요약

S3 버킷에 대한 작업 로그를 저장하는 방법에는 S3 서버 액세스 로그와 CloudTrail 로그의 두 가지 유형이 있습니다.
기본적으로 CloudTrail은 다기능이지만 일부 사용 사례에서는 S3 서버 액세스 로그를 사용합니다.
각각의 특징을 대략적으로 정리합니다.

「S3 버킷에 대한 액션」이란?

사용자, 역할 또는 기타 AWS 서비스에서 실행한 API 호출입니다.
어느 수단으로 기록 가능.

앞에 두는 포인트

・「CloudTrail 로그」의 수단은 단순히 CloudTrail의 로그를 S3에 전달한다고 하는 이미지이므로 「S3 버킷의 기본 기능」을 사용할 수 있다. 그래서 다기능으로 보인다.
・「S3 서버 액세스 로그」는 S3가 가지는 1기능에 지나지 않기 때문에, 할 수 있는 것은 한정되어 있다.
・실제로 콘솔에서 확인해 보면 알기 쉽다.

두 가지 로깅 수단

각 수단의 주요 특징을 기록해 둡니다.
「→」로 필자 코멘트 넣었습니다.
전체 정보는 매뉴얼을 참조하십시오.

CloudTrail 로그

· CloudWatch Logs 및 CloudWatch Events로 전송 가능
· 로그를 다른 여러 대상에 전달
· 다른 AWS 계정이 소유한 버킷에 배포 가능
　→이것은 편리할까. 로그 집계용 계정에 배달하거나.
· 로그 파일 암호화
· 로그를 검색할 수 있는 UI
　 → 이것은 CloudTrail 대시 보드입니다.
・배송은 데이터 이벤트는 5분마다, 관리 이벤트는 15분마다
· 로그 형식은 JSON
　→JSON 쪽이 여러가지 핸들링은 하기 쉬운?

S3 서버 액세스 로그

· 로그 레코드 필드 (Object Size, Total Time, Turn-Around Time, HTTP Referer)
　→「Object Size」라든지 볼 수 있는 것은 편리할까?
· 인증 실패 로깅
· 라이프사이클 설정(이동, 해지, 복원)
　→
・로그는 몇 시간 이내의 전달
· 공백으로 구분되고 개행으로 분할 된 레코드가있는 로그 파일

공통 사항

・S3 API 사용 가능(객체 조작, 버킷 조작)

콘솔에서 확인해보기

S3 서버 액세스 로그

설정할 수 있는 것은 유효·무효만.

CloudTrail 로그

다음은 CloudTrail 설정 화면.
KMS에 의한 암호화나 로그 파일의 검증 설정을 실시할 수 있는 것을 알 수 있다.
이들 이외에, 전달처의 S3 버킷으로 라이프 사이클 룰 등을 설정하는 것도 물론 가능.

참고

Amazon S3에서 로깅
htps : // / cs. 아 ws. 아마존. 이 m / 그럼 _ jp / 아마 존 S3 / ㅁ st /에서 v / ㎉ 진 g ぃ th - S3. HTML

AWS CloudTrail을 사용하여 Amazon S3 API 호출 로깅
htps : // / cs. 아 ws. 아마존. 이 m / 그럼 _ jp / 아마 존 S3 / ㅁ st /에서 v / c ぉ dt 같다 l- ぉ 긴 g. HTML