기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Detective에서 원시 로그 쿼리
Detective를 Security Lake와 통합한 후 Detective는 AWS CloudTrail 관리 이벤트 및 Amazon Virtual Private Cloud(VPC) 흐름 로그와 관련하여 Security Lake에서 원시 로그를 가져오기 시작합니다.
**참고**
Detective에서 원시 로그를 쿼리하는 데 대한 추가 비용은 없습니다. Amazon Athena를 포함한 다른 AWS 서비스에 대한 사용 요금은 여전히 게시된 요금으로 적용됩니다.
AWS CloudTrail 관리 이벤트는 다음 프로파일에 사용할 수 있습니다.
+ AWS 계정
+ AWS 사용자
+ AWS 역할
+ AWS 역할 세션
+ Amazon EC2 인스턴스
+ Amazon S3 버킷
+ IP 주소
+ Kubernetes 클러스터
+ Kubernetes 포드
+ Kubernetes 제목
+ IAM 역할
+ IAM 역할 세션
+ IAM 사용자
Amazon VPC Flow 로그는 다음 프로필에 사용할 수 있습니다.
+ Amazon EC2 인스턴스
+ Kubernetes 포드
Detective 콘솔을 사용하여 Amazon Security Lake에서 Amazon Detective를 사용하는 방법에 대한 데모를 보려면 다음 동영상을 시청하세요.
[](http://www.youtube.com/watch?v=A_EWd2lvVW0)
**AWS 계정의 원시 로그를 쿼리하려면**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.
1. 탐색 창에서 **검색**을 선택한 후 `AWS account`을 검색합니다.
1. **전체 API 호출 볼륨** 섹션에서 **범위 시간에 대한 세부 정보 표시**를 선택합니다.
1. 여기에서 **원시 로그 쿼리**를 시작할 수 있습니다.
**원시 로그 미리 보기** 테이블을 통해 Security Lake에서 데이터를 쿼리하여 검색한 로그 및 이벤트를 볼 수 있습니다. 원시 이벤트 로그에 대한 자세한 내용은 Amazon Athena에 표시된 데이터를 참조하세요.
원시 로그 쿼리 테이블에서 **쿼리 요청을 취소**하고, **Amazon Athena에서 결과를 확인**하고, 결과를 쉼표로 구분된 값(.csv) 파일로 **다운로드**할 수 있습니다.
Detective에 로그가 표시되지만 쿼리 결과가 반환되지 않는 경우 다음과 같은 이유 때문일 수 있습니다.
+ 원시 로그는 Security Lake 로그 테이블에 표시되기 전에 Detective에 제공될 수 있습니다. 나중에 다시 시도해 주세요.
+ Security Lake에서 로그가 누락되었을 수 있습니다. 오랜 시간 기다린 경우 Security Lake에서 로그가 누락된 것으로 표시됩니다. Security Lake 관리자에게 문의하여 이 문제를 해결하세요.
**Topics**
+ [AWS 역할에 대한 원시 로그 쿼리](#query-log-geo-location)
+ [Amazon EKS 클러스터에 대한 원시 로그 쿼리](#query-log-eks-cluster)
+ [Amazon EC2 인스턴스에 대한 원시 로그 쿼리](#query-log-vpc)
## AWS 역할에 대한 원시 로그 쿼리
새 지리적 위치에서 AWS 역할의 활동을 이해하려면 Detective 콘솔에서 수행할 수 있습니다.
**AWS 역할의 원시 로그를 쿼리하려면**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.
1. 탐지 **요약** 페이지에서 **새로 관찰된 지리적 위치** 섹션에서 AWS 역할을 기록해 둡니다.
1. 탐색 창에서 **검색**을 선택한 후 `AWS role`을 검색합니다.
1. AWS 역할의 경우 리소스를 확장하여 해당 리소스가 해당 IP 주소에서 실행한 특정 API 호출을 표시합니다.
1. 조사하려는 API 호출 옆의 돋보기 아이콘을 선택하여 **원시 로그 미리 보기** 테이블을 엽니다.
## Amazon EKS 클러스터에 대한 원시 로그 쿼리
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.
1. **생성된 포드가 가장 많은 컨테이너 클러스터** 감지 **요약** 페이지에서 Amazon EKS 클러스터로 이동합니다.
1. **Amazon EKS 클러스터 세부 정보** 페이지에서 **Kubernetes API 활동** 탭을 선택합니다.
1. **이 Amazon EKS 클러스터와 관련된 전체 Kubernetes API 활동** 섹션에서 **범위 시간에 대한 세부 정보 표시를** 선택합니다.
1. 여기에서 **원시 로그 쿼리**를 시작할 수 있습니다.
## Amazon EC2 인스턴스에 대한 원시 로그 쿼리
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.
1. 탐색 창에서 **검색**을 선택한 후 `Amazon EC2 instance`을 검색합니다.
1. **전체 VPC 흐름 볼륨** 섹션에서 조사하려는 API 직접 호출 옆의 돋보기 아이콘을 선택하여 **원시 로그 미리 보기** 테이블을 엽니다.
1. 여기에서 **원시 로그 쿼리**를 시작할 수 있습니다.
**원시 로그 미리 보기** 테이블을 통해 Security Lake에서 데이터를 쿼리하여 검색한 로그 및 이벤트를 볼 수 있습니다. 원시 이벤트 로그에 대한 자세한 내용은 Amazon Athena에 표시된 데이터를 참조하세요.
원시 로그 쿼리 테이블에서 **쿼리 요청을 취소**하고, **Amazon Athena에서 결과를 확인**하고, 결과를 쉼표로 구분된 값(.csv) 파일로 **다운로드**할 수 있습니다.