
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-10-21T22:06:18Z"
}
}
},
"eventTime":"2020-10-21T22:09:49Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"UpdateNotificationPreferences",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.34.167",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"contacts":[
{
"id":"billing",
"type":"email",
"active":false
},
{
"id":"operational",
"type":"email",
"active":false
},
{
"id":"security",
"type":"email",
"active":false
}
],
"language":"en"
},
"responseElements":null,
"requestID":"695295f3-c81c-486e-9404-fa148EXAMPLE",
"eventID":"5f923d8c-d210-4037-bd32-997c6EXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
**Example : GenerateReport에 대한 로그 항목**
다음은 `GenerateReport` 작업을 설명하는 CloudTrail 로그 항목을 보여 주는 예시입니다. 이 작업을 수행하면 AWS 조직의 보고서가 생성됩니다.
```
{
"eventVersion":"1.04",
"userIdentity":{
"type":"IAMUser",
"principalId":"AIDACKCEVSQ6C2EXAMPLE",
"arn":"arn:aws:iam::123456789012:user/janedoe",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"janedoe",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2020-11-03T13:03:10Z"
}
}
},
"eventTime":"2020-11-03T13:04:29Z",
"eventSource":"trustedadvisor.amazonaws.com",
"eventName":"GenerateReport",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.127.36.171",
"userAgent":"signin.amazonaws.com",
"requestParameters":{
"refresh":false,
"includeSuppressedResources":false,
"language":"en",
"format":"JSON",
"name":"organizational-view-report",
"preference":{
"accounts":[
],
"organizationalUnitIds":[
"r-j134"
],
"preferenceName":"organizational-view-report",
"format":"json",
"language":"en"
}
},
"responseElements":{
"status":"ENQUEUED"
},
"requestID":"bb866dc1-60af-47fd-a660-21498EXAMPLE",
"eventID":"2606c89d-c107-47bd-a7c6-ec92fEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```