[SAA] 모니터링, Audit

Amazon CloudWatch Metrics

• AWS의 모든 서비스 메트릭 제공
• 모니터링 제공
• 네임스페이스 하위에 속함 (EC2, RDS 등 서비스 단위로 나뉨)
• 각 메트릭은 최대 30개의 디멘션(속성)을 가질 수 있음
• 모든 메트릭은 타임스탬프 값을 가짐
• 메트릭에 대한 대시보드 생성 가능

Amazon CloudWatch Streams

• 메트릭을 준 실시간으로 전송 가능
• Firehose를 사용해서 전달 가능
• 3rd party 서비스로 전달 가능
• 스트림에 필터 적용 가능

CloudWatch logs

• 로그 그룹: 임의로 지정하는 이름, 주로 서비스 이름 기재 (폴더라고 생각하면 됨)
• 로그스트림: 앱, 로그파일, 컨테이너의 인스턴스 (파일이라고 생각하면 됨)
• 로그 만료 정책 설정 가능
• 로그 암호화 가능 (KMS, 사용자 정의 암호화)
• S3, Kinesis, Lambda, OpenSearch 등으로 전송 가능

로그 수집처

• SDK, CloudWatch Logs Agent, CloudWatch Unified agent
• ECS 컨테이너
• 람다 함수 로그
• VPC Flow logs
• API Gateway
• 필터 기반 CloudTrail
• Route53
• Elastic Beanstalk

S3로 내보내기

• 로그가 최대 12시간 이내에 내보내기 가능한 상태가 됨
• createExportTask API로 가능
• Log Subscription 사용.
• 아카이빙을 위한 용도이므로 실시간 서비스가 아님

CloudWatch Logs Insights

• 로그에 저장된 로그 데이터를 검색하고 분석
• 목적에 맞춘 사전 정의 쿼리 언어 지원 (대시보드에서 쿼리 추가)
• 여러 계정의 여러 로그 그룹 쿼리 가능
• 실시간 서비스가 아닌 그냥 쿼리 엔진

Logs Subscription

• 로그 이벤트를 실시간으로 수집
• 로그의 처리, 분석을 위해 사용
• Kinesis Data Streams, Data Firehose, Lambda에 데이터 전달
• 로그 목적지에 대한 필터링 가능

Agent

• 가상 서버를 위해 사용 (EC2, 온프레미스 Linux 등)
• 오래된 버전
• CloudWatch Logs에만 전송 가능 (로그만 수집 가능)

Unified Agent

• 추가적인 시스템 레벨 메트릭 수집
  • CPU (기본으로 사용 가능)
  • Disk (기본으로 사용 가능)
  • Network (기본으로 사용 가능)
  • RAM
  • Netstat
  • Process
  • Swap space 등
• 로그를 CloudWatch logs에 전송
• SSM parameter store를 기반으로 중앙화된 관리 가능

CloudWatch Alarms

• 메트릭에 대한 알림 전송을 위해 사용
• OK(평상시), INSUFFICIENT_DATA(데이터 불충분), ALARM(임계를 넘어서 알림 보냄) 상태가 있다.
• 초단위 이상의 데이터에 대해 평가 가능
• [10, 60]초에 대해 알람 해소 메트릭 설정 가능
• 알람을 Amazon SNS로 전달 가능
• Auto Scaling 트리거 가능
• EC2 인스턴스의 상태에 따른 알람 발생 가능
• 여러 개 메트릭 알람을 묶어서 트리거링 가능

Container Insights

• container의 메트릭, 로그를 수집 및 통합
• EKS, Kubernetes에서는 CloudWatch Agent의 컨테이너 버전을 통해서 컨테이너를 탐색
• EKS, ECS, k8s가 운영되는 EC2, Fargate 등에서 사용 가능

Lambda Insights

• 시스템 레벨 메트릭을 수집, 통합하고 요약
• cold start, worker shutdown 같은 특이 이벤트를 수집, 통합, 요약
• 람다 단에서 동작

Contributer Insights

• 로그 데이터를 분석하고 기여도에 따른 시게열 데이터를 생성
• 최근 n개의 기여도에 따른 데이터를 보여줌
• 전체 수, 사용량을 같이 보여줌
• AWS 기반의 모든 로그와 같이 동작
• 직접 룰을 생성하고 새로 생성되는 서비스에도 동일하게 적용 가능
• 사전 제작된 룰도 제공

Application Insights

• 잠재적인 위험을 감지할 수 있도록 자동화된 대시보드 제공
• 미리 기술 설정 필요 (Java를 사용한다 등..)
• EC2 인스턴스에서만 사용 가능
• SageMaker 기반
• 앱 상태의 가용성을 올리고 트러블 슈팅에 도움이 됨
• 검색과 alert는 EventBridge와 SSM OpsCenter로 전송됨

---

AWS CloudTrail

• AWS 계정에 대한 거버넌스, 컴플라이언스, 감사 제공
• 기본으로 사용 설정됨
• AWS 계정이 생성한 이벤트와 API 호출 이력을 가져올 수 있음
• 이벤트는 Console에서 조작, SDK 호출, CLI 명령어, AWS에서 호출 등등 모두 기록
• CloudGrail 로그를 CloudWatch Logs, S3에 넣을 수 있다.
• 모든 리전에 적용 가능, 단일 리전도 가능

이벤트

• 관리 이벤트
  • AWS 계정이 실행한 모든 리소스에 대한 활동
  • 기본적으로 모든 관리 이벤트 기록
  • 읽기, 쓰기 구분 가능
• 데이터 이벤트
  • 별도 설정 필요
  • S3 오브젝트 수준의 활동 감시 가능
  • 람다 함수 실행 감시 가능

Insights

• 일반적이지 않은 액션의 발생 감지 (ex. 적절하지 않은 프로비저닝)
• 기본 관리 이벤트를 분석하고 기준 생성 (기준에서 벗어나면 일반적이지 않은 것)
• 지속적으로 쓰기 이벤트 분석

이벤트 보관

• 90일간 보존
• 90일 이상 보관하려면 S3에 저장 후 Athena로 분석하면 됨

---

AWS Config

• 리소스에 대한 컴플라이언스를 기록하거나 이력을 관리
• 설정을 저장하고 변경한 내용을 기록
• S3, SG의 특정 설정, ALB 설정 변화 등 셋팅이 바뀌는 것을 관측하여 쉽게 알려줌
• ex. S3를 감시하고 있다가 사용자가 S3 중 public으로 배포된 오브젝트가 있나? 라고 질문하면 대답해 줌
• 모든 변경에 대해 SNS를 통해 alert 받을 수 있음
• 리전 단위 서비스
• 리전간, 계정간 데이터 통합해서 사용은 가능
• S3에 백업 가능

Config Rules

• 75개 가량의 기본 룰 사용 가능
• 커스텀 룰도 만들 수 있음 (람다 정의로)
• 룰을 평가하여 부합하면 동작을 트리거 시킬 수 있다.
• 근데 액션을 막지는 않음
• No Free Tier