AWS CloudTrail 모니터링 통합

New Relic 통합 에는 AWS CloudTrail 이벤트를 New Relic에 보고하기 위한 통합이 포함됩니다. 이 문서에서는 이 통합을 활성화하는 방법과 보고할 수 있는 데이터에 대해 설명합니다.

특징

이 통합은 주로 감사 및 거버넌스 목적으로 AWS 계정 활동을 캡처하고 기록하는 AWS CloudTrail 에서 정보를 수집합니다.

New Relic의 AWS CloudTrail 통합은 오류 및 AWS 콘솔 로그인을 나타내는 이벤트를 수집합니다. 오류는 실패한 API 호출 및 서비스에 대한 인식을 제공하고 콘솔 로그인은 콘솔 활동 및 잠재적인 침입 시도를 모니터링하는 데 도움이 됩니다.

이 두 가지 유형의 데이터 외에 New Relic은 다른 데이터를 수집하지 않습니다.

AWS CloudTrail 통합은 기본적으로 us-east-1 region only 에서 데이터를 수집합니다. 모든 AWS 리전을 활성화하려면 support.newrelic.com 으로 문의하세요.

이 통합을 활성화하려면 AWS 서비스를 New Relic에 연결 하기 위한 표준 절차를 따르십시오.

구성 옵션 을 사용하여 폴링 빈도를 변경하고 데이터를 필터링할 수 있습니다.

AWS CloudTrail 통합에 대한 기본 폴링 정보:

인프라에서 통합 데이터를 찾으려면 one.newrelic.com > All capabilities > Infrastructure > AWS 으로 이동하여 AWS CloudTrail 통합 링크 중 하나를 선택하세요.

이번 통합은 지표를 제공하지 않고 이벤트 데이터 만 제공합니다. 인프라 UI에서는 Events 페이지를 사용하여 이러한 이벤트의 타임라인을 볼 수 있습니다.

provider 값이 CloudTrail 인 InfrastructureEvent 이벤트 유형 을 사용 하여 데이터를 쿼리하고 탐색할 수 있습니다.

통합 데이터를 찾고 사용하는 방법에 대한 일반적인 정보는 통합 데이터 이해 를 참조하십시오.

다음은 CloudTrail 이벤트로 보고할 수 있는 속성입니다.

메타데이터	설명
`awsRegion`	요청이 이루어진 AWS 리전입니다.
`cloudTrailEventType`	이벤트 레코드를 생성한 이벤트 유형을 식별합니다. `AwsApiCall` , `AwsServiceEvent` , `ConsoleSignin` 값 중 하나일 수 있습니다.
`errorCode`	AWS 서비스 오류(요청이 오류를 반환하는 경우). 가장 일반적인 오류 목록은 AWS CloudTrail 설명서 를 참조하십시오.
`errorMessage`	요청이 오류를 반환하면 오류에 대한 설명입니다.
`eventId`	이벤트의 고유 식별자입니다.
`eventName`	요청한 작업입니다.
`eventSource`	요청이 이루어진 AWS 서비스입니다.
`sourceIpAddress`	요청이 이루어진 IP 주소입니다.
`userAgent`	AWS Management 콘솔, AWS 서비스, AWS SDK 또는 AWS CLI와 같이 요청이 이루어진 에이전트입니다.
`userName`	반환된 이벤트에서 API를 호출한 요청자의 사용자 이름 또는 역할 이름입니다.

뉴렐릭을 사용하여 AWS CloudTrail 데이터의 쿼리를 실행할 수 있고 선택적으로 뉴렐릭 을 사용하여 해당 데이터에 대한 알림을 설정할 수 있습니다.

요청이 이루어진 AWS 서비스에서 집계한 실패한 API 호출 수를 쿼리합니다.

SELECT count(*) from InfrastructureEvent WHERE provider = 'CloudTrail' 
    AND cloudTrailEventType = 'AwsApiCall' 
    FACET eventSource

모든 콘솔 로그인 오류를 찾기 위한 쿼리:

SELECT * from InfrastructureEvent WHERE provider = 'CloudTrail' 
    AND cloudTrailEventType = 'AwsConsoleSignIn' 
    AND errorMessage IS NOT NULL