**이 페이지 개선에 도움 주기** 

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 **GitHub에서 이 페이지 편집** 링크를 선택합니다.

# API 호출을 AWS CloudTrail 이벤트로 기록
<a name="logging-using-cloudtrail"></a>

Amazon EKS는 AWS CloudTrail에 통합됩니다. CloudTrail은 Amazon EKS에서 사용자, 역할 또는 AWS 서비스가 수행한 작업의 레코드를 제공하는 서비스입니다. CloudTrail은 Amazon EKS에 대한 모든 API 호출을 이벤트로 캡처합니다. 여기에는 Amazon EKS 콘솔 호출과 Amazon EKS API 작업에 대한 코드 호출이 포함됩니다.

추적을 생성하면 CloudTrail 이벤트를 지속적으로 Amazon S3 버킷에 배포할 수 있습니다. 여기에는 Amazon EKS 이벤트가 포함됩니다. 추적을 구성하지 않은 경우에도 CloudTrail 콘솔의 **이벤트 기록**에서 최신 이벤트를 볼 수 있습니다. CloudTrail에서 수집하는 정보를 사용하여 요청에 대한 몇 가지 세부 정보를 확인할 수 있습니다. 예를 들어, 언제 Amazon EKS에 요청했는지, 어떤 IP 주소에서 요청했는지 그리고 누가 요청했는지를 확인할 수 있습니다.

CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.

**Topics**
+ [AWS CloudTrail에 대한 유용한 참조 보기](service-name-info-in-cloudtrail.md)
+ [AWS CloudTrail 로그 파일 항목 분석](understanding-service-name-entries.md)
+ [Amazon EC2 Auto Scaling 그룹을 위한 지표 보기](enable-asg-metrics.md)

# AWS CloudTrail에 대한 유용한 참조 보기
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail은 AWS 계정 생성 시 AWS 계정에서 사용 설정합니다. Amazon EKS에서 어떤 활동이 발생하는 경우, 해당 활동이 **이벤트 기록**의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 [CloudTrail 이벤트 기록을 사용하여 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.

Amazon EKS에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 지역에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 AWS 리전의 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 다음 리소스를 참조하세요.
+  [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) 
+  [CloudTrail 지원 서비스 및 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations) 
+  [CloudTrail에 대한 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html) 
+  [여러 지역에서 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정에서 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) 

모든 Amazon EKS 작업은 CloudTrail에서 로깅되며 [Amazon EKS API 참조](https://docs.aws.amazon.com/eks/latest/APIReference/)에 설명되어 있습니다. 예를 들어, [CreateCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html), [ListClusters](https://docs.aws.amazon.com/eks/latest/APIReference/API_ListClusters.html) 및 [DeleteCluster](https://docs.aws.amazon.com/eks/latest/APIReference/API_DeleteCluster.html)을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.

모든 이벤트 또는 로그 항목에는 요청이 이루어지고 자격 증명이 사용되는 IAM 자격 증명 유형에 관한 정보가 포함됩니다. 임시 자격 증명이 사용되는 경우 요소는 자격 증명을 획득하는 방법을 보여 줍니다.

자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.

# AWS CloudTrail 로그 파일 항목 분석
<a name="understanding-service-name-entries"></a>

추적이란 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업에 대한 정보가 들어 있습니다. 여기에는 작업 날짜와 시간, 사용된 요청 파라미터에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 호출에 대한 순서가 지정된 스택 추적이 아니므로 특정 순서로 표시되지 않습니다.

다음은 [https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateCluster.html) 작업을 보여 주는 CloudTrail 로그 항목이 나타낸 예제입니다.

```
{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "AKIAIOSFODNN7EXAMPLE",
    "arn": "arn:aws:iam::111122223333:user/username",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "userName": "username"
  },
  "eventTime": "2018-05-28T19:16:43Z",
  "eventSource": "eks.amazonaws.com",
  "eventName": "CreateCluster",
  "awsRegion": "region-code",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/6.4.0",
  "requestParameters": {
    "resourcesVpcConfig": {
      "subnetIds": [
        "subnet-a670c2df",
        "subnet-4f8c5004"
      ]
    },
    "roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
    "clusterName": "test"
  },
  "responseElements": {
    "cluster": {
      "clusterName": "test",
      "status": "CREATING",
      "createdAt": 1527535003.208,
      "certificateAuthority": {},
      "arn": "arn:aws:eks:region-code:111122223333:cluster/test",
      "roleArn": "arn:aws:iam::111122223333:role/AWSServiceRoleForAmazonEKS-CAC1G1VH3ZKZ",
      "version": "1.10",
      "resourcesVpcConfig": {
        "securityGroupIds": [],
        "vpcId": "vpc-21277358",
        "subnetIds": [
          "subnet-a670c2df",
          "subnet-4f8c5004"
        ]
      }
    }
  },
  "requestID": "a7a0735d-62ab-11e8-9f79-81ce5b2b7d37",
  "eventID": "eab22523-174a-499c-9dd6-91e7be3ff8e3",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

## Amazon EKS 서비스 연결 역할에 대한 로그 항목
<a name="eks-service-linked-role-ct"></a>

Amazon EKS 서비스 연결 역할은 AWS 리소스에 대한 API 호출을 수행합니다. Amazon EKS 서비스 연결 역할에서 수행한 호출의 경우 CloudTrail 로그 항목에 `username: AWSServiceRoleForAmazonEKS` 및 `username: AWSServiceRoleForAmazonEKSNodegroup`이 표시됩니다. Amazon EKS 및 서비스 연결 역할에 대한 자세한 내용은 [Amazon EKS에 대해 서비스 연결 역할 사용](using-service-linked-roles.md) 섹션을 참조하세요.

다음 예에서는 `sessionContext`에 표시된 `AWSServiceRoleForAmazonEKSNodegroup` 서비스 연결 역할에서 생성된 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteInstanceProfile.html) 작업을 보여주는 CloudTrail 로그 항목을 표시합니다.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA3WHGPEZ7SJ2CW55C5:EKS",
        "arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForAmazonEKSNodegroup/EKS",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA3WHGPEZ7SJ2CW55C5",
                "arn": "arn:aws:iam::111122223333:role/aws-service-role/eks-nodegroup.amazonaws.com/AWSServiceRoleForAmazonEKSNodegroup",
                "accountId": "111122223333",
                "userName": "AWSServiceRoleForAmazonEKSNodegroup"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2020-02-26T00:56:33Z"
            }
        },
        "invokedBy": "eks-nodegroup.amazonaws.com"
    },
    "eventTime": "2020-02-26T00:56:34Z",
    "eventSource": "iam.amazonaws.com",
    "eventName": "DeleteInstanceProfile",
    "awsRegion": "region-code",
    "sourceIPAddress": "eks-nodegroup.amazonaws.com",
    "userAgent": "eks-nodegroup.amazonaws.com",
    "requestParameters": {
        "instanceProfileName": "eks-11111111-2222-3333-4444-abcdef123456"
    },
    "responseElements": null,
    "requestID": "11111111-2222-3333-4444-abcdef123456",
    "eventID": "11111111-2222-3333-4444-abcdef123456",
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
```

# Amazon EC2 Auto Scaling 그룹을 위한 지표 보기
<a name="enable-asg-metrics"></a>

Amazon EKS 관리형 노드 그룹에는 Amazon EC2 Auto Scaling 그룹 지표가 추가 비용 없이 기본적으로 활성화되어 있습니다. Auto Scaling 그룹은 1분마다 샘플링된 데이터를 Amazon CloudWatch로 전송합니다. 이러한 지표는 Auto Scaling 그룹의 이름으로 조정할 수 있습니다. 시간 경과에 따른 그룹 크기 변화와 같이 관리형 노드 그룹을 지원하는 Auto Scaling 그룹의 기록을 지속적으로 파악할 수 있습니다. Auto Scaling 그룹 지표는 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch) 또는 Auto Scaling 콘솔에서 사용할 수 있습니다. 자세한 내용은 [Monitor CloudWatch metrics for your Auto Scaling groups and instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html)를 참조하세요.

Auto Scaling 그룹 지표 수집을 사용하면 관리형 노드 그룹의 규모 조정을 모니터링할 수 있습니다. Auto Scaling 그룹 지표를 통해 오토 스케일링의 최소, 최대 및 원하는 크기가 보고됩니다. 노드 그룹의 노드 수가 최소 크기 미만으로 감소하면 비정상 노드 그룹을 나타내는 경보를 생성할 수 있습니다. 노드 그룹 크기를 추적하면 데이터 영역의 용량이 부족하지 않도록 최대 개수를 조정하는 데도 유용합니다.

이러한 지표를 수집하지 않으려면 전체 또는 일부 지표만 비활성화하도록 선택할 수 있습니다. 예를 들어, CloudWatch 대시보드에서 소음을 방지하기 위해 이를 수행할 수 있습니다. 자세한 내용은 [Amazon CloudWatch metrics for Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-cloudwatch-monitoring.html)을 참조하세요.