AMS Accelerate에서의 로그 관리 - AMS Accelerate 사용 설명서
로그 관리 - AWS CloudTrail로그 관리 - Amazon EC2 로그 관리 - Amazon VPC 흐름 로그

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS Accelerate에서의 로그 관리

AMS Accelerate는 로그를 수집하도록 지원되는 AWS 서비스를 구성합니다. 이러한 로그는 AMS Accelerate에서 계정 내 리소스의 규정 준수 및 감사를 보장하는 데 사용됩니다.

AMS Accelerate는 AWS에서 운영 우수성을 달성하는 데 도움이 되는 다양한 운영 서비스를 제공합니다. 연중무휴 24시간 헬프데스크, 사전 모니터링, 보안, 패치 적용, 로깅 및 백업을 포함한 몇 가지 주요 운영 기능을 통해 AMS가 AWS 클라우드에서 전반적인 운영 우수성을 달성하는 데 어떻게 도움이 되는지 빠르게 이해하려면 AMS 참조 아키텍처 다이어그램을 참조하세요.

로그 관리 - AWS CloudTrail

AWS CloudTrail는 규정 준수, 운영 감사 및 위험 감사와 같은 계정 거버넌스에 사용되는 서비스입니다. CloudTrail을 사용하면 AWS 인프라 전반의 작업과 관련된 계정 활동을 로깅, 지속적인 모니터링 및 유지할 수 있습니다.

AMS Accelerate를 사용하려면 계정의 모든 리소스에 대한 감사 및 규정 준수를 관리하기 위한 AWS CloudTrail 로깅이 필요합니다. 온보딩 중에 다음 옵션 중 하나를 선택할 수 있습니다.

  • AMS 배포 추적:이 옵션을 선택하면 AMS는 계정의 기존 추적과 관계없이 기본 AWS 리전에서 CloudTrail 다중 리전 추적을 생성, 배포 및 관리합니다.

  • 자체 추적 가져오기: 자체 계정 또는 조직 CloudTrail 추적을 제공하기로 선택한 경우 Cloud Architect(CA)와 협력하여 Accelerate에 필요한 구성을 충족하는지 확인해야 합니다. 이 옵션을 선택했지만 자체 추적을 제공하지 않는 경우 Accelerate는 자체 CloudTrail 추적을 자동으로 배포하여 지속적인 보안 및 감사 범위를 유지합니다. 나중에 자체 추적을 제공하는 경우 AMS는 배포된 추적을 제거하여 중복성과 추가 비용을 방지합니다. 이 접근 방식은 계정에서 단일 활성 CloudTrail 추적을 유지하고 중복 로깅 비용을 방지하는 데 도움이 됩니다.

참고

계정에 기존 CloudTrail 추적이 있고 온보딩 중에 AMS 관리형 추적을 특별히 구성하거나 요청하지 않은 경우 AMS Accelerate는 계정에서 AMS 배포 추적을 자동으로 제거합니다. 이렇게 하면 중복 로깅을 방지하고 리소스 사용을 최적화하며 추가 비용을 절감할 수 있습니다.

AMS Accelerate는 Accelerate 배포된 CloudTrail 추적을 위한 Amazon S3 버킷을 이벤트 전송 대상으로 생성하고 AWS Key Management Service (AWS KMS) 암호화를 사용합니다. AMS Accelerate 운영자는 조사 및 진단 목적으로 추적 이벤트에 액세스합니다. 계정에 이미 기존 CloudTrail 추적이 활성화되어 있는 경우 온보딩 중에 Accelerate가 Accelerate 관리형 추적을 배포하도록 선택한 경우이 추적은 이에 추가됩니다.

AMS Accelerate는 Accelerate 배포된 CloudTrail 추적을 포함한 CloudTrail 계정 추적이 올바르게 설정되고 암호화되도록 AWS Config 규칙을 배포합니다. 자세한 내용은 AWS Config를 참조하세요. 사용되는 규칙은 다음과 같으며 이를 설명하는 AWS 설명서 링크로 제공됩니다.

  • multi-region-cloudtrail-enabled. AMS Accelerate CloudTrail이 올바른 구성으로 올바르게 설정되었는지 확인합니다.

  • cloud-trail-encryption-enabled. AWS KMS 고객 마스터 키(CMK) 암호화와 함께 서버 측 암호화(SSE)를 사용하도록 AWS CloudTrail 구성되어 있는지 확인합니다.

  • cloud-trail-log-file-validation-enabled. 활성화되면가 AWS CloudTrail 로그가 포함된 서명된 다이제스트 파일을 생성하는지 확인합니다. 모든 추적에서 파일 검증을 활성화하는 것이 좋습니다.

  • s3-bucket-default-lock-enabled. 활성화되면는 Amazon S3 버킷에 잠금이 활성화되어 있는지 확인합니다.

  • s3-bucket-logging-enabled. 활성화되면 Amazon S3 버킷에 대한 로깅이 활성화되어 있는지 확인합니다.

AMS Accelerate는 AWS KMS 를 사용하여 계정에 배포된 Accelerate CloudTrail 추적에 대해 로깅된 이벤트를 암호화합니다. 이 키는 계정 관리자, AMS Accelerate 운영자 및 CloudTrail에서 제어하고 액세스할 수 있습니다. 에 대한 자세한 내용은 AWS Key Management Service 기능 제품 설명서를 AWS KMS참조하세요.

CloudTrail 로그 액세스 및 감사

AMS Accelerate 배포 CloudTrail 추적에 대한 CloudTrail 로그는 계정 내의 Amazon S3 버킷에 저장됩니다. Amazon S3 버킷에 저장된 추적 데이터는 CloudTrail 리소스가 프로비저닝될 때 생성된 AWS KMS 키를 사용하여 암호화됩니다.

Amazon S3 버킷은 ams-aaws 계정 id-cloudtrail-AWS 리전(예: ams-a123456789-cloudtrail-us-east-1a)의 이름 지정 패턴을 활용하며 모든 이벤트는 AWS/CloudTrail 접두사와 함께 저장됩니다. 기본 버킷에 대한 모든 액세스가 로깅되고 감사 목적으로 로그 객체가 암호화되고 버전이 지정됩니다.

변경 사항 추적 및 로그 쿼리에 대한 자세한 내용은 섹션을 참조하세요AMS Accelerate 계정의 변경 사항 추적.

CloudTrail 로그 보호 및 유지

AMS Accelerate를 사용하면 Accelerate 배포 CloudTrail 추적에 대한 거버넌스 모드를 사용하여 Amazon S3 객체 잠금을 활성화하여 사용자가 특별한 권한 없이 객체 버전을 덮어쓰거나 삭제하거나 잠금 설정을 변경할 수 없도록 합니다. 자세한 내용은 Amazon S3 객체 잠금을 참조하세요.

기본적으로이 버킷의 모든 로그는 무기한 보관됩니다. 보존 기간을 변경하려면 AWS Support 센터를 통해 서비스 요청을 제출하여 다른 보존 정책을 설정할 수 있습니다.

Amazon EC2 로그 액세스

를 사용하여 Amazon EC2 인스턴스 로그에 액세스할 수 있습니다 AWS Management Console. 인스턴스 및 AWS 서비스에서 생성된 로그는 AMS Accelerate에서 관리하는 각 계정에서 사용할 수 있는 CloudWatch Logs에서 사용할 수 있습니다. 로그 액세스에 대한 자세한 내용은 CloudWatch Logs 설명서를 참조하세요.

Amazon EC2 로그 유지

Amazon EC2 인스턴스 로그는 기본적으로 무기한 보관됩니다. 보존 기간을 변경하려면 AWS Support 센터를 통해 서비스 요청을 제출하여 다른 보존 정책을 설정할 수 있습니다.

로그 관리 - Amazon EC2

AMS Accelerate는 AMS Accelerate 관리형으로 식별한 모든 Amazon EC2 인스턴스에 CloudWatch 에이전트를 설치합니다. 이 에이전트는 시스템 수준 로그를 Amazon CloudWatch Logs로 전송합니다. 자세한 내용은 Amazon CloudWatch Logs란 무엇입니까?를 참조하세요.

다음 로그 파일은 CloudWatch Logs에 로그와 동일한 이름의 로그 그룹으로 전송됩니다. 각 로그 그룹 내에는 Amazon EC2 인스턴스 ID에 따라 이름이 지정된 각 Amazon EC2 인스턴스에 대한 로그 스트림이 생성됩니다.

Linux

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

  • /var/log/audit/audit.log

  • /var/log/auth.log

  • /var/log/cloud-init-output.log

  • /var/log/cron

  • /var/log/dnf.log

  • /var/log/dpkg.log

  • /var/log/maillog

  • /var/log/messages

  • /var/log/secure

  • /var/log/spooler

  • /var/log/syslog

  • /var/log/yum.log

  • /var/log/zypper.log

자세한 내용은 CloudWatch 에이전트 구성 파일 수동 생성 또는 편집을 참조하세요.

Windows

  • AmazonSSMAgentLog

  • AmazonCloudWatchAgentLog

  • AmazonSSMErrorLog

  • AmazonCloudFormationLog

  • ApplicationEventLog

  • EC2ConfigServiceEventLog

  • MicrosoftWindowsAppLockerEXEAndDLLEventLog

  • MicrosoftWindowsAppLockerMSIAndScriptEventLog

  • MicrosoftWindowsGroupPolicyOperationalEventLog

  • SecurityEventLog

  • SystemEventLog

자세한 내용은 빠른 시작: CloudWatch Logs 에이전트를 사용하여 CloudWatch Logs로 로그를 전송하도록 Windows Server 2016을 실행하는 Amazon EC2 인스턴스 활성화를 참조 CloudWatch 하세요.

로그 관리 - Amazon VPC 흐름 로그

VPC 흐름 로그는 VPC의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처하는 기능입니다. 흐름 로그 데이터는 Amazon CloudWatch logs 또는 Amazon S3에 게시할 수 있습니다. 흐름 로그 데이터 수집은 네트워크 처리량 또는 지연 시간에 영향을 주지 않습니다. 네트워크 성능에 영향을 주지 않고 흐름 로그를 생성하거나 삭제할 수 있습니다.

흐름 로그는 다음과 같은 여러 작업에 도움이 될 수 있습니다.

  • 지나치게 제한적인 보안 그룹 규칙 진단

  • 인스턴스에 도달하는 트래픽 모니터링

  • 네트워크 인터페이스를 오가는 트래픽 방향 결정

Accelerate 계정에서 새로 생성된 각 VPC에 대해 VPC 흐름 로그를 활성화할 필요는 없습니다. AMS는 ams-nist-cis-vpc-flow-logs-enabled Config 규칙을 사용하여 VPC에 흐름 로그가 있는지 자동으로 감지합니다. VPC 흐름 로그가 활성화되지 않은 경우 AMS는 사용자 지정 필드가 있는 VPC 흐름 로그를 생성하여 자동으로 문제를 해결합니다. 이러한 추가 필드를 사용하면 AMS와 고객이 VPC 트래픽을 더 잘 모니터링하고, 네트워크 종속성을 이해하고, 네트워크 연결 문제를 해결하고, 네트워크 위협을 식별할 수 있습니다.

흐름 로그 보기 및 검색에 대한 자세한 내용은 흐름 로그 작업을 참조하세요.