AWS CloudTrail 로그 파일 검증

소개

CloudTrail을 사용하면 AWS 클라우드에서 모든 API 호출을 기록할 수 있습니다. 이 게시물에서는 CloudTrail 생성 방법, 로그가 S3에 저장되는 위치 확인, 로그 삭제, 파일 다이제스트 및 로그 파일 유효성 검사를 수행하는 방법을 살펴보겠습니다.

CloudTrail 생성

AWS 콘솔에서 CloudTrail을 검색하고 추적을 생성합니다.

S3 버킷

버킷이 자동으로 생성되고 CloudTrail과 연결되어야 합니다. 이름이 CloudTrail인 폴더가 모든 클라우드 추적 로그를 저장해야 하는 버킷에 표시되어야 합니다.

로그 생성

이제 활동을 수행하고 기록되는지 확인하겠습니다. 이름이 helloWorld이고 다른 모든 설정이 기본값인 람다 함수를 만듭니다. 함수를 생성하는 대신 AWS 클라우드에서 다른 활동도 할 수 있습니다.


이 활동을 위해 S3에 일부 파일이 있어야 합니다.

로그 파일 삭제

로그 파일 중 하나를 삭제하고 있습니다.


로그 파일은 중요한 감사 정보를 보유할 수 있으므로 수정/삭제될 수 없으므로 이제 로그 파일이 수정 또는 삭제되었는지(이 경우와 같이) 찾아야 합니다.

지금 AWS CLI 에서 유효성 검사를 시도하면 다이제스트 파일이 종료되지 않는다고 표시되어야 합니다.

$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-south-1:<accoount-id>:trail/management-events --start-time 2022-08-29
Validating log files for trail arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events between 2022-08-29T00:00:00Z and 2022-08-29T06:26:38Z

Results requested for 2022-08-29T00:00:00Z to 2022-08-29T06:26:38Z
No digests found  

이는 클라우드 추적에 대한 로그 파일 유효성 검사를 활성화하지 않았기 때문입니다.

로그 파일 검증 활성화

클라우드 추적을 편집하여 로그 파일 유효성 검사를 활성화할 수 있습니다.

요람

로그 파일 유효성 검사가 활성화되면 S3에 CloudTrail-Digest라는 새 폴더가 표시됩니다.


다이제스트 파일은 매시간 추가되어야 합니다.

확인

로그 파일 유효성 검사를 활성화했으므로 이제 로그의 무결성을 확인할 수 있습니다.

$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events --start-time 2022-08-29
Validating log files for trail arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events between 2022-08-29T00:00:00Z and 2022-08-29T07:00:20Z

Results requested for 2022-08-29T00:00:00Z to 2022-08-29T07:00:20Z
Results found for 2022-08-29T05:55:08Z to 2022-08-29T06:55:08Z:

1/1 digest files valid

이전에 로그 파일을 삭제했지만 로그 파일 유효성 검사를 활성화하지 않았기 때문에 다이제스트가 유효한 것으로 표시됩니다.

한 시간 후에 두 개의 다이제스트 파일이 표시됩니다.


현재로서는 로그 파일 유효성 검사가 좋은 것 같습니다.

$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events --start-time 2022-08-29
Validating log files for trail arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events between 2022-08-29T00:00:00Z and 2022-08-29T08:17:57Z

Results requested for 2022-08-29T00:00:00Z to 2022-08-29T08:17:57Z
Results found for 2022-08-29T05:55:08Z to 2022-08-29T07:55:08Z:

2/2 digest files valid
10/10 log files valid

유효성 검사로 로그 파일 삭제

로그 파일 유효성 검사를 활성화한 후 생성된 로그 파일을 삭제할 수 있습니다.


예상대로 한 파일에 대한 로그 파일 유효성 검사가 실패합니다. 그러나 다이제스트는 여전히 유효합니다.

$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events --start-time 2022-08-29
Validating log files for trail arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events between 2022-08-29T00:00:00Z and 2022-08-29T08:22:42Z

Log file        s3://aws-cloudtrail-logs-<account-id>-4a8dcb98/AWSLogs/<account-id>/CloudTrail/ap-south-1/2022/08/29/<account-id>_CloudTrail_ap-south-1_20220829T0755Z_7rDSVFC6Icgi9Z8V.json.gz     INVALID: not found

Results requested for 2022-08-29T00:00:00Z to 2022-08-29T08:22:42Z
Results found for 2022-08-29T05:55:08Z to 2022-08-29T07:55:08Z:

2/2 digest files valid
9/10 log files valid, 1/10 log files INVALID

또한 삭제한 파일을 찾을 수 없기 때문에 유효성 검사에 실패했다고 명확하게 표시됩니다.

다이제스트 삭제

이번에는 다이제스트 파일 삭제를 시도할 수 있습니다.


따라서 다이제스트 유효성 검사도 실패해야 합니다.

$ aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events --start-time 2022-08-29
Validating log files for trail arn:aws:cloudtrail:ap-south-1:<account-id>:trail/management-events between 2022-08-29T00:00:00Z and 2022-08-29T10:09:35Z

Digest file     s3://aws-cloudtrail-logs-<account-id>-4a8dcb98/AWSLogs/<account-id>/CloudTrail-Digest/ap-south-1/2022/08/29/<account-id>_CloudTrail-Digest_ap-south-1_management-events_ap-south-1_20220829T085508Z.json.gz INVALID: not found

Log file        s3://aws-cloudtrail-logs-<account-id>-4a8dcb98/AWSLogs/<account-id>/CloudTrail/ap-south-1/2022/08/29/<account-id>_CloudTrail_ap-south-1_20220829T0755Z_7rDSVFC6Icgi9Z8V.json.gz     INVALID: not found

Results requested for 2022-08-29T00:00:00Z to 2022-08-29T10:09:35Z
Results found for 2022-08-29T05:55:08Z to 2022-08-29T09:55:08Z:

3/4 digest files valid, 1/4 digest files INVALID
20/21 log files valid, 1/21 log files INVALID

S3 버킷에서 버전 관리를 활성화하여 파일을 복원할 수 있습니다.

요약

그래서 우리는 CloudTrail의 로그 파일 유효성 검사 기능이 로그 파일이나 다이제스트 파일에 대한 수동 수정 사항이 있는지 찾는 데 어떻게 도움이 되는지 살펴보았습니다. 읽어 주셔서 감사합니다 !!!