API/콘솔/IaC를 통한 생성·수정·삭제·조회 이벤트를 통합 수집합니다.
감사로그 (Audit Logs)
플랫폼 전반의 행위와 변경을 투명하게 기록합니다. 불변(append-only) 저장, 강력한 검색/필터, 외부 SIEM/오브젝트 스토리지 연동을 지원합니다. 요금은 별도문의로 안내합니다.
Append-only 방식과 무결성 서명(옵션)으로 조작 가능성을 낮춥니다.
사용자/역할/정책 변경을 세부 필드 단위로 기록하고 상관분석합니다.
고위험 이벤트(예: 루트키 발급, 방화벽 전체허용) 시 즉시 알림을 보냅니다.
수집 항목 (요약)
| 범주 | 이벤트 | 설명 |
|---|---|---|
| 인증/IAM | 로그인/로그아웃, 토큰·API키 발급/폐기, 사용자·역할·정책 변경 | 주체/출처(IP·ASN)/MFA 여부/정책 Diff 저장 |
| 컴퓨트 | 인스턴스 생성/삭제/시작/중지, 이미지·스냅샷 작업 | 리소스ID/태그/영역/요청ID/상태 코드 |
| 네트워크 | VPC/서브넷/라우팅/보안그룹 변경, 로드밸런서 정책 | ACL Diff, 포트/프로토콜, 대상 CIDR, 변경자 |
| 스토리지 | 오브젝트 put/get/delete, 버킷 정책/수명주기 변경, NFS/SMB 공유 | 버킷/키/버전ID, 접근 주체, 소스IP |
| 보안/키 | 인증서 발급/갱신, 시크릿 읽기/회전, 감사 구성 변경 | 키 식별자, 만료/회전 주기, 접근 결과 |
| 운영/결제 | 플랜 변경, 과금 영향 설정, 한도 조정 | 변경 전/후 값, 승인흐름 |
검색/필터
기간 — 빠른 선택(최근 1h/24h/7d) + 커스텀 범위
주체/출처 — 사용자/역할/클라이언트, IP·ASN, 위치
리소스 — 유형/ID/태그(프로젝트·환경)
행위/결과 — action, status(성공/거부), 오류코드
쿼리 예시
# 최근 24시간, 방화벽 전체 허용 설정 탐지 @time:now-24h..now action:"security_group.update" AND diff~"0.0.0.0/0" AND port:* AND effect:ALLOW # root/API 키 발급 이벤트 actor.type:USER AND (action:"iam.api_key.create" OR action:"iam.rootkey.create") # 오브젝트 대량 삭제 (임계치 초과) resource.type:object AND action:delete | stats count() by actor.id | where count > 100
샘플 로그
| 시간 | actor | action | resource | status |
|---|---|---|---|---|
| 2025-08-31T12:00:01Z | user:admin@corp | iam.policy.update | policy/sg-web | SUCCESS |
| 2025-08-31T12:03:10Z | ci:deploy-bot | compute.instance.create | vm/vm-42 | SUCCESS |
| 2025-08-31T12:05:22Z | user:ops@corp | storage.object.delete | bucket/logs/2025/08/31/*.gz | SUCCESS |
| 2025-08-31T12:08:54Z | user:guest | auth.login | console | DENY |
보관 정책 / 데이터 보안
| 티어 | 보관기간 | 스토리지 | 무결성 | 암호화 | 비고 |
|---|---|---|---|---|---|
| Standard | 90~180일 | 핫/웜 (오브젝트) | Append-only | At-Rest/In-Transit | 일반 감사/운영 |
| Compliance | 1~3년 | 웜/콜드 | WORM(옵션) | KMS 통합 | ISMS-P/ISO 대응 |
| Archive | 3년+ | 아카이브 | 청구·법적 분쟁 대비 | 장기 보관 최적화 | 저비용 대량 |
오브젝트 스토리지 내보내기
버킷/프리픽스 기준으로 롤링 파일(JSON/CSV) 저장. 수명주기 정책 연계.
{
"export": {
"type": "object",
"bucket": "audit-logs",
"prefix": "y=%Y/m=%m/d=%d/",
"format": "jsonl",
"rotate": "15m"
}
}
SIEM/Webhook 연동
Elastic/Graylog/Splunk로 스트리밍, 또는 조건부(Webhook) 전송.
POST /hooks/audit HTTP/1.1
Content-Type: application/json
{
"ts": "2025-08-31T12:00:01Z",
"actor": {"type":"USER","id":"admin@corp"},
"action": "iam.policy.update",
"resource": {"type":"security_group","id":"sg-web"},
"status": "SUCCESS",
"request_id": "7f1f-..."
}
이벤트 예시(JSON 스키마)
{
"ts": "2025-08-31T12:00:01Z",
"actor": {
"type": "USER", // USER | ROLE | SERVICE | CI
"id": "admin@corp",
"ip": "198.51.100.23",
"asn": 64500,
"mfa": true
},
"action": "security_group.update",
"resource": {
"type": "security_group",
"id": "sg-web",
"region": "kr-seocho"
},
"status": "SUCCESS", // SUCCESS | DENY | ERROR
"request_id": "c0ffee-7f1f",
"diff": { // 변경점(있을 때)
"before": {"rules": ["tcp/22 203.0.113.0/24"]},
"after": {"rules": ["tcp/22 203.0.113.0/24", "tcp/443 0.0.0.0/0"]}
},
"tags": {"project":"web","env":"prod"},
"sig": "HMAC-SHA256:..." // 무결성 서명(옵션)
}
요금 안내
요금: 별도문의
수집 범위(서비스/영역), 보관기간, 검색량/스트리밍량, 외부 연동(SIEM/오브젝트 저장) 옵션에 따라 산정됩니다.
감사 추적, 규정 준수, 보안 사건 대응을 한 곳에서
도입 범위와 보관정책만 알려주시면 즉시 설계를 제안드립니다.
감사로그 도입 상담
ℹ️
개인정보 처리 안내
문의 응대를 위해서만 사용되며 일정 기간 후 파기됩니다.