기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에 대한 추적 생성 AWS 계정
<a name="cloudtrail-create-and-update-a-trail"></a>

추적을 생성할 때 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 지속적으로 전달하도록 설정할 수 있습니다. 추적 생성에는 다음을 포함한 많은 이점이 있습니다.
+ 90일이 지난 이벤트 기록
+ Amazon CloudWatch Logs에 로그 이벤트를 전송함으로써 지정된 이벤트를 자동으로 모니터링하고 경보하는 옵션
+ Amazon Athena를 사용하여 로그를 쿼리하고 AWS 서비스 활동을 분석하는 옵션입니다.

2019년 4월 12일부터 이벤트를 로깅하는 AWS 리전에서만 추적을 볼 수 있습니다. [다중 리전](cloudtrail-multi-region-trails.md) 추적을 생성하면 계정에서 [활성화된](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) 모든의 콘솔에 추적 AWS 리전 이 표시됩니다. 단일 리전에서만 이벤트를 로그하는 추적을 생성할 경우 해당 리전에서만 추적을 보고 관리할 수 있습니다. 모범 사례로서 활성화된 모든 리전의 활동을 캡처하는 다중 리전 추적을 생성하는 것이 좋습니다. CloudTrail 콘솔을 사용하여 생성하는 모든 추적은 다중 리전 추적입니다. 단일 리전 추적을 생성하려면 AWS CLI를 사용해야 합니다.

를 사용하는 경우 조직의 모든 AWS 계정에 대한 이벤트를 로깅하는 추적을 생성할 AWS Organizations수 있습니다. 각 멤버 계정에 동일한 이름의 추적이 생성되고, 각 추적의 이벤트가 지정된 Amazon S3 버킷에 전달됩니다.

**참고**  
조직의 관리 계정이나 위임된 관리자 계정만 조직에 대한 추적을 생성할 수 있습니다. 조직에 대한 추적을 생성하면 CloudTrail과 Organizations 간의 통합이 자동으로 활성화됩니다. 자세한 내용은 [조직에 대한 추적 생성](creating-trail-organization.md) 단원을 참조하십시오.  
추적을 잘못 구성한 경우(예: S3 버킷에 연결할 수 없음) CloudTrail은 30일 동안 S3 버킷에 로그 파일을 다시 전송하려고 시도하며 이러한 전송 시도 이벤트에는 표준 CloudTrail 요금이 부과됩니다. 잘못 구성된 추적에 대한 요금이 부과되지 않도록 하려면 추적을 삭제해야 합니다.

**Topics**
+ [

# 콘솔을 사용하여 추적 생성 및 업데이트
](cloudtrail-create-and-update-a-trail-by-using-the-console.md)
+ [

# 를 사용하여 추적 생성, 업데이트 및 관리 AWS CLI
](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli.md)
+ [

# 여러 추적 생성
](create-multiple-trails.md)

# 콘솔을 사용하여 추적 생성 및 업데이트
<a name="cloudtrail-create-and-update-a-trail-by-using-the-console"></a>

CloudTrail 콘솔을 사용하여 추적을 생성, 업데이트 또는 삭제할 수 있습니다. 콘솔을 사용하여 만든 추적은 다중 지역입니다. 이벤트를 하나만 로깅하는 추적을 생성하려면를 AWS 리전사용합니다. [AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single) 

각 리전에 대해 최대 5개의 추적을 생성할 수 있습니다. 추적을 생성하면 CloudTrail은 지정된 Amazon S3 버킷에 사용자 계정의 API 호출 및 관련 이벤트를 자동으로 로그하기 시작합니다.

CloudTrail 콘솔을 사용하여 추적에 대해 다음 설정을 변경할 수 있습니다.
+ S3 버킷 위치를 변경하고 접두사를 지정할 수 있습니다.
+  AWS Organizations 조직의 관리 계정은 계정 수준 추적을 조직 추적으로 변환하거나 조직 추적을 계정 수준 추적으로 변환할 수 있습니다.
+ KMS 키 암호화를 활성화하거나 비활성화할 수 있습니다.
+ [로그 파일 검증](cloudtrail-log-file-validation-intro.md)을 활성화할 수 있습니다. 로그 파일 검증을 통해 CloudTrail이 로그 파일을 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 기본적으로 로그 파일 검증이 활성화됩니다.
+ Amazon SNS 주제에 알림을 보내도록 추적을 구성할 수 있습니다.
+ CloudWatch Logs 로그 그룹으로 이벤트를 전송하도록 추적을 구성할 수 있습니다. 로그 그룹과 IAM 역할이 모두 사용자 계정에 있어야 합니다.
+ 관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트 및 Insights 이벤트에 대한 설정을 업데이트할 수 있습니다.
+ 태그를 추가하거나 제거할 수 있습니다. 최대 50개의 태그 키 페어를 추가하여 추적을 식별할 수 있습니다.

CloudTrail 콘솔을 사용하여 추적을 생성하거나 업데이트하면, 다음과 같은 이점이 있습니다.
+ 추적을 처음 생성한다면, CloudTrail 콘솔을 사용하여 사용 가능한 기능 및 옵션을 확인할 수 있습니다.
+ 데이터 이벤트를 로깅하도록 추적을 구성하는 경우, CloudTrail 콘솔을 사용하여 사용 가능한 데이터 유형을 확인할 수 있습니다. 자세한 내용은 [데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md) 단원을 참조하십시오.
+ 네트워크 활동에 대한 추적을 구성하는 경우 CloudTrail 콘솔에서 사용 가능한 이벤트 소스를 볼 수 있습니다. 자세한 내용은 [네트워크 활동 이벤트 로깅](logging-network-events-with-cloudtrail.md) 단원을 참조하십시오.

에서 조직에 대한 추적을 생성하는 방법에 대한 자세한 내용은 섹션을 AWS Organizations참조하세요[조직에 대한 추적 생성](creating-trail-organization.md).

**Topics**
+ [

# CloudTrail 콘솔을 사용하여 추적 생성
](cloudtrail-create-a-trail-using-the-console-first-time.md)
+ [

# CloudTrail 콘솔을 사용하여 추적 업데이트
](cloudtrail-update-a-trail-console.md)
+ [

# CloudTrail 콘솔을 사용하여 추적 삭제
](cloudtrail-delete-trails-console.md)
+ [

# 추적에 대해 로깅 비활성화
](cloudtrail-turning-off-logging.md)

# CloudTrail 콘솔을 사용하여 추적 생성
<a name="cloudtrail-create-a-trail-using-the-console-first-time"></a>

추적은에서 AWS 리전 [활성화된](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) 모든에 적용 AWS 계정하거나 단일 리전에 적용할 수 있습니다. 에서 활성화된 모든에 적용되는 추적 AWS 리전 을 *다중 리전 추적* AWS 계정 이라고 합니다. 모범 사례로서 활성화된 모든 리전의 활동을 캡처하는 다중 리전 추적을 생성하는 것이 좋습니다. CloudTrail 콘솔을 사용하여 생성하는 모든 추적은 다중 리전 추적입니다. AWS CLI 또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html) API 작업만 사용하여 단일 리전 추적을 생성할 수 있습니다.

**참고**  
추적을 생성한 후 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취 AWS 서비스 하도록 다른를 구성할 수 있습니다. 자세한 내용은 [AWS CloudTrail 로그와의 서비스 통합](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations) 단원을 참조하십시오.

**Topics**
+ [

## 콘솔로 추적 생성
](#creating-a-trail-in-the-console)
+ [

## 다음 단계
](#cloudtrail-create-a-trail-using-the-console-first-time-next-steps)

## 콘솔로 추적 생성
<a name="creating-a-trail-in-the-console"></a>

다음 절차를 사용하여 다중 리전 추적을 생성합니다. 단일 리전에 이벤트를 로깅하려면(권장하지 않음) [AWS CLI를 사용](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single)합니다.

**를 사용하여 CloudTrail 추적을 생성하려면 AWS Management Console**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. CloudTrail 서비스 홈 페이지의 [**추적(Trails)**] 페이지 또는 [**대시보드(Dashboard)**] 페이지의 [**추적(Trails)**] 단원에서 [**추적 생성(Create trail)**]을 선택합니다.

1. [**Create Trail**] 페이지에서 [**Trail name**]의 경우 추적 이름을 입력합니다. 자세한 내용은 [CloudTrail 리소스, S3 버킷 및 KMS 키에 대한 이름 지정 요구 사항](cloudtrail-trail-naming-requirements.md) 단원을 참조하십시오.

1.  AWS Organizations 조직 추적인 경우 조직의 모든 계정에 대해 추적을 활성화할 수 있습니다. 이 옵션을 보려면 관리 계정이나 위임된 관리자 계정의 사용자 또는 역할로 콘솔에 로그인해야 합니다. 조직 추적을 생성하려면 사용자 또는 역할에 [충분한 권한](creating-an-organizational-trail-prepare.md#org_trail_permissions)이 있는지 확인합니다. 자세한 내용은 [조직에 대한 추적 생성](creating-trail-organization.md) 단원을 참조하세요.

1. [**스토리지 위치(Storage location)**]에서 [**새 S3 버킷 생성(Create new S3 bucket)**]을 선택하여 버킷을 생성합니다. 버킷을 생성하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 새 S3 버킷을 생성하려는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 `s3:PutEncryptionConfiguration` 작업에 대한 권한을 포함해야 합니다.
**참고**  
[**기존 S3 버킷 사용(Use existing S3 bucket)**]을 선택한 경우 [**추적 로그 버킷 이름(Trail log bucket name)**]에 버킷을 지정하거나 [**찾아보기(Browse)**]를 선택하여 자체 계정의 버킷을 선택합니다. 다른 계정의 버킷을 사용하려면 해당 버킷의 이름을 지정해야 합니다. 버킷 정책은 쓰기 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md) 단원을 참조하세요.

   로그를 더 쉽게 찾을 수 있도록 기존 버킷에 새 폴더(또는 **‘접두사’)를 생성하여 CloudTrail 로그를 저장할 수 있습니다. [**접두사(Prefix)**]에 접두사를 입력합니다.

1. SSE-S3 암호화 대신 SSE-KMS 암호화를 사용하여 로그 파일 및 다이제스트 파일을 암호화하려면 **로그 파일 SSE-KMS 암호화**에서 **사용**을 선택합니다. 기본값은 [**사용(Enabled)**]입니다. SSE-KMS 암호화를 활성화하지 않으면 로그 파일 및 다이제스트 파일은 SSE-S3 암호화를 사용하여 암호화합니다. SSE-KMS 암호화에 대한 자세한 내용은 [AWS Key Management Service (SSE-KMS)를 사용한 서버 측 암호화 사용을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 참조하세요. SSE-S3 암호화에 대한 자세한 내용은 [Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)을 참조하세요.

   SSE-KMS 암호화를 활성화하는 경우 **신규** 또는 **기존** AWS KMS key을 선택합니다. **AWS KMS 별칭(KMS Alias)**에서 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](create-kms-key-policy-for-cloudtrail-update-trail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
**참고**  
다른 계정에 있는 키의 ARN을 입력할 수도 있습니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](create-kms-key-policy-for-cloudtrail-update-trail.md) 단원을 참조하십시오. 키 정책은 CloudTrail이 키를 사용하여 로그 파일 및 다이제스트 파일을 암호화하고 지정한 사용자가 암호화되지 않은 형태로 로그 파일 또는 다이제스트 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하세요.

1. [**추가 설정(Additional settings)**]에서 다음을 구성합니다.

   1. [**로그 파일 검증(Log file validation)**]에서 [**사용(Enabled)**]을 선택하여 로그 다이제스트를 S3 버킷에 전달합니다. 다이제스트 파일을 사용하면 CloudTrail이 로그 파일을 전달한 후 해당 파일이 변경되지 않았는지 확인할 수 있습니다. 자세한 내용은 [CloudTrail 로그 파일 무결성 검증](cloudtrail-log-file-validation-intro.md) 단원을 참조하세요.

   1. [**SNS 알림 전달(SNS notification delivery)**]에서 [**사용(Enabled)**]을 선택하여 로그가 버킷에 전달될 때마다 알림을 받습니다. CloudTrail은 여러 이벤트를 로그 파일에 저장합니다. 모든 이벤트가 아니라 모든 로그 파일에 대해 SNS 알림이 전송됩니다. 자세한 내용은 [CloudTrail에 대한 Amazon SNS 알림 구성](configure-sns-notifications-for-cloudtrail.md) 단원을 참조하세요.

      SNS 알림을 사용하도록 설정하는 경우 [**새 SNS 주제 생성(Create a new SNS topic)**]에서 [**신규(New)**]를 선택하여 주제를 생성하거나 [**기존(Existing)**]을 선택하여 기존 주제를 사용합니다. 다중 리전 추적을 생성하는 경우 활성화된 모든 리전에서 로그 파일 전송에 대한 SNS 알림이 사용자가 생성하는 단일 SNS 주제로 전송됩니다.

      [**신규(New)**]를 선택하는 경우 CloudTrail이 새 주제의 이름을 지정하거나 사용자가 이름을 입력할 수 있습니다. [**기존(Existing)**]을 선택하는 경우 드롭다운 목록에서 SNS 주제를 선택합니다. 다른 리전 또는 적절한 권한이 있는 계정에서 주제의 ARN을 입력할 수도 있습니다. 자세한 내용은 [CloudTrail에 대한 Amazon SNS 주제 정책](cloudtrail-permissions-for-sns-notifications.md) 단원을 참조하세요.

      주제를 생성한 경우 로그 파일 전송에 대한 알림을 받으려면 해당 주제를 구독해야 합니다. Amazon SNS 콘솔에서 구독할 수 있습니다. 알림의 빈도로 인해 Amazon SQS 대기열을 사용하여 알림을 프로그래밍 방식으로 처리하도록 구독을 구성하는 것이 좋습니다. 자세한 내용은 *Amazon Simple Notification Service 개발자 안내서*의 [Amazon SNS 시작하기](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)를 참조하세요.

1. 선택적으로 **CloudWatch Logs**에서 [**사용(Enabled)**]을 선택하여 로그 파일을 CloudWatch Logs에 전송하도록 CloudTrail을 구성합니다. 자세한 내용은 [CloudWatch Logs에 이벤트 전송](send-cloudtrail-events-to-cloudwatch-logs.md) 단원을 참조하세요.

   1. CloudWatch Logs와의 통합을 사용하도록 설정하는 경우 [**신규(New)**]를 선택하여 새 로그 그룹을 생성하거나 [**기존(Existing)**]을 선택하여 기존 로그 그룹을 사용합니다. [**신규(New)**]를 선택하는 경우 CloudTrail이 새 로그 그룹의 이름을 지정하거나 사용자가 이름을 입력할 수 있습니다.

   1. [**기존(Existing)**]을 선택하는 경우 드롭다운 목록에서 로그 그룹을 선택합니다.

   1. 로그를 CloudWatch Logs에 전송할 수 있는 권한에 대한 새 IAM 역할을 생성하려면 [**신규(New)**]를 선택합니다. 드롭다운 목록에서 기존 IAM 역할을 선택하려면 [**기존(Existing)**]을 선택합니다. [**정책 문서(Policy document)**]를 확장하면 새 역할 또는 기존 역할의 정책 문이 표시됩니다. 이에 대한 자세한 내용은 [모니터링을 위해 CloudWatch Logs를 사용하는 CloudTrail의 역할 정책 문서](cloudtrail-required-policy-for-cloudwatch-logs.md) 단원을 참조하세요.
**참고**  
추적을 구성할 때 다른 계정에 속한 S3 버킷 및 SNS 주제를 선택할 수 있습니다. 하지만 CloudTrail이 이벤트를 CloudWatch Logs 로그 그룹에 전달하도록 하려면 현재 계정에 있는 로그 그룹을 선택해야 합니다.
오직 관리 계정만이 콘솔을 사용하여 조직 추적에 대한 CloudWatch Logs 로그 그룹을 구성할 수 있습니다. 위임된 관리자는 AWS CLI 또는 CloudTrail 또는 API 작업을 사용하여 CloudWatch Logs 로그 그룹을 구성할 수 있습니다. CloudTrail `CreateTrail` `UpdateTrail` 

1. **태그**의 경우 추적에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다. 태그를 사용하면 CloudTrail 로그 파일이 포함된 Amazon S3 버킷과 CloudTrail 추적을 모두 식별할 수 있습니다. 그런 다음, CloudTrail 리소스의 리소스 그룹을 사용할 수 있습니다. 자세한 내용은 [AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) 및 [Tags](cloudtrail-concepts.md#cloudtrail-concepts-tags) 섹션을 참조하세요.

1. [**로그 이벤트 선택(Choose log events)**] 페이지에서 로그하려는 이벤트 유형을 선택합니다. **Management events(관리 이벤트)**에서 다음을 수행합니다.

   1. [**API 활동(API activity)**]에서 추적이 [**읽기(Read)**] 이벤트, [**쓰기(Write)**] 이벤트 또는 둘 다를 로그하도록 할지 선택합니다. 자세한 내용은 [관리 이벤트](logging-management-events-with-cloudtrail.md#logging-management-events) 단원을 참조하십시오.

   1. ** AWS KMS 이벤트 제외**를 선택하여 추적에서 AWS Key Management Service (AWS KMS) 이벤트를 필터링합니다. 기본 설정은 모든 AWS KMS 이벤트를 포함하는 것입니다.

       AWS KMS 이벤트를 로깅하거나 제외하는 옵션은 추적에 관리 이벤트를 로깅하는 경우에만 사용할 수 있습니다. 관리 이벤트를 로깅하지 않도록 선택하면 AWS KMS 이벤트가 로깅되지 않으며 AWS KMS 이벤트 로깅 설정을 변경할 수 없습니다.

      AWS KMS `Encrypt`, `Decrypt`및 같은 작업은 `GenerateDataKey` 일반적으로 대량(99% 이상)의 이벤트를 생성합니다. 이러한 작업은 이제 **읽기** 이벤트로 로그됩니다. `Disable`, `Delete`및 `ScheduleKey` (일반적으로 AWS KMS 이벤트 볼륨의 0.5% 미만을 차지함)와 같은 소량 관련 AWS KMS 작업은 **쓰기** 이벤트로 로깅됩니다.

      `Encrypt`, `Decrypt`및와 같은 대용량 이벤트를 제외`GenerateDataKey`하지만 `Disable`, `Delete` 및와 같은 관련 이벤트를 계속 로깅하려면 **쓰기** 관리 이벤트를 로깅하도록 `ScheduleKey`선택하고 ** AWS KMS 이벤트 제외** 확인란을 선택 취소합니다.

   1. [**Amazon RDS Data API 이벤트 제외(Exclude Amazon RDS Data API events)**]를 선택하여 추적에서 Amazon Relational Database Service Data API 이벤트를 필터링합니다. 기본 설정은 모든 Amazon RDS Data API 이벤트를 포함하는 것입니다. Amazon RDS Data API 이벤트에 대한 자세한 내용은 *Amazon RDS for Aurora 사용 설명서*에서 [AWS CloudTrail을 사용하여 데이터 API 호출 로깅](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) 단원을 참조하세요.

1. 데이터 이벤트를 로그하려면 [**데이터 이벤트(Data events)**]를 선택합니다. 데이터 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

1. 
**중요**  
12\$116단계는 기본값인 고급 이벤트 선택기를 사용하여 데이터 이벤트를 구성하는 단계입니다. 고급 이벤트 선택기를 사용하면 더 많은 [리소스 유형](logging-data-events-with-cloudtrail.md#logging-data-events)을 구성하고 추적에서 캡처하는 데이터 이벤트를 세밀하게 제어할 수 있습니다. 기본 이벤트 선택기를 사용하기로 선택했다면, [기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 구성](#trail-data-events-basic-selectors)의 단계를 완료한 다음 이 절차의 17단계로 돌아갑니다.

   **리소스 유형**에서 데이터 이벤트를 로깅할 리소스 유형을 선택합니다. 사용 가능한 리소스 유형에 대한 자세한 내용은 [데이터 이벤트](logging-data-events-with-cloudtrail.md#logging-data-events) 섹션을 참조하세요.

1. 로그 선택기 템플릿을 선택합니다. 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 자체 이벤트 수집 조건을 정의할 수 있습니다.

   다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
   + **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
   + **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
   + **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
   + **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
   + ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.
**참고**  
S3 버킷에 대해 사전 정의된 템플릿을 선택하면 현재 AWS 계정에 있는 모든 버킷과 추적 생성을 완료한 후 생성한 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. 또한 해당 활동이 다른 계정에 속한 버킷에서 수행되더라도 AWS 계정의 모든 IAM 자격 증명에서 수행한 데이터 이벤트 활동을 로깅할 수 있습니다 AWS .  
한 리전에만 추적을 적용하는 경우 모든 S3 버킷을 로그하는 사전 정의된 템플릿을 선택하면 추적과 동일한 리전의 모든 버킷과 해당 리전에서 나중에 생성하는 버킷에 대해 데이터 이벤트 로깅이 활성화됩니다. AWS 계정의 다른 리전에 있는 Amazon S3 버킷에 대한 데이터 이벤트는 로깅되지 않습니다.  
다중 리전 추적을 생성하는 경우 Lambda 함수에 대해 사전 정의된 템플릿을 선택하면 현재 AWS 계정에 있는 모든 함수와 추적 생성을 완료한 후 모든 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 단일 리전에 대한 추적을 생성하는 경우(를 사용하여 수행 AWS CLI),이 선택을 통해 AWS 현재 계정의 해당 리전에 있는 모든 함수와 추적 생성을 완료한 후 해당 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 다른 리전에서 생성되는 Lambda 함수에 대한 데이터 이벤트 로깅은 활성화되지 않습니다.  
또한 모든 함수에 대한 데이터 이벤트를 로깅하면 다른 AWS 계정에 속한 함수에 대해 해당 활동이 수행되더라도 계정의 모든 IAM 자격 증명에서 수행한 데이터 이벤트 활동을 로깅할 수 AWS 있습니다.

1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.

1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드의 값을 기반으로 표현식을 작성합니다.
**참고**  
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.

   1. 다음 필드 중에서 선택합니다.
      + **`readOnly`** - `readOnly`는 `true` 또는 `false` 값과 **같음**으로 설정할 수 있습니다. 읽기 전용 데이터 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. `read` 이벤트와 `write` 이벤트를 모두 로그하려면 `readOnly` 선택기를 추가하지 마세요.
      + **`eventName`** - `eventName`은 연산자를 사용할 수 있습니다. 연산자를 사용하여 `PutBucket`, `GetItem` 또는 `GetSnapshotBlock`과 같이 CloudTrail에 로그된 데이터 이벤트를 포함하거나 제외할 수 있습니다.
      + **`eventSource`** - 포함하거나 제외할 이벤트 소스입니다. 이 필드는 모든 연산자를 사용할 수 있습니다.
      + **eventType** – 포함하거나 제외할 이벤트 유형입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설정하면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다. 이벤트 유형 목록은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md)의 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type) 섹션을 참조하세요.
      + **sessionCredentialFromConsole** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
      + **userIdentity.arn** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
      + **`resources.ARN`** - `resources.ARN`과 함께 연산자를 사용할 수 있지만, **같음** 또는 **같지 않음**을 사용하는 경우 값은 템플릿에서 `resources.type` 값으로 지정한 유형의 유효한 리소스 ARN과 정확히 일치해야 합니다.
**참고**  
`resources.ARN` 필드를 사용하여 ARN이 없는 리소스 유형을 필터링할 수 없습니다.

        데이터 이벤트 리소스의 ARN 형식에 대한 자세한 내용은 *서비스 승인 참조*의 [Actions, resources, and condition keys for AWS 서비스](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)를 참조하세요.

   1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다. 예를 들어 이벤트 데이터 스토어에 로깅되는 데이터 이벤트에서 두 S3 버킷에 대한 데이터 이벤트를 제외하려면 필드를 **resources.ARN**으로 설정하고 **다음으로 시작하지 않음**에 대한 연산자를 설정한 다음에 이벤트를 로깅하지 않으려는 S3 버킷 ARN을 붙여넣을 수 있습니다.

      두 번째 S3 버킷을 추가하려면 [**\$1 조건(\$1 Condition)**]을 선택한 다음, 이전 지침을 반복하여 ARN을 붙여넣거나 다른 버킷을 찾습니다.

      CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**  
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

   1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요. 예를 들어 한 선택기의 ARN을 값과 같도록 지정하지 마세요. 그런 다음, ARN이 다른 선택기의 동일한 값과 같지 않도록 지정하세요.

1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다. 리소스 유형에 대한 고급 이벤트 선택기를 구성하려면 12단계부터 이 단계까지 반복합니다.

1. 데이터 이벤트에 대한 집계를 활성화하려면 하나 이상의 집계 템플릿을 선택합니다. 이러한 템플릿은 데이터 이벤트를 요약하는 방법을 정의합니다. 다음 템플릿 중에서 선택할 수 있습니다.

   1. **API 호출을 기반으로 데이터 이벤트에 대한 5분 요약을 가져오는 API 활동**입니다. 이를 사용하여 빈도, 호출자 및 소스를 포함한 API 사용 패턴을 이해할 수 있습니다.

   1. **리소스 리소스에 대한 활동 패턴을 가져올 수 있는 액세스 권한**입니다. AWS 이를 통해 AWS 리소스에 액세스하는 방법, 5분 동안 리소스에 액세스하는 횟수, 리소스에 액세스하는 사람, 수행 중인 작업을 이해할 수 있습니다.

   1. **사용자 계정에서 API**를 호출하는 IAM 보안 주체를 기반으로 활동 패턴을 가져오는 작업입니다.
**참고**  
집계는 추적에서 수집된 모든 데이터 이벤트에 적용됩니다.

1. 네트워크 활동 이벤트를 로깅하려면 **네트워크 활동 이벤트**를 선택합니다. 네트워크 활동 이벤트를 사용하면 VPC 엔드포인트 소유자가 프라이빗 VPC에서 로 VPC 엔드포인트를 사용하여 수행된 AWS API 호출을 기록할 수 있습니다 AWS 서비스. 네트워크 활동 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

   네트워크 활동 이벤트를 로깅하려면 다음을 수행합니다.

   1. **네트워크 활동 이벤트 소스**에서 네트워크 활동 이벤트의 소스를 선택합니다.

   1. **로그 선택기 템플릿(Log selector template)**에서 템플릿을 선택합니다. 모든 네트워크 활동 이벤트를 로깅하거나 모든 네트워크 활동 액세스 거부 이벤트를 로깅하거나 **사용자 지정**을 선택하여 `eventName` 및 `vpcEndpointId`와 같은 여러 필드를 기준으로 필터링할 사용자 지정 로그 선택기를 빌드할 수 있습니다.

   1. (선택 사항) 선택기를 식별할 이름을 입력합니다. 선택기 이름은 고급 이벤트 선택기에서의 **이름**으로 나열되며 **JSON 보기**를 확장하면 볼 수 있습니다.

   1. **고급 이벤트 선택기**에서 **필드**, **연산자** 및 **값**을 선택하여 표현식을 빌드합니다. 사전 정의된 로그 템플릿을 사용한다면 이 단계를 건너뛸 수 있습니다.

      1. 네트워크 활동 이벤트를 제외하거나 포함하는 경우 콘솔의 다음 필드 중에서 선택할 수 있습니다.
         + **`eventName`** – `eventName`에서 모든 연산자를 사용할 수 있습니다. 이를 사용하여 이벤트(예: `CreateKey`)를 포함하거나 제외할 수 있습니다.
         + **`errorCode`** - 이를 사용하여 오류 코드를 기준으로 필터링할 수 있습니다. 현재 지원되는 유일한 `errorCode`는 `VpceAccessDenied`입니다.
         +  **`vpcEndpointId`** - 작업이 통과한 VPC 엔드포인트를 식별합니다. `vpcEndpointId`에서 모든 연산자를 사용할 수 있습니다.

      1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

      1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

   1. 네트워크 활동 이벤트를 로깅할 다른 이벤트 소스를 추가하려면 **네트워크 활동 이벤트 선택기 추가**를 선택합니다.

   1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

1. 추적이 CloudTrail Insights 이벤트를 로그하도록 하려면 [**Insights 이벤트(Insights events)**]를 선택합니다.

   [**이벤트 유형(Event type)**]에서 [**Insights 이벤트(Insights events)**]를 선택합니다. **API 호출률**에 대한 Insights 이벤트를 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다. **API 오류율**에 대한 Insights 이벤트를 로그하려면 **읽기(Read)** 또는 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다.

   CloudTrail Insights는 비정상적인 활동에 대한 관리 이벤트를 분석하고 이상이 감지되면 이벤트를 로그합니다. 기본적으로 추적은 인사이트 이벤트를 로그하지 않습니다. 인사이트에 이벤트에 대한 자세한 내용은 [CloudTrail Insights를 사용한 작업](logging-insights-events-with-cloudtrail.md) 단원을 참조하세요. 인사이트 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

   Insights 이벤트는 추적 세부 정보 페이지의 [**스토리지 위치(Storage location)**] 영역에 지정된 동일한 S3 버킷의 `/CloudTrail-Insight`라는 다른 폴더에 전달됩니다. CloudTrail은 새 접두사를 생성합니다. 예를 들어, 현재 대상 S3 버킷의 이름이 `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`인 경우 새 접두사가 있는 S3 버킷 이름은 `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`이 됩니다.

1. 로그할 이벤트 유형의 선택을 마쳤으면 [**다음(Next)**]을 선택합니다.

1. [**검토 및 생성(Review and create)**] 페이지에서 선택 사항을 검토합니다. 단원에 표시된 추적 설정을 변경하려면 해당 단원에서 [**편집(Edit)**]을 선택합니다. 추적을 생성할 준비가 되었으면 [**추적 생성(Create trail)**]을 선택합니다.

1. [**Trails**] 페이지에 새 추적이 나타납니다. 약 5분 내에 CloudTrail은 계정에서 발생한 AWS API 호출을 보여 주는 로그 파일을 게시합니다. 지정한 S3 버킷에서 로그 파일을 볼 수 있습니다.

   추적에 대한 Insights 이벤트를 활성한다면 해당 기간 동안 비정상적인 활동이 감지되는 경우 CloudTrail에서 해당 이벤트를 전달하는 데 최대 36시간이 걸릴 수 있습니다.
**참고**  
CloudTrail은 일반적으로 API 호출 후 평균 5분 이내에 로그를 전달합니다. 이 시간은 보장되지 않습니다. 자세한 내용은 [AWS CloudTrail 서비스 수준 계약](https://aws.amazon.com/cloudtrail/sla)에서 검토하세요.  
추적을 잘못 구성한 경우(예: S3 버킷에 연결할 수 없음) CloudTrail은 30일 동안 S3 버킷에 로그 파일을 다시 전송하려고 시도하며 이러한 전송 시도 이벤트에는 표준 CloudTrail 요금이 부과됩니다. 잘못 구성된 추적에 대한 요금이 부과되지 않도록 하려면 추적을 삭제해야 합니다.

### 기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 구성
<a name="trail-data-events-basic-selectors"></a>

고급 이벤트 선택기를 사용하여 모든 데이터 이벤트 유형과 네트워크 활동 이벤트를 구성할 수 있습니다. 고급 이벤트 선택기를 사용하면 세분화된 선택기를 생성하여 관심 있는 이벤트만 로깅할 수 있습니다.

기본 이벤트 선택기를 사용하여 데이터 이벤트를 로깅하는 경우 Amazon S3 버킷, AWS Lambda 함수 및 Amazon DynamoDB 테이블에 대한 데이터 이벤트 로깅으로 제한됩니다. 기본 이벤트 선택기를 사용하여 `eventName` 필드를 기준으로 필터링할 수 없습니다. [네트워크 활동 이벤트](logging-network-events-with-cloudtrail.md)도 로깅할 수 없습니다.

![\[추적의 데이터 이벤트에 대한 기본 이벤트 선택기\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)


다음 절차에 따라 기본 이벤트 선택기를 사용하여 데이터 이벤트 설정을 구성합니다.

**기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 구성**

1. [**데이터(Events)**]에서 [**데이터 이벤트(Data events)**]를 선택하여 데이터 이벤트를 로깅합니다. 데이터 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

1. Amazon S3 버킷의 경우:

   1. [**데이터 이벤트 소스(Data event source)**]에서 **S3**를 선택합니다.

   1. [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]을 로그하도록 선택하거나 개별 버킷 또는 함수를 지정할 수 있습니다. 기본적으로 데이터 이벤트는 현재 및 미래의 모든 S3 버킷에 대해 로그됩니다.
**참고**  
기본 모든 **현재 및 미래 S3 버킷** 옵션을 유지하면 현재 AWS 계정에 있는 모든 버킷과 추적 생성을 완료한 후 생성한 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. 또한 해당 활동이 다른 AWS 계정에 속한 버킷에서 수행되더라도 AWS 계정의 모든 IAM 자격 증명에서 수행한 데이터 이벤트 활동을 로깅할 수 있습니다.  
단일 리전에 대한 추적을 생성하는 경우(를 사용하여 수행 AWS CLI) **현재 및 미래 S3 버킷을 모두** 선택하면 추적과 동일한 리전의 모든 버킷과 해당 리전에서 나중에 생성하는 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 계정의 다른 리전에 있는 Amazon S3 버킷에 대한 데이터 이벤트는 로깅되지 않습니다.

   1. 기본값인 [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]을 그대로 둘 경우 [**읽기(Read)**] 이벤트, [**쓰기(Write)**] 이벤트 또는 둘 다를 로그하도록 선택합니다.

   1. 개별 버킷을 선택하려면 [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]에서 [**읽기(Read)**] 및 [**쓰기(Write)**] 확인란의 선택을 해제합니다. [**개별 버킷 선택(Individual bucket selection)**]에서 데이터 이벤트를 로그할 버킷을 찾습니다. 원하는 버킷의 버킷 접두사를 입력하여 특정 버킷을 찾습니다. 이 창에서 여러 버킷을 선택할 수 있습니다. 더 많은 버킷의 데이터 이벤트를 로그하려면 [**버킷 추가(Add bucket)**]를 선택합니다. [**읽기(Read)**] 이벤트(예:`GetObject`), [**쓰기(Write)**] 이벤트(예:`PutObject`) 또는 둘 다를 로그하도록 선택합니다.

      이 설정은 개별 버킷에 대해 구성한 개별 설정보다 우선 적용됩니다. 예를 들어 모든 S3 버킷에 대해 [**읽기(Read)**] 이벤트 로깅을 지정한 다음, 데이터 이벤트 로깅 대상으로 특정 버킷을 추가하기로 선택하면 추가한 버킷에 대해 [**읽기(Read)**]가 사전 선택됩니다. 선택을 취소할 수 없습니다. [**Write**]에 대한 옵션만 구성할 수 있습니다.

      로깅에서 버킷을 제거하려면 **X**를 선택합니다.

1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다.

1. Lambda 함수의 경우:

   1. [**데이터 이벤트 소스(Data event source)**]에서 **Lambda**를 선택합니다.

   1. [**Lambda 함수(Lambda function)**]에서 [**모든 리전(All regions)**]을 선택하여 모든 Lambda 함수를 로그하거나 [**ARN으로 입력 함수(Input function as ARN)**]를 선택하여 특정 함수에 대한 데이터 이벤트를 로그합니다.

       AWS 계정의 모든 Lambda 함수에 대한 데이터 이벤트를 로깅하려면 **현재 및 미래 함수 모두 로깅**을 선택합니다. 이 설정은 개별 함수에 대해 구성한 개별 설정보다 우선합니다. 일부 함수가 표시되지 않더라도 모든 함수가 로그됩니다.
**참고**  
다중 리전 추적을 생성할 경우 이 옵션을 선택하면 현재 AWS 계정에 있는 모든 함수와 추적 생성을 완료한 후 리전에서 생성할 수 있는 Lambda 함수에 대해 데이터 이벤트 로깅이 활성화됩니다. 단일 리전에 대한 추적을 생성하는 경우(를 사용하여 수행 AWS CLI),이 선택을 통해 AWS 현재 계정의 해당 리전에 있는 모든 함수와 추적 생성을 완료한 후 해당 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 다른 리전에서 생성되는 Lambda 함수에 대한 데이터 이벤트 로깅은 활성화되지 않습니다.  
또한 모든 함수에 대한 데이터 이벤트를 로깅하면 다른 계정에 속한 함수에 대해 해당 활동이 수행되더라도 계정 AWS 의 모든 IAM 자격 증명에서 수행한 데이터 이벤트 활동을 로깅할 수 AWS 있습니다.

   1. [**ARN으로 입력 함수(Input function as ARN)**]를 선택한 경우 Lambda 함수의 ARN을 입력합니다.
**참고**  
계정의 Lambda 함수가 15,000개를 넘을 경우 추적을 생성할 때 CloudTrail 콘솔에서 함수를 모두 보거나 선택할 수 없습니다. 함수가 모두 표시되지는 않더라도 모든 함수를 로그하는 옵션을 선택할 수 있습니다. 특정 함수에 대한 데이터 이벤트를 로그하려면 함수를 수동으로 추가할 수 있습니다(함수의 ARN을 알고 있는 경우). 콘솔에서 추적 생성을 완료한 다음 AWS CLI 및 **put-event-selectors** 명령을 사용하여 특정 Lambda 함수에 대한 데이터 이벤트 로깅을 구성할 수도 있습니다. 자세한 내용은 [를 사용하여 추적 관리 AWS CLI](cloudtrail-additional-cli-commands.md) 단원을 참조하십시오.

1. DynamoDB 테이블의 경우:

   1. [**데이터 이벤트 소스(Data event source)**]에서 **DynamoDB**를 선택합니다.

   1. [**DynamoDB 테이블 선택(DynamoDB table selection)**]에서 [**찾아보기(Browse)**]를 선택하여 테이블을 선택하거나 액세스 권한이 있는 DynamoDB 테이블의 ARN을 붙여넣습니다. DynamoDB 테이블 ARN은 다음의 형식을 사용합니다.

      ```
      arn:partition:dynamodb:region:account_ID:table/table_name
      ```

      다른 테이블을 추가하려면 [**행 추가(Add row)**]를 선택하고 테이블을 찾거나 액세스 권한이 있는 테이블의 ARN을 붙여넣습니다.

1. 추적에 대한 Insights 이벤트 및 기타 설정을 구성하려면 이 주제인 [콘솔로 추적 생성](#creating-a-trail-in-the-console)의 이전 절차로 돌아갑니다.

## 다음 단계
<a name="cloudtrail-create-a-trail-using-the-console-first-time-next-steps"></a>

추적을 생성한 후 추적으로 돌아가 변경할 수 있습니다.
+ 아직 구성하지 않았다면 CloudWatch Logs에 로그 파일을 전송하도록 CloudTrail을 구성할 수 있습니다. 자세한 내용은 [CloudWatch Logs에 이벤트 전송](send-cloudtrail-events-to-cloudwatch-logs.md) 단원을 참조하세요.
+ 테이블을 생성하고 이를 사용해 Amazon Athena에서 쿼리를 실행함으로써 AWS 서비스 활동을 분석할 수 있습니다. 자세한 내용은 [Amazon Athena 사용 설명서](https://docs.aws.amazon.com/athena/latest/ug/)의 [CloudTrail 콘솔에서 CloudTrail 로그용 테이블 생성](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct) 단원을 참조하세요.
+ 추적에 사용자 지정 태그(키-값 쌍)를 추가합니다.
+ 다른 추적을 생성하려면 [**추적(Trails)**] 페이지를 열고 [**추적 생성(Create trail)**]를 선택합니다.

# CloudTrail 콘솔을 사용하여 추적 업데이트
<a name="cloudtrail-update-a-trail-console"></a>

이 섹션에서는 추적 설정을 변경하는 방법을 설명합니다.

단일 리전 추적을 다중 리전 추적으로 변환하거나 다중 리전 추적을 업데이트하여 단일 리전의 이벤트만 로깅하려면 AWS CLI를 사용해야 합니다. 단일 리전 추적에서 다중 리전 추적으로 변환하는 방법에 대한 자세한 내용은 [단일 리전 추적을 다중 리전 추적으로 변환](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert) 섹션을 참조하세요. 다중 리전 추적을 업데이트하여 단일 리전에서 이벤트를 로깅하는 방법에 대한 자세한 내용은 [다중 리전 추적을 단일 리전 추적으로 변환](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce) 섹션을 참조하세요.

Amazon Security Lake에서 CloudTrail 관리 이벤트를 활성화한 경우, 여러 지역이고 `read`와 `write` 관리 이벤트를 모두 로깅하는 조직 추적을 하나 이상 유지 관리해야 합니다. Security Lake 요구 사항을 충족하지 못하는 방식으로는 적격 추적을 업데이트할 수 없습니다. 예를 들어, 추적을 단일 리전으로 변경하거나, `read` 또는 `write` 관리 이벤트의 로깅을 비활성화할 수는 없습니다.

**참고**  
CloudTrail은 리소스 검증에 실패하더라도 멤버 계정의 조직 추적을 업데이트합니다. 검증 실패의 예로 다음이 포함됩니다.  
잘못된 Amazon S3 버킷 정책
잘못된 Amazon SNS 주제 정책
CloudWatch Logs 로그 그룹에 전달할 수 없음
KMS 키를 사용하여 암호화할 권한이 충분하지 않음
CloudTrail 권한이 있는 멤버 계정은 CloudTrail 콘솔에서 추적의 세부 정보 페이지를 보거나 명령을 실행하여 조직 추적에 대한 검증 실패를 AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html) 확인할 수 있습니다.

**를 사용하여 추적을 업데이트하려면 AWS Management Console**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창에서 [**추적(Trails)**]을 선택한 다음, 추적 이름을 선택합니다.

1. [**일반 세부 정보(General details)**]에서 [**편집(Edit)**]을 선택하여 다음 설정을 변경합니다. 추적 이름은 변경할 수 없습니다.
   + **조직에 추적 적용** -이 추적이 AWS Organizations 조직 추적인지 여부를 변경합니다.
**참고**  
오직 조직의 관리 계정만이 조직 추적을 비조직 추적으로 전환하거나, 비조직 추적을 조직 추적으로 전환할 수 있습니다.
   + [**추적 로그 위치(Trail log location)**] - 이 추적의 로그를 저장할 S3 버킷 또는 접두사의 이름을 변경합니다.
   + [**로그 파일 SSE-KMS 암호화(Log file SSE-KMS encryption)**] - SSE-S3 대신 SSE-KMS를 사용한 로그 파일 암호화를 사용하거나 사용 중지하도록 선택합니다.
   + [**로그 파일 검증(Log file validation)**] - 로그 파일 무결성 검증을 사용하거나 사용 중지하도록 선택합니다.
   + [**SNS 알림 전달(SNS notification delivery)**] - 로그 파일이 추적에 대해 지정된 버킷에 전달되었다는 Amazon Simple Notification Service(Amazon SNS) 알림을 사용하거나 사용 중지하도록 선택합니다.

   1. 추적을 AWS Organizations 조직 추적으로 변경하려면 조직의 모든 계정에 대해 추적을 활성화하도록 선택할 수 있습니다. 자세한 내용은 [조직에 대한 추적 생성](creating-trail-organization.md) 단원을 참조하십시오.

   1. [**스토리지 위치(Storage location)**]에서 지정된 버킷을 변경하려면 [**새 S3 버킷 생성(Create new S3 bucket)**]을 선택하여 버킷을 생성합니다. 버킷을 생성하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 새 S3 버킷을 생성하려는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 `s3:PutEncryptionConfiguration` 작업에 대한 권한을 포함해야 합니다.
**참고**  
[**기존 S3 버킷 사용(Use existing S3 bucket)**]을 선택한 경우 [**추적 로그 버킷 이름(Trail log bucket name)**]에 버킷을 지정하거나 [**찾아보기(Browse)**]를 선택하여 버킷을 선택합니다. 버킷 정책은 쓰기 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md) 단원을 참조하세요.

      로그를 더 쉽게 찾을 수 있도록 기존 버킷에 새 폴더(또는 **‘접두사’)를 생성하여 CloudTrail 로그를 저장할 수 있습니다. [**접두사(Prefix)**]에 접두사를 입력합니다.

   1. SSE-S3 암호화 대신 SSE-KMS 암호화를 사용하여 로그 파일 및 다이제스트 파일을 암호화하려면 **로그 파일 SSE-KMS 암호화**에서 **사용**을 선택합니다. 기본값은 [**사용(Enabled)**]입니다. SSE-KMS 암호화를 활성화하지 않으면 로그 파일 및 다이제스트 파일은 SSE-S3 암호화를 사용하여 암호화합니다. SSE-KMS 암호화에 대한 자세한 내용은 [AWS Key Management Service (SSE-KMS)를 사용한 서버 측 암호화 사용을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 참조하세요. SSE-S3 암호화에 대한 자세한 내용은 [Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)을 참조하세요.

      SSE-KMS 암호화를 활성화하는 경우 **신규** 또는 **기존** AWS KMS key을 선택합니다. **AWS KMS 별칭(KMS Alias)**에서 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](create-kms-key-policy-for-cloudtrail-update-trail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
**참고**  
다른 계정에 있는 키의 ARN을 입력할 수도 있습니다. 자세한 내용은 [콘솔을 사용하여 KMS 키를 사용하도록 리소스 업데이트](create-kms-key-policy-for-cloudtrail-update-trail.md) 단원을 참조하십시오. 키 정책은 CloudTrail이 키를 사용하여 로그 파일 및 다이제스트 파일을 암호화하고 지정한 사용자가 암호화되지 않은 형태로 로그 파일 또는 다이제스트 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하세요.

   1. [**로그 파일 검증(Log file validation)**]에서 [**사용(Enabled)**]을 선택하여 로그 다이제스트를 S3 버킷에 전달합니다. 다이제스트 파일을 사용하면 CloudTrail이 로그 파일을 전달한 후 해당 파일이 변경되지 않았는지 확인할 수 있습니다. 자세한 내용은 [CloudTrail 로그 파일 무결성 검증](cloudtrail-log-file-validation-intro.md) 단원을 참조하세요.

   1. [**SNS 알림 전달(SNS notification delivery)**]에서 [**사용(Enabled)**]을 선택하여 로그가 버킷에 전달될 때마다 알림을 받습니다. CloudTrail은 여러 이벤트를 로그 파일에 저장합니다. 모든 이벤트가 아니라 모든 로그 파일에 대해 SNS 알림이 전송됩니다. 자세한 내용은 [CloudTrail에 대한 Amazon SNS 알림 구성](configure-sns-notifications-for-cloudtrail.md) 단원을 참조하세요.

      SNS 알림을 사용하도록 설정하는 경우 [**새 SNS 주제 생성(Create a new SNS topic)**]에서 [**신규(New)**]를 선택하여 주제를 생성하거나 [**기존(Existing)**]을 선택하여 기존 주제를 사용합니다. 다중 리전 추적을 생성하는 경우 활성화된 모든 리전에서 로그 파일 전송에 대한 SNS 알림이 사용자가 생성하는 단일 SNS 주제로 전송됩니다.

      [**신규(New)**]를 선택하는 경우 CloudTrail이 새 주제의 이름을 지정하거나 사용자가 이름을 입력할 수 있습니다. [**기존(Existing)**]을 선택하는 경우 드롭다운 목록에서 SNS 주제를 선택합니다. 다른 리전 또는 적절한 권한이 있는 계정에서 주제의 ARN을 입력할 수도 있습니다. 자세한 내용은 [CloudTrail에 대한 Amazon SNS 주제 정책](cloudtrail-permissions-for-sns-notifications.md) 단원을 참조하세요.

      주제를 생성한 경우 로그 파일 전송에 대한 알림을 받으려면 해당 주제를 구독해야 합니다. Amazon SNS 콘솔에서 구독할 수 있습니다. 알림의 빈도로 인해 Amazon SQS 대기열을 사용하여 알림을 프로그래밍 방식으로 처리하도록 구독을 구성하는 것이 좋습니다. 자세한 내용은 *Amazon Simple Notification Service 개발자 안내서*의 [Amazon SNS 시작하기](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)를 참조하세요.

1. [**CloudWatch Logs**]에서 [**편집(Edit)**]을 선택하여 CloudTrail 로그 파일을 CloudWatch Logs에 전송하기 위한 설정을 변경합니다. 로그 파일 전송을 사용하려면 [**CloudWatch Logs**]에서 [**사용(Enabled)**]을 선택합니다. 자세한 내용은 [CloudWatch Logs에 이벤트 전송](send-cloudtrail-events-to-cloudwatch-logs.md) 단원을 참조하세요.

   1. CloudWatch Logs와의 통합을 사용하도록 설정하는 경우 [**신규(New)**]를 선택하여 새 로그 그룹을 생성하거나 [**기존(Existing)**]을 선택하여 기존 로그 그룹을 사용합니다. [**신규(New)**]를 선택하는 경우 CloudTrail이 새 로그 그룹의 이름을 지정하거나 사용자가 이름을 입력할 수 있습니다.

   1. [**기존(Existing)**]을 선택하는 경우 드롭다운 목록에서 로그 그룹을 선택합니다.

   1. 로그를 CloudWatch Logs에 전송할 수 있는 권한에 대한 새 IAM 역할을 생성하려면 [**신규(New)**]를 선택합니다. 드롭다운 목록에서 기존 IAM 역할을 선택하려면 [**기존(Existing)**]을 선택합니다. [**정책 문서(Policy document)**]를 확장하면 새 역할 또는 기존 역할의 정책 문이 표시됩니다. 이에 대한 자세한 내용은 [모니터링을 위해 CloudWatch Logs를 사용하는 CloudTrail의 역할 정책 문서](cloudtrail-required-policy-for-cloudwatch-logs.md) 단원을 참조하세요.
**참고**  
추적을 구성할 때 다른 계정에 속한 S3 버킷 및 SNS 주제를 선택할 수 있습니다. 하지만 CloudTrail이 이벤트를 CloudWatch Logs 로그 그룹에 전달하도록 하려면 현재 계정에 있는 로그 그룹을 선택해야 합니다.
오직 관리 계정만이 콘솔을 사용하여 조직 추적에 대한 CloudWatch Logs 로그 그룹을 구성할 수 있습니다. 위임된 관리자는 AWS CLI 또는 CloudTrail 또는 API 작업을 사용하여 CloudWatch Logs 로그 그룹을 구성할 수 있습니다. CloudTrail `CreateTrail` `UpdateTrail` 

1. [**태그(Tags)**]에서 [**편집(Edit)**]을 선택하여 추적의 태그를 변경, 추가 또는 삭제합니다. 추적에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다. 태그를 사용하면 CloudTrail 로그 파일이 포함된 Amazon S3 버킷과 CloudTrail 추적을 모두 식별할 수 있습니다. 그런 다음, CloudTrail 리소스의 리소스 그룹을 사용할 수 있습니다. 자세한 내용은 [AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) 및 [Tags](cloudtrail-concepts.md#cloudtrail-concepts-tags) 섹션을 참조하세요.

1. [**관리 이벤트(Management events)**]에서 [**편집(Edit)**]을 선택하여 관리 이벤트 로깅 설정을 변경합니다.

   1. [**API 활동(API activity)**]에서 추적이 [**읽기(Read)**] 이벤트, [**쓰기(Write)**] 이벤트 또는 둘 다를 로그하도록 할지 선택합니다. 자세한 내용은 [관리 이벤트](logging-management-events-with-cloudtrail.md#logging-management-events) 단원을 참조하십시오.

   1. ** AWS KMS 이벤트 제외**를 선택하여 추적에서 (AWS KMS) 이벤트를 필터링 AWS Key Management Service 합니다. 기본 설정은 모든 AWS KMS 이벤트를 포함하는 것입니다.

       AWS KMS 이벤트를 로깅하거나 제외하는 옵션은 추적에 관리 이벤트를 로깅하는 경우에만 사용할 수 있습니다. 관리 이벤트를 로깅하지 않도록 선택하면 AWS KMS 이벤트가 로깅되지 않으며 AWS KMS 이벤트 로깅 설정을 변경할 수 없습니다.

      AWS KMS `Encrypt`, `Decrypt`및 같은 작업은 `GenerateDataKey` 일반적으로 대량(99% 이상)의 이벤트를 생성합니다. 이러한 작업은 이제 **읽기** 이벤트로 로그됩니다. , `Disable` `Delete`및 `ScheduleKey` (일반적으로 AWS KMS 이벤트 볼륨의 0.5% 미만을 차지함)와 같은 소량 관련 AWS KMS 작업은 **쓰기** 이벤트로 로깅됩니다.

      `Encrypt`, `Decrypt` 및 `GenerateDataKey`와 같은 대량의 이벤트를 제외하지만 `Disable`, `Delete` 및 `ScheduleKey`와 같은 관련 이벤트를 계속 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하도록 선택하고 ** AWS KMS 이벤트 제외(Exclude KMS events)** 확인란의 선택을 취소합니다.

   1. [**Amazon RDS Data API 이벤트 제외(Exclude Amazon RDS Data API events)**]를 선택하여 추적에서 Amazon Relational Database Service Data API 이벤트를 필터링합니다. 기본 설정은 모든 Amazon RDS Data API 이벤트를 포함하는 것입니다. Amazon RDS Data API 이벤트에 대한 자세한 내용은 *Amazon RDS for Aurora 사용 설명서*에서 [AWS CloudTrail을 사용하여 데이터 API 호출 로깅](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) 단원을 참조하세요.

1. 
**중요**  
7\$111단계는 기본값인 고급 이벤트 선택기를 사용하여 데이터 이벤트를 구성하는 단계입니다. 고급 이벤트 선택기를 사용하면 더 많은 [데이터 이벤트 유형](logging-data-events-with-cloudtrail.md#logging-data-events)을 구성하고 추적에서 캡처하는 데이터 이벤트를 세밀하게 제어할 수 있습니다. 네트워크 활동 이벤트를 로깅하려는 경우 고급 이벤트 선택기를 사용해야 합니다. 고급 이벤트 선택기를 사용한다면 [기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 업데이트](#cloudtrail-update-basic-event-selectors-console) 섹션을 참조한 다음 이 절차의 12단계로 돌아옵니다.

   [**데이터 이벤트(Data events)**]에서 [**편집(Edit)**]을 선택하여 데이터 이벤트 로깅 설정을 변경합니다. 기본적으로 추적은 데이터 이벤트를 로그하지 않습니다. 데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

   **리소스 유형**에서 데이터 이벤트를 로깅할 리소스 유형을 선택합니다. 사용 가능한 리소스 유형에 대한 자세한 내용은 [데이터 이벤트](logging-data-events-with-cloudtrail.md#logging-data-events) 섹션을 참조하세요.

1. 로그 선택기 템플릿을 선택합니다. 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 자체 이벤트 수집 조건을 정의할 수 있습니다.

   다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
   + **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
   + **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
   + **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
   + **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
   + ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.
**참고**  
S3 버킷에 대해 사전 정의된 템플릿을 선택하면 현재 AWS 계정에 있는 모든 버킷과 추적 생성을 완료한 후 생성한 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. 또한 해당 활동이 다른 AWS AWS 계정에 속한 버킷에서 수행되더라도 계정의 사용자 또는 역할이 수행한 데이터 이벤트 활동을 로깅할 수 있습니다.  
한 리전에만 추적을 적용하는 경우 모든 S3 버킷을 로그하는 사전 정의된 템플릿을 선택하면 추적과 동일한 리전의 모든 버킷과 해당 리전에서 나중에 생성하는 버킷에 대해 데이터 이벤트 로깅이 활성화됩니다. AWS 계정의 다른 리전에 있는 Amazon S3 버킷에 대해서는 데이터 이벤트를 로그하지 않습니다.  
다중 리전 추적을 생성하는 경우 Lambda 함수에 대해 사전 정의된 템플릿을 선택하면 현재 AWS 계정에 있는 모든 함수와 추적 생성을 완료한 후 모든 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 단일 리전에 대한 추적을 생성하는 경우(를 사용하여 수행 AWS CLI)이 선택을 통해 현재 AWS 계정의 해당 리전에 있는 모든 함수와 추적 생성을 완료한 후 해당 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 다른 리전에서 생성되는 Lambda 함수에 대한 데이터 이벤트 로깅은 활성화되지 않습니다.  
또한 모든 함수에 대한 데이터 이벤트를 로깅하면 다른 AWS AWS 계정에 속한 함수에서 해당 활동이 수행되더라도 계정의 모든 사용자 또는 역할이 수행한 데이터 이벤트 활동을 로깅할 수 있습니다.

1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.

1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드의 값을 기반으로 표현식을 작성합니다.
**참고**  
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.

   1. 다음 필드 중에서 선택합니다.
      + **`readOnly`** - `readOnly`는 `true` 또는 `false` 값과 **같음**으로 설정할 수 있습니다. 읽기 전용 데이터 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. `read` 이벤트와 `write` 이벤트를 모두 로그하려면 `readOnly` 선택기를 추가하지 마세요.
      + **`eventName`** - `eventName`은 연산자를 사용할 수 있습니다. 연산자를 사용하여 `PutBucket`, `GetItem` 또는 `GetSnapshotBlock`과 같이 CloudTrail에 로그된 데이터 이벤트를 포함하거나 제외할 수 있습니다.
      + **`eventSource`** - 포함하거나 제외할 이벤트 소스입니다. 이 필드는 모든 연산자를 사용할 수 있습니다.
      + **eventType** – 포함하거나 제외할 이벤트 유형입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설정하면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다. 이벤트 유형 목록은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md)의 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type) 섹션을 참조하세요.
      + **sessionCredentialFromConsole** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
      + **userIdentity.arn** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
      + **`resources.ARN`** - `resources.ARN`과 함께 연산자를 사용할 수 있지만, **같음** 또는 **같지 않음**을 사용하는 경우 값은 템플릿에서 `resources.type` 값으로 지정한 유형의 유효한 리소스 ARN과 정확히 일치해야 합니다.
**참고**  
`resources.ARN` 필드를 사용하여 ARN이 없는 리소스 유형을 필터링할 수 없습니다.

        데이터 이벤트 리소스의 ARN 형식에 대한 자세한 내용은 *서비스 승인 참조*의 [Actions, resources, and condition keys for AWS 서비스](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)를 참조하세요.

   1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다. 예를 들어 이벤트 데이터 스토어에 로깅되는 데이터 이벤트에서 두 S3 버킷에 대한 데이터 이벤트를 제외하려면 필드를 **resources.ARN**으로 설정하고 **다음으로 시작하지 않음**에 대한 연산자를 설정한 다음에 이벤트를 로깅하지 않으려는 S3 버킷 ARN을 붙여넣을 수 있습니다.

      두 번째 S3 버킷을 추가하려면 [**\$1 조건(\$1 Condition)**]을 선택한 다음, 이전 지침을 반복하여 ARN을 붙여넣거나 다른 버킷을 찾습니다.

      CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**  
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

   1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요. 예를 들어 한 선택기의 ARN을 값과 같도록 지정하지 마세요. 그런 다음, ARN이 다른 선택기의 동일한 값과 같지 않도록 지정하세요.

1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다. 리소스 유형에 대한 고급 이벤트 선택기를 구성하려면 3단계부터 이 단계까지 반복합니다.

1. **네트워크 활동 이벤트**에서 **편집**을 선택하여 네트워크 활동 이벤트 로깅 설정을 변경합니다. 기본적으로 추적은 네트워크 활동 이벤트를 로깅하지 않습니다. 네트워크 활동 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

   네트워크 활동 이벤트를 로깅하려면 다음을 수행합니다.

   1. **네트워크 활동 이벤트 소스**에서 네트워크 활동 이벤트의 소스를 선택합니다.

   1. **로그 선택기 템플릿(Log selector template)**에서 템플릿을 선택합니다. 모든 네트워크 활동 이벤트를 로깅하거나 모든 네트워크 활동 액세스 거부 이벤트를 로깅하거나 **사용자 지정**을 선택하여 `eventName` 및 `vpcEndpointId`와 같은 여러 필드를 기준으로 필터링할 사용자 지정 로그 선택기를 빌드할 수 있습니다.

   1. (선택 사항) 선택기를 식별할 이름을 입력합니다. 선택기 이름은 고급 이벤트 선택기에서의 **이름**으로 나열되며 **JSON 보기**를 확장하면 볼 수 있습니다.

   1. **고급 이벤트 선택기**에서 **필드**, **연산자** 및 **값**을 선택하여 표현식을 빌드합니다. 사전 정의된 로그 템플릿을 사용한다면 이 단계를 건너뛸 수 있습니다.

      1. 네트워크 활동 이벤트를 제외하거나 포함하는 경우 콘솔의 다음 필드 중에서 선택할 수 있습니다.
         + **`eventName`** – `eventName`에서 모든 연산자를 사용할 수 있습니다. 이를 사용하여 이벤트(예: `CreateKey`)를 포함하거나 제외할 수 있습니다.
         + **`errorCode`** - 이를 사용하여 오류 코드를 기준으로 필터링할 수 있습니다. 현재 지원되는 유일한 `errorCode`는 `VpceAccessDenied`입니다.
         +  **`vpcEndpointId`** - 작업이 통과한 VPC 엔드포인트를 식별합니다. `vpcEndpointId`에서 모든 연산자를 사용할 수 있습니다.

      1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

      1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

   1. 네트워크 활동 이벤트를 로깅할 다른 이벤트 소스를 추가하려면 **네트워크 활동 이벤트 선택기 추가**를 선택합니다.

   1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

1. 추적이 CloudTrail Insights 이벤트를 로깅하도록 하려면 **Insights 이벤트**에서 **편집**을 선택합니다.

   [**이벤트 유형(Event type)**]에서 [**Insights 이벤트(Insights events)**]를 선택합니다.

    **Insights 이벤트(Insights events)**에서 **API 호출률(API call rate)**, **API 오류율(API error rate)** 또는 둘 다를 선택합니다. **API 호출률**에 대한 Insights 이벤트를 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다. **API 오류율**에 대한 Insights 이벤트를 로그하려면 **읽기(Read)** 또는 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다.

   CloudTrail Insights는 비정상적인 활동에 대한 관리 이벤트를 분석하고 이상이 감지되면 이벤트를 로그합니다. 기본적으로 추적은 인사이트 이벤트를 로그하지 않습니다. 인사이트에 이벤트에 대한 자세한 내용은 [CloudTrail Insights를 사용한 작업](logging-insights-events-with-cloudtrail.md) 단원을 참조하세요. 인사이트 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

   Insights 이벤트는 추적 세부 정보 페이지의 [**스토리지 위치(Storage location)**] 영역에 지정된 동일한 S3 버킷의 `/CloudTrail-Insight`라는 다른 폴더에 전달됩니다. CloudTrail은 새 접두사를 생성합니다. 예를 들어, 현재 대상 S3 버킷의 이름이 `amzn-s3-demo-bucket/AWSLogs/CloudTrail/`인 경우 새 접두사가 있는 S3 버킷 이름은 `amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/`이 됩니다.

1. 추적에서 설정 변경을 마쳤으면 [**추적 업데이트(Update trail)**]를 선택합니다.

## 기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 업데이트
<a name="cloudtrail-update-basic-event-selectors-console"></a>

고급 이벤트 선택기를 사용하여 모든 데이터 이벤트 유형과 네트워크 활동 이벤트를 구성할 수 있습니다. 고급 이벤트 선택기를 사용하면 세분화된 선택기를 생성하여 관심 있는 이벤트만 로깅할 수 있습니다.

기본 이벤트 선택기를 사용하여 데이터 이벤트를 로깅하는 경우 Amazon S3 버킷, AWS Lambda 함수 및 Amazon DynamoDB 테이블에 대한 데이터 이벤트 로깅으로 제한됩니다. 기본 이벤트 선택기를 사용하여 `eventName` 필드를 기준으로 필터링할 수 없습니다. [네트워크 활동 이벤트](logging-network-events-with-cloudtrail.md)도 로깅할 수 없습니다.

![\[추적의 데이터 이벤트에 대한 기본 이벤트 선택기\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-data-basic-selectors.png)


다음 절차에 따라 기본 이벤트 선택기를 사용하여 데이터 이벤트 설정을 구성합니다.

1. [**데이터 이벤트(Data events)**]에서 [**편집(Edit)**]을 선택하여 데이터 이벤트 로깅 설정을 변경합니다. 기본 이벤트 선택기를 사용하면 Amazon S3 버킷, AWS Lambda 함수, DynamoDBtables 또는 이러한 리소스의 조합에 대한 로깅 데이터 이벤트를 지정할 수 있습니다. 추가 데이터 이벤트 리소스 유형은 고급 이벤트 선택기로 지원됩니다. 기본적으로 추적은 데이터 이벤트를 로그하지 않습니다. 데이터 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 [데이터 이벤트](logging-data-events-with-cloudtrail.md#logging-data-events) 단원을 참조하세요. CloudTrail 요금은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

   Amazon S3 버킷의 경우:

   1. [**데이터 이벤트 소스(Data event source)**]에서 **S3**를 선택합니다.

   1. [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]을 로그하도록 선택하거나 개별 버킷 또는 함수를 지정할 수 있습니다. 기본적으로 데이터 이벤트는 현재 및 미래의 모든 S3 버킷에 대해 로그됩니다.
**참고**  
기본 모든 **현재 및 향후 S3 버킷** 옵션을 유지하면 현재 AWS 계정에 있는 모든 버킷과 추적 생성을 완료한 후 생성한 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. 또한 해당 활동이 다른 AWS AWS 계정에 속한 버킷에서 수행되더라도 계정의 사용자 또는 역할이 수행한 데이터 이벤트 활동을 로깅할 수 있습니다.  
한 리전에만 추적을 적용하는 경우 [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]을 선택하면 추적과 동일한 리전의 모든 버킷과 해당 리전에서 나중에 생성하는 버킷에 대해 데이터 이벤트 로깅이 활성화됩니다. AWS 계정의 다른 리전에 있는 Amazon S3 버킷에 대한 데이터 이벤트는 로깅되지 않습니다.

   1. 기본값인 [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]을 그대로 둘 경우 [**읽기(Read)**] 이벤트, [**쓰기(Write)**] 이벤트 또는 둘 다를 로그하도록 선택합니다.

   1. 개별 버킷을 선택하려면 [**현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)**]에서 [**읽기(Read)**] 및 [**쓰기(Write)**] 확인란의 선택을 해제합니다. [**개별 버킷 선택(Individual bucket selection)**]에서 데이터 이벤트를 로그할 버킷을 찾습니다. 특정 버킷을 찾으려면 원하는 버킷의 버킷 접두사를 입력합니다. 이 창에서 여러 버킷을 선택할 수 있습니다. 더 많은 버킷의 데이터 이벤트를 로그하려면 [**버킷 추가(Add bucket)**]를 선택합니다. [**읽기(Read)**] 이벤트(예:`GetObject`), [**쓰기(Write)**] 이벤트(예:`PutObject`) 또는 둘 다를 로그하도록 선택합니다.

      이 설정은 개별 버킷에 대해 구성한 개별 설정보다 우선 적용됩니다. 예를 들어 모든 S3 버킷에 대해 [**읽기(Read)**] 이벤트 로깅을 지정한 다음, 데이터 이벤트 로깅 대상으로 특정 버킷을 추가하기로 선택하면 추가한 버킷에 대해 [**읽기(Read)**]가 사전 선택됩니다. 선택을 취소할 수 없습니다. [**Write**]에 대한 옵션만 구성할 수 있습니다.

      로깅에서 버킷을 제거하려면 **X**를 선택합니다.

1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다.

1. Lambda 함수의 경우:

   1. [**데이터 이벤트 소스(Data event source)**]에서 **Lambda**를 선택합니다.

   1. [**Lambda 함수(Lambda function)**]에서 [**모든 리전(All regions)**]을 선택하여 모든 Lambda 함수를 로그하거나 [**ARN으로 입력 함수(Input function as ARN)**]를 선택하여 특정 함수에 대한 데이터 이벤트를 로그합니다.

       AWS 계정의 모든 Lambda 함수에 대한 데이터 이벤트를 로깅하려면 **현재 및 미래 함수 모두 로깅**을 선택합니다. 이 설정은 개별 함수에 대해 구성한 개별 설정보다 우선합니다. 일부 함수가 표시되지 않더라도 모든 함수가 로그됩니다.
**참고**  
다중 리전 추적을 생성하는 경우이 선택을 통해 현재 AWS 계정에 있는 모든 함수와 추적 생성을 완료한 후 모든 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 단일 리전에 대한 추적을 생성하는 경우(를 사용하여 수행 AWS CLI),이 선택을 통해 AWS 현재 계정의 해당 리전에 있는 모든 함수와 추적 생성을 완료한 후 해당 리전에서 생성할 수 있는 모든 Lambda 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. 다른 리전에서 생성되는 Lambda 함수에 대한 데이터 이벤트 로깅은 활성화되지 않습니다.  
또한 모든 함수에 대한 데이터 이벤트를 로깅하면 다른 AWS 계정에 속한 함수에서 해당 활동이 수행되더라도 계정의 모든 사용자 또는 역할이 수행한 데이터 이벤트 활동을 로깅할 수 AWS 있습니다.

   1. [**ARN으로 입력 함수(Input function as ARN)**]를 선택한 경우 Lambda 함수의 ARN을 입력합니다.
**참고**  
계정의 Lambda 함수가 15,000개를 넘을 경우 추적을 생성할 때 CloudTrail 콘솔에서 함수를 모두 보거나 선택할 수 없습니다. 함수가 모두 표시되지는 않더라도 모든 함수를 로그하는 옵션을 선택할 수 있습니다. 특정 함수에 대한 데이터 이벤트를 로그하려면 함수를 수동으로 추가할 수 있습니다(함수의 ARN을 알고 있는 경우). 콘솔에서 추적 생성을 완료한 다음, AWS CLI 및 **put-event-selectors** 명령을 사용하여 특정 Lambda 함수에 대한 데이터 이벤트 로깅을 구성할 수도 있습니다. 자세한 내용은 [를 사용하여 추적 관리 AWS CLI](cloudtrail-additional-cli-commands.md) 단원을 참조하십시오.

1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다.

1. DynamoDB 테이블의 경우:

   1. [**데이터 이벤트 소스(Data event source)**]에서 **DynamoDB**를 선택합니다.

   1. [**DynamoDB 테이블 선택(DynamoDB table selection)**]에서 [**찾아보기(Browse)**]를 선택하여 테이블을 선택하거나 액세스 권한이 있는 DynamoDB 테이블의 ARN을 붙여넣습니다. DynamoDB 테이블 ARN의 형식은 다음과 같습니다.

      ```
      arn:partition:dynamodb:region:account_ID:table/table_name
      ```

      다른 테이블을 추가하려면 [**행 추가(Add row)**]를 선택하고 테이블을 찾거나 액세스 권한이 있는 테이블의 ARN을 붙여넣습니다.

1. 추적에 대한 Insights 이벤트 및 기타 설정을 구성하려면 이 주제인 [CloudTrail 콘솔을 사용하여 추적 업데이트](#cloudtrail-update-a-trail-console)의 이전 절차로 돌아갑니다.

# CloudTrail 콘솔을 사용하여 추적 삭제
<a name="cloudtrail-delete-trails-console"></a>

CloudTrail 콘솔을 사용하여 추적을 삭제할 수 있습니다. 조직의 관리 계정이나 위임된 관리자 계정이 조직 추적을 삭제하면 해당 추적은 조직의 모든 멤버 계정에서 제거됩니다.

**중요**  
 CloudTrail 추적을 삭제하는 것은 되돌릴 수 없는 작업이지만 CloudTrail은 해당 추적에 대한 Amazon S3 버킷, Amazon S3 버킷 자체 또는 추적이 이벤트를 전달하는 CloudWatch 로그 그룹의 로그 파일을 삭제하지 않습니다. 다중 리전 추적을 삭제하면에서 활성화된 모든 AWS 리전의 이벤트 로깅이 중지됩니다 AWS 계정. 단일 리전 추적을 삭제하면 해당 리전의 이벤트 로깅만 중지됩니다. 다른 리전의 추적에 삭제된 추적과 동일한 이름이 있더라도 다른 리전의 이벤트 로깅은 중지되지 않습니다.  
CloudTrail 추적의 계정 해지 및 삭제에 대한 자세한 내용은 [AWS 계정 종료 및 추적](cloudtrail-account-closure.md) 섹션을 참조하세요.

Amazon Security Lake에서 CloudTrail 관리 이벤트를 활성화한 경우, 여러 지역이고 `read`와 `write` 관리 이벤트를 모두 로깅하는 조직 추적을 하나 이상 유지 관리해야 합니다. 추적이 이 요구 사항을 충족하는 유일한 추적이라면, Security Lake에서 CloudTrail 관리 이벤트를 비활성화하지 않는 한 추적을 삭제할 수 없습니다.

**CloudTrail 콘솔을 사용하여 추적을 삭제하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. CloudTrail 콘솔의 [**추적(Trails)**] 페이지를 엽니다.

1. 추적 이름을 선택합니다.

1. 추적 세부 정보 페이지 상단에서 [**삭제(Delete)**]를 선택합니다.

1. 확인 메시지가 표시되면 [**삭제(Delete)**]를 선택하여 추적을 영구적으로 삭제합니다. 추적이 추적 목록에서 제거됩니다. Amazon S3 버킷에 이미 전달된 로그 파일은 삭제되지 않으며 계속 S3 요금이 청구됩니다.
**참고**  
Amazon S3 버킷에 전달한 콘텐츠에는 고객 콘텐츠가 포함될 수 있습니다. 민감한 데이터 제거에 대한 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 비우기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/empty-bucket.html) 및 [버킷 삭제](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-bucket.html)를 참조하세요.

# 추적에 대해 로깅 비활성화
<a name="cloudtrail-turning-off-logging"></a>

추적을 생성하면 로깅이 자동으로 활성화됩니다. 추적의 세부 정보 페이지에서 추적에 대한 로깅을 끌 수 있습니다.

**참고**  
로깅을 해제해도 기존 로그는 여전히 추적의 Amazon S3 버킷에 저장되고, 계속해서 S3 요금이 발생합니다. S3 요금에 대한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.

**로깅이 중지된 후 이벤트 전송**  
추적에 대한 로깅을 끈 후에도 추적은 로깅이 꺼지기 전에 발생한 이벤트를 계속 수신할 수 있습니다. 이벤트는 높은 네트워크 트래픽, 연결 문제, 서비스 중단 또는 기존 이벤트 업데이트 등 여러 가지 이유로 지연될 수 있습니다. CloudTrail은 로깅이 꺼진 가장 최근 시간을 사용하여 이벤트가 발생한 시점의 추적 로깅 상태가 아닌 지연된 이벤트를 전달할지 여부를 결정합니다. 따라서 로깅이 마지막으로 해제되기 전에 발생한 지연된 이벤트는 여전히 추적에 전달될 수 있습니다. 지연된 이벤트 전송에 대한 자세한 내용은의 `addendum` 필드를 참조하세요[관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md).  
또한 이벤트 선택기와 고급 이벤트 선택기는 로깅이 꺼진 후 추적으로 전달되는 지연된 이벤트에 대해 평가되지 않습니다. 즉, 추적의 이벤트 선택기 구성에 관계없이 로깅이 꺼지기 전에 발생한 모든 유형의 이벤트를 추적이 수신할 수 있습니다.

**CloudTrail 콘솔을 사용하여 추적에 대해 로깅을 비활성화하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창에서 [**추적(Trails)**]을 선택한 다음, 추적 이름을 선택합니다.

1. 추적 세부 정보 페이지 상단에서 [**로깅 중지(Stop logging)**]를 선택하여 추적에 대해 로깅을 비활성화합니다.

1. 확인 메시지가 표시되면 [**로깅 중지(Stop logging)**]를 선택합니다. CloudTrail은 해당 추적에 대한 활동 로깅을 중지합니다.

1. 해당 추적에 대한 로깅을 재개하려면 추적 구성 페이지에서 [**로깅 시작(Start logging)**]을 선택합니다.

# 를 사용하여 추적 생성, 업데이트 및 관리 AWS CLI
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli"></a>

를 사용하여 추적 AWS CLI 을 생성, 업데이트 및 관리할 수 있습니다. 를 사용할 때는 명령이 프로필에 대해 구성된 AWS 리전에서 실행된다는 점을 AWS CLI기억하세요. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.

**참고**  
이 주제에서 AWS Command Line Interface (AWS CLI) AWS 명령을 실행하려면 명령줄 도구가 필요합니다. 최신 버전의가 AWS CLI 설치되어 있는지 확인합니다. 자세한 내용은 [AWS Command Line Interface 사용 설명서](https://docs.aws.amazon.com/cli/latest/userguide/)를 참조하십시오. AWS CLI 명령줄에서 CloudTrail 명령에 대한 도움말을 보려면를 입력합니다`aws cloudtrail help`.

## 추적 생성, 관리 및 상태에 일반적으로 사용도는 명령
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-options"></a>

CloudTrail에서 추적을 생성하고 업데이트하기 위해 자주 사용되는 명령에는 다음이 포함됩니다.
+ **[create-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md)** - 추적을 생성합니다.
+ **[update-trail](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail.md)** - 기존 추적의 구성을 변경합니다.
+ **[add-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-add-tag)** - 기존 추적에 하나 이상의 태그(키-값 페어)를 추가합니다.
+ **[remove-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-remove-tag)** - 추적에서 하나 이상의 태그를 제거합니다.
+ **[list-tags](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-list-tags)** - 추적과 연결된 태그 목록을 반환합니다.
+ **[put-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** - 추적의 이벤트 선택기를 추가하거나 수정합니다.
+ **[put-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html)**을 사용하여 기존 트레일에서 인사이트 이벤트 선택기를 추가 또는 수정하고 인사이트 이벤트를 활성화 또는 비활성화할 수 있습니다.
+ **[start-logging](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging)** - 추적에서 이벤트 로깅을 시작합니다.
+ **[stop-logging](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands)** - 추적에서 이벤트 로깅을 일시 중지합니다.
+ **[delete-trail](cloudtrail-additional-cli-commands.md#cloudtrail-delete-trail-cli)** - 추적을 삭제합니다. 이 명령은 해당 추적에 대한 로그 파일이 포함된 Amazon S3 버킷을 삭제하지 않습니다(있는 경우).
+ **[describe-trails](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** AWS 리전의 추적에 대한 정보를 반환합니다.
+ **[get-trail](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** - 추적에 대한 설정 정보를 반환합니다.
+ **[get-trail-status](cloudtrail-additional-cli-commands.md#cloudtrail-additional-cli-commands-retrieve)** - 트레일의 현재 상태에 대한 정보를 반환합니다.
+ **[get-event-selectors](cloudtrail-additional-cli-commands.md#configuring-adv-event-selector-examples)** - 추적에 대해 구성된 이벤트 선택기에 대한 정보를 반환합니다.
+ **[get-insight-selectors](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html)** -트레일에 대해 구성된 인사이트 이벤트 선택기에 대한 정보를 반환합니다.

### 추적 생성 및 업데이트에 지원되는 명령: create-trail and update-trail
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-ctut"></a>

`create-trail` 및 `update-trail` 명령은 다음을 포함하여 추적을 생성하고 관리하기 위한 다양한 기능을 제공합니다.
+ `--is-multi-region-trail` 옵션을 사용하여 리전 간에 로그를 수신하는 추적을 생성하거나 추적을 업데이트합니다. 대부분의 경우 모든 AWS 리전에서 이벤트를 로깅하는 추적을 생성해야 합니다.
+ **--is-organization-trail** 옵션을 사용하여 조직의 모든 AWS 계정에 대한 로그를 수신하는 추적을 생성합니다.
+ `--no-is-multi-region-trail` 옵션을 사용하여 다중 리전 추적을 단일 리전 추적으로 변환합니다.
+ `--kms-key-id` 옵션을 사용하여 로그 파일 암호화를 활성화하거나 비활성화합니다. 옵션은 이미 생성한 키와 CloudTrail이 로그를 암호화하도록 허용하는 정책을 연결한 AWS KMS 키를 지정합니다. 자세한 내용은 [를 사용하여 CloudTrail 로그 파일, 다이제스트 파일 및 이벤트 데이터 스토어에 대한 암호화 활성화 및 비활성화 AWS CLI](cloudtrail-log-file-encryption-cli.md) 단원을 참조하십시오.
+ `--enable-log-file-validation` 및 `--no-enable-log-file-validation` 옵션을 사용하여 로그 파일 검증을 활성화하거나 비활성화합니다. 자세한 내용은 [CloudTrail 로그 파일 무결성 검증](cloudtrail-log-file-validation-intro.md) 단원을 참조하세요.
+ CloudTrail이 CloudWatch Logs 로그 그룹에 이벤트를 전달할 수 있도록 CloudWatch Logs 로그 그룹 및 역할 지정합니다. 자세한 내용은 [Amazon CloudWatch Logs로 CloudTrail 로그 파일 모니터링](monitor-cloudtrail-log-files-with-cloudwatch-logs.md) 단원을 참조하세요.

### 더 이상 사용되지 않는 명령: create-subscription and update-subscription
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-subs"></a>

**중요**  
`create-subscription` 및 `update-subscription` 명령은 트레일을 생성하고 업데이트하는 데 사용되었지만 더 이상 사용되지 않습니다. 이러한 명령을 사용하지 마십시오. 이러한 명령은 추적을 생성하고 관리하기 위한 완전한 기능을 제공하지 않습니다.  
이러한 명령 중 하나 또는 모두 사용하는 자동화를 구성한 경우 **create-trail**과 같은 지원되는 명령을 사용하도록 코드나 스크립트를 업데이트하는 것이 좋습니다.

# `create-trail` 명령을 사용하여 추적 생성
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail"></a>

`create-trail` 명령을 실행하여 각자의 비즈니스 필요에 맞게 특별히 구성된 추적을 생성할 수 있습니다. 를 사용할 때는 명령이 프로필에 대해 구성된 AWS 리전에서 실행된다는 점을 AWS CLI기억하세요. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.

## 다중 리전 추적 생성
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-mrt"></a>

추적은에서 AWS 리전 [활성화된](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) 모든에 적용 AWS 계정하거나 단일 리전에 적용할 수 있습니다. 에서 활성화된 모든에 적용되는 추적 AWS 리전 을 *다중 리전 추적* AWS 계정 이라고 합니다. 모범 사례로서 활성화된 모든 리전의 활동을 캡처하는 다중 리전 추적을 생성하는 것이 좋습니다.

다중 리전 추적을 생성하려면 `--is-multi-region-trail` 옵션을 사용하세요. 기본적으로 `create-trail` 명령은 추적이 생성된 AWS 리전에서만 이벤트를 로깅하는 추적을 생성합니다. 글로벌 서비스 이벤트를 로깅하고 AWS 계정의 모든 관리 이벤트 활동을 캡처하려면 모든 AWS 리전에서 이벤트를 로깅하는 추적을 생성해야 합니다.

**참고**  
추적을 생성할 때 CloudTrail을 사용하여 생성하지 않은 Amazon S3 버킷을 지정하는 경우 적절한 정책을 연결해야 합니다. [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md)을(를) 참조하세요.

다음 예제에서는 *my-trail*이라는 이름으로 다중 리전 추적을 생성합니다. 이 추적은 키 이름이 *Group*이고 값이 *Marketing*인 태그를 사용하며 계정의 모든 활성화된 리전에서 *amzn-s3-demo-bucket*이라는 기존 버킷으로 로그를 전달합니다.

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
```

추적이 다중 리전 추적인지 확인하려면 출력의 `IsMultiRegionTrail` 요소에 `true`가 표시되는지 검증하세요.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

**참고**  
추적에 대한 로깅을 시작하려면 `start-logging` 명령을 사용하십시오.

## 추적에 대해 로깅 시작
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single-start-logging"></a>

`create-trail` 명령이 완료된 후 `start-logging` 명령을 실행하여 해당 추적에 대해 로깅을 시작합니다.

**참고**  
CloudTrail 콘솔을 사용하여 추적을 생성하면 로깅이 자동으로 활성화됩니다.

다음 예제에서는 추적에 대한 로깅을 활성화합니다.

```
aws cloudtrail start-logging --name my-trail
```

이 명령은 출력을 반환하지 않지만, `get-trail-status` 명령을 사용하여 로깅이 시작되었는지 확인할 수 있습니다.

```
aws cloudtrail get-trail-status --name my-trail
```

추적이 로깅되고 있는지 확인하려면 출력의 `IsLogging` 요소에 `true`가 표시되는지 확인합니다.

```
{
    "LatestDeliveryTime": 1441139757.497,
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
    "IsLogging": true,
    "TimeLoggingStarted": "2015-09-01T00:54:02Z",
    "StartLoggingTime": 1441068842.76,
    "LatestDigestDeliveryTime": 1441140723.629,
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
    "TimeLoggingStopped": ""
}
```

## 단일 리전 추적 생성
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single"></a>

다음 명령은 단일 리전 추적을 생성합니다. 지정된 Amazon S3 버킷이 이미 있어야 하고 적절한 CloudTrail 권한이 적용되어 있어야 합니다. 자세한 내용은 [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md) 단원을 참조하십시오.

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket
```

다음은 예제 출력입니다.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 로그 파일 검증이 활성화된 다중 리전 추적 생성
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-mrtlfi"></a>

`create-trail`을 사용할 때 로그 파일 검증을 활성화하려면 `--enable-log-file-validation` 옵션을 사용합니다.

로그 파일 검증에 대한 자세한 내용은 [CloudTrail 로그 파일 무결성 검증](cloudtrail-log-file-validation-intro.md) 단원을 참조하세요.

다음 예제에서는 지정된 버킷으로 로그를 전송하는 다중 리전 추적을 생성합니다. 이 명령은 `--enable-log-file-validation` 옵션을 사용합니다.

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail --enable-log-file-validation
```

로그 파일 검증이 활성화되었는지 확인하려면 출력의 `LogFileValidationEnabled` 요소에 `true`가 표시되는지 확인합니다.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": true,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

# `update-trail` 명령을 사용하여 추적 업데이트
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-update-trail"></a>

**중요**  
2021년 11월 22일부터 추적이 글로벌 서비스 이벤트를 캡처하는 방법을 AWS CloudTrail 변경했습니다. 이제 Amazon CloudFront에서 생성한 이벤트 AWS Identity and Access Management와이 이벤트가 생성된 리전, 미국 동부(버지니아 북부) 리전, us-east-1에 기록 AWS STS 됩니다. 이렇게 하면 CloudTrail이 이러한 서비스를 다른 AWS 글로벌 서비스의 서비스와 일관되게 취급할 수 있습니다. 미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 *단일 리전 추적*을 *다중 리전 추적*으로 변환해야 합니다. 글로벌 서비스 이벤트 캡처에 대한 자세한 내용은 이 단원의 후반부에서 [글로벌 서비스 이벤트 로깅 활성화 및 비활성화](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)을(를) 참조하세요.  
 반대로 CloudTrail 콘솔의 **이벤트 기록**과 **aws cloudtrail lookup-events** 명령은 이러한 이벤트 AWS 리전 가 발생한에 이러한 이벤트를 표시합니다.

`update-trail` 명령을 사용하여 추적에 대한 구성 설정을 변경할 수 있습니다. 또한 **add-tags** 및 **remove-tags** 명령을 사용하여 추적의 태그를 추가하고 제거할 수 있습니다. 추적이 생성된 AWS 리전(홈 리전)에서만 추적을 업데이트할 수 있습니다. 를 사용할 때는 명령이 프로파일에 대해 구성된 AWS 리전에서 실행된다는 점을 AWS CLI기억하세요. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.

Amazon Security Lake에서 CloudTrail 관리 이벤트를 활성화한 경우, 여러 지역이고 `read`와 `write` 관리 이벤트를 모두 로깅하는 조직 추적을 하나 이상 유지 관리해야 합니다. Security Lake 요구 사항을 충족하지 못하는 방식으로는 적격 추적을 업데이트할 수 없습니다. 예를 들어, 추적을 단일 리전으로 변경하거나, `read` 또는 `write` 관리 이벤트의 로깅을 비활성화할 수는 없습니다.

**참고**  
 AWS CLI 또는 AWS SDKs 중 하나를 사용하여 추적을 수정하는 경우 추적의 버킷 정책이 up-to-date 상태인지 확인합니다. 버킷이 새에서 이벤트를 자동으로 수신하려면 AWS 리전정책에 전체 서비스 이름가 포함되어야 합니다`cloudtrail.amazonaws.com`. 자세한 내용은 [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md) 단원을 참조하십시오.

**Topics**
+ [

## 단일 리전 추적을 다중 리전 추적으로 변환
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert)
+ [

## 다중 리전 추적을 단일 리전 추적으로 변환
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce)
+ [

## 글로벌 서비스 이벤트 로깅 활성화 및 비활성화
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses)
+ [

## 로그 파일 검증 활성화
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi)
+ [

## 로그 파일 검증 비활성화
](#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable)

## 단일 리전 추적을 다중 리전 추적으로 변환
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-convert"></a>

기존 단일 리전 추적을 다중 리전 추적으로 변경하려면 `--is-multi-region-trail` 옵션을 사용하세요.

```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```

이제 추적이 다중 리전 추적인지 확인하려면 출력의 `IsMultiRegionTrail` 요소에 `true`가 표시되는지 검증하세요.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": true,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 다중 리전 추적을 단일 리전 추적으로 변환
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-reduce"></a>

생성된 리전에만 추적이 적용되도록 기존 다중 리전 추적을 변경하려면 `--no-is-multi-region-trail` 옵션을 사용합니다.

```
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
```

이제 추적이 단일 리전에 적용되는지 확인하려면 출력의 `IsMultiRegionTrail` 요소에 `false`가 표시되는지 확인합니다.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 글로벌 서비스 이벤트 로깅 활성화 및 비활성화
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-gses"></a>

글로벌 서비스 이벤트를 로깅하지 않도록 추적을 변경하려면 `--no-include-global-service-events` 옵션을 사용합니다.

```
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
```

추적이 글로벌 서비스 이벤트를 더 이상 로깅하지 않는지 확인하려면 출력의 `IncludeGlobalServiceEvents` 요소에 `false`가 표시되는지 확인합니다.

```
{
    "IncludeGlobalServiceEvents": false,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

글로벌 서비스 이벤트를 로깅하도록 추적을 변경하려면 `--include-global-service-events` 옵션을 사용합니다.

단일 리전 추적은 2021년 11월 22일부터 글로벌 서비스 이벤트를 수신하지 않습니다(단, 미국 동부(버지니아 북부) 리전(us-east-1)에 이미 나타난 추적 제외). 글로벌 서비스 이벤트를 계속 캡처하려면 추적 구성을 다중 리전 추적으로 업데이트하세요. 예를 들어 이 명령은 미국 동부(오하이오)(us-east-2)의 단일 리전 추적을 다중 리전 추적으로 업데이트합니다. *myExistingSingleRegionTrailWithGSE*를 자신의 구성에 적합한 추적 이름으로 교체합니다.

```
aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail
```

글로벌 서비스 이벤트는 2021년 11월 22일부터 미국 동부(버지니아 북부)에서만 사용할 수 있으므로 단일 리전 추적을 생성하여 미국 동부(버지니아 북부) 리전(us-east-1)의 글로벌 서비스 이벤트를 구독할 수도 있습니다. 다음 명령은 us-east-1에 단일 리전 추적을 생성하여 CloudFront, IAM 및 AWS STS 이벤트를 수신합니다.

```
aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name amzn-s3-demo-bucket
```

## 로그 파일 검증 활성화
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi"></a>

추적에 대해 로그 파일 검증을 활성화하려면 `--enable-log-file-validation` 옵션을 사용합니다. 해당 추적에 대해 다이제스트 파일이 Amazon S3 버킷에 전달됩니다.

```
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
```

로그 파일 검증이 활성화되었는지 확인하려면 출력의 `LogFileValidationEnabled` 요소에 `true`가 표시되는지 확인합니다.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": true,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

## 로그 파일 검증 비활성화
<a name="cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-lfi-disable"></a>

추적에 대해 로그 파일 검증을 비활성화하려면 `--no-enable-log-file-validation` 옵션을 사용합니다.

```
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
```

로그 파일 검증이 비활성화되었는지 확인하려면 출력의 `LogFileValidationEnabled` 요소에 `false`가 표시되는지 확인합니다.

```
{
    "IncludeGlobalServiceEvents": true,
    "Name": "my-trail",
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": false,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

를 사용하여 로그 파일을 검증하려면 섹션을 AWS CLI참조하세요[를 사용하여 CloudTrail 로그 파일 무결성 검증 AWS CLI](cloudtrail-log-file-validation-cli.md).

# 를 사용하여 추적 관리 AWS CLI
<a name="cloudtrail-additional-cli-commands"></a>

에는 추적을 관리하는 데 도움이 되는 몇 가지 다른 명령이 AWS CLI 포함되어 있습니다. 이러한 명령은 태그를 추적에 추가하고, 추적 상태를 가져오고, 추적에 대한 로깅을 시작 및 중지하고, 추적을 삭제합니다. 추적이 생성된 리전(홈 AWS 리전)과 동일한 리전에서 이러한 명령을 실행해야 합니다. 를 사용할 때는 명령이 프로파일에 대해 구성된 AWS 리전에서 실행된다는 점을 AWS CLI기억하세요. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.

**Topics**
+ [

## 추적에 태그를 한 개 이상 추가합니다.
](#cloudtrail-additional-cli-commands-add-tag)
+ [

## 하나 이상의 추적에 대한 태그를 나열합니다.
](#cloudtrail-additional-cli-commands-list-tags)
+ [

## 추적에서 하나 이상의 태그를 제거합니다.
](#cloudtrail-additional-cli-commands-remove-tag)
+ [

## 추적 설정 및 추적 상태 검색
](#cloudtrail-additional-cli-commands-retrieve)
+ [

## CloudTrail Insights 이벤트 선택기 구성
](#configuring-insights-selector)
+ [

## 고급 이벤트 선택기 구성
](#configuring-adv-event-selector-examples)
+ [

## 기본 이벤트 선택기 구성
](#configuring-event-selector-examples)
+ [

## 추적에 대한 로깅 중단 및 시작
](#cloudtrail-start-stop-logging-cli-commands)
+ [

## 추적 삭제
](#cloudtrail-delete-trail-cli)

## 추적에 태그를 한 개 이상 추가합니다.
<a name="cloudtrail-additional-cli-commands-add-tag"></a>

기존 추적에 하나 이상의 태그를 추가하려면 **add-tags** 명령을 실행합니다.

다음 예제에서는 미국 동부(오하이오) 리전에서 이름이 *Owner*이고 값이 *Mary*인 태그를 ARN이 *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*my-trail**인 추적에 추가합니다.

```
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
```

성공한 경우 이 명령은 아무 것도 반환하지 않습니다.

## 하나 이상의 추적에 대한 태그를 나열합니다.
<a name="cloudtrail-additional-cli-commands-list-tags"></a>

하나 이상의 기존 추적과 연결된 태그를 보려면 **list-tags** 명령을 사용합니다.

다음 예제에서는 *Trail1* 및 *Trail2*에 대한 태그를 나열합니다.

```
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
```

이 명령이 성공하면 다음과 비슷한 출력이 반환됩니다.

```
{
 "ResourceTagList": [
     {
         "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1",
         "TagsList": [
             {
                 "Value": "Alice",
                 "Key": "Name"
             },
             {
                 "Value": "Ohio",
                 "Key": "Location"
             }
         ]
     },
     {
         "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2",
         "TagsList": [
             {
                 "Value": "Bob",
                 "Key": "Name"
             }
         ]
     }
  ]
}
```

## 추적에서 하나 이상의 태그를 제거합니다.
<a name="cloudtrail-additional-cli-commands-remove-tag"></a>

기존 추적에서 하나 이상의 태그를 제거하려면 **remove-tags** 명령을 실행합니다.

다음 예제에서는 미국 동부(오하이오) 리전에서 ARN이 *arn:aws:cloudtrail:*us-east-2*:*123456789012*:trail/*Trail1**인 추적에서 이름이 *Location* 및 *Name*인 태그를 제거합니다.

```
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
```

성공한 경우 이 명령은 아무 것도 반환하지 않습니다.

## 추적 설정 및 추적 상태 검색
<a name="cloudtrail-additional-cli-commands-retrieve"></a>

`describe-trails` 명령을 실행하여 AWS 리전의 추적에 대한 정보를 검색합니다. 다음 예는 미국 동부(오하이오) 리전에서 구성된 추적에 대한 정보를 반환합니다.

```
aws cloudtrail describe-trails --region us-east-2
```

이 명령이 성공하면 다음과 비슷한 출력이 표시됩니다.

```
{
  "trailList": [
    {
      "Name": "my-trail",
      "S3BucketName": "amzn-s3-demo-bucket1",
      "S3KeyPrefix": "my-prefix",
      "IncludeGlobalServiceEvents": true,
      "IsMultiRegionTrail": true,
      "HomeRegion": "us-east-2"
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": false,
      "SnsTopicName": "my-topic",
      "IsOrganizationTrail": false,
    },
    {
      "Name": "my-special-trail",
      "S3BucketName": "amzn-s3-demo-bucket2",
      "S3KeyPrefix": "example-prefix",
      "IncludeGlobalServiceEvents": false,
      "IsMultiRegionTrail": false,
      "HomeRegion": "us-east-2",
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": true,
      "IsOrganizationTrail": false
    },
    {
      "Name": "my-org-trail",
      "S3BucketName": "amzn-s3-demo-bucket3",
      "S3KeyPrefix": "my-prefix",
      "IncludeGlobalServiceEvents": true,
      "IsMultiRegionTrail": true,
      "HomeRegion": "us-east-1"
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": false,
      "SnsTopicName": "my-topic",
      "IsOrganizationTrail": true
    }
  ]
}
```

`get-trail` 명령을 실행하여 특정 추적에 대한 설정 정보를 검색합니다. 다음 예에서는 이름이 *my-rail*인 추적에 대한 설정 정보를 반환합니다.

```
aws cloudtrail get-trail - -name my-trail
```

이 명령이 성공하면 다음과 비슷한 출력이 반환됩니다.

```
{
   "Trail": {
      "Name": "my-trail",
      "S3BucketName": "amzn-s3-demo-bucket",
      "S3KeyPrefix": "my-prefix",
      "IncludeGlobalServiceEvents": true,
      "IsMultiRegionTrail": true,
      "HomeRegion": "us-east-2"
      "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",
      "LogFileValidationEnabled": false,
      "HasCustomEventSelectors": false,
      "SnsTopicName": "my-topic",
      "IsOrganizationTrail": false,
   }
}
```

`get-trail-status` 명령을 실행하여 추적의 상태를 검색합니다. 이 명령을 생성한 AWS 리전(홈 리전)에서 실행하거나 **--region** 파라미터를 추가하여 해당 리전을 지정해야 합니다.

**참고**  
추적이 조직 추적이고에 있는 조직의 멤버 계정인 경우 이름뿐만 아니라 해당 추적의 전체 ARN을 제공해야 AWS Organizations합니다.

```
aws cloudtrail get-trail-status --name my-trail
```

이 명령이 성공하면 다음과 비슷한 출력이 표시됩니다.

```
{
    "LatestDeliveryTime": 1441139757.497,
    "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z",
    "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z",
    "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
    "IsLogging": true,
    "TimeLoggingStarted": "2015-09-01T00:54:02Z",
    "StartLoggingTime": 1441068842.76,
    "LatestDigestDeliveryTime": 1441140723.629,
    "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z",
    "TimeLoggingStopped": ""
}
```

위의 JSON 코드에 표시된 필드 외에도 Amazon SNS 또는 Amazon S3 오류가 있는 경우 상태에 다음 필드가 포함됩니다.
+ `LatestNotificationError`. 주제 구독에 실패할 경우 Amazon SNS에서 내보낸 오류를 포함합니다.
+ `LatestDeliveryError`. CloudTrail이 로그 파일을 버킷에 전달할 수 없다면 Amazon S3에서 내보낸 오류를 포함합니다.

## CloudTrail Insights 이벤트 선택기 구성
<a name="configuring-insights-selector"></a>

**put-insight-selectors**를 실행하고 `ApiCallRateInsight`, `ApiErrorRateInsight` 또는 둘 다를 `InsightType` 속성의 값으로 지정하여 추적에서 Insights 이벤트를 활성화합니다. 트레일에 대한 인사이트 선택기 설정을 보려면 `get-insight-selectors` 명령을 실행합니다. 추적이 생성된 AWS 리전(홈 리전)에서이 명령을 실행하거나 명령에 **--region** 파라미터를 추가하여 해당 리전을 지정해야 합니다.

**참고**  
 `ApiCallRateInsight`에 대한 Insights 이벤트를 로깅하려면, 추적에서 `write` 관리 이벤트를 로깅해야 합니다. `ApiErrorRateInsight`에 대한 Insights 이벤트를 로깅하려면, 추적에서 `read` 또는 `write` 관리 이벤트를 로깅해야 합니다.

### Insights 이벤트를 로그하는 추적 예
<a name="configuring-insights-selector-example"></a>

다음 예제에서는 **put-insight-selectors**을 사용하여 *TrailName3*이라는 트레일에 대한 인사이트 이벤트 선택기를 생성합니다. 이렇게 하면 *TrailName3* 트레일에 대한 인사이트 이벤트 모음을 활성화할 수 있습니다. Insights 이벤트 선택기가 `ApiErrorRateInsight` 및 `ApiCallRateInsight` Insights 이벤트 유형을 모두 로그합니다.

```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```

이 예제에서는 트레일에 대해 구성된 인사이트 이벤트 선택기를 반환합니다.

```
{
   "InsightSelectors":
      [
         {
            "InsightType": "ApiErrorRateInsight"
         },
         {
            "InsightType": "ApiCallRateInsight"
         }
      ],
   "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```

### 예: Insights 이벤트 수집 비활성화
<a name="configuring-insights-selector-example2"></a>

다음 예제에서는 **put-insight-selectors**을 사용하여 *TrailName3*이라는 트레일에 대한 인사이트 이벤트 선택기를 제거합니다. 인사이트 선택기의 JSON 문자열을 지우면 *TrailName3* 트레일에 대한 인사이트 이벤트 모음이 비활성화됩니다.

```
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
```

이 예제에서는 트레일에 대해 구성된 현재 비어 있는 인사이트 이벤트 선택기를 반환합니다.

```
{
   "InsightSelectors": [ ],
   "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"
}
```

## 고급 이벤트 선택기 구성
<a name="configuring-adv-event-selector-examples"></a>

고급 이벤트 선택기를 사용하여 [관리 이벤트](logging-management-events-with-cloudtrail.md), 모든 리소스 유형에 대한 [데이터 이벤트](logging-data-events-with-cloudtrail.md) 및 [네트워크 활동 이벤트](logging-network-events-with-cloudtrail.md)를 로깅할 수 있습니다. 반대로 기본 이벤트 선택기를 사용하여 `AWS::DynamoDB::Table`, `AWS::Lambda::Function` 및 `AWS::S3::Object` 리소스 유형에 대한 관리 이벤트 및 데이터 이벤트를 로깅할 수 있습니다. 고급 이벤트 선택기 또는 기본 이벤트 선택기 중 하나를 사용할 수 있습니다(둘 다는 안 됨). 기본 이벤트 선택기를 사용하는 추적에 고급 이벤트 선택기를 적용하면 기본 이벤트 선택기를 덮어씁니다.

추적을 고급 이벤트 선택기로 변환하려면 **get-event-selectors** 명령을 실행하여 현재 이벤트 선택기를 확인하고, 이전 이벤트 선택기의 적용 범위와 일치하도록 고급 이벤트 선택기를 구성한 다음, 추가 선택기를 추가합니다.

 AWS 리전 추적이 생성된 (홈 리전)에서 `get-event-selectors` 명령을 실행하거나 **--region** 파라미터를 추가하여 해당 리전을 지정해야 합니다.

```
aws cloudtrail get-event-selectors --trail-name TrailName
```

**참고**  
추적이 조직 추적이고 조직의 멤버 계정으로 로그인한 경우 이름뿐만 아니라 추적의 전체 ARN을 제공해야 AWS Organizations합니다.

다음 예제는 고급 이벤트 선택기를 사용하여 관리 이벤트를 로깅하는 추적의 설정을 보여줍니다. 기본적으로 추적은 모든 관리 이벤트를 로깅하고 데이터 이벤트 또는 네트워크 활동 이벤트는 로깅하지 않도록 구성됩니다.

```
{
    "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/management-events-trail",
    "AdvancedEventSelectors": [
        {
            "Name": "Management events selector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]

        }
    ]
}
```

고급 이벤트 선택기를 생성하려면 `put-event-selectors` 명령을 실행합니다. 계정에서 이벤트가 발생하면 CloudTrail은 추적 구성을 평가합니다. 이벤트가 추적에 대한 고급 이벤트 선택기와 일치하는 경우 추적은 이벤트를 처리하고 로그합니다. 추적의 모든 고급 이벤트 선택기에 대해 지정된 모든 값을 포함하여 추적에서 조건을 최대 500개까지 구성할 수 있습니다. 자세한 내용은 [데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md) 및 [네트워크 활동 이벤트 로깅](logging-network-events-with-cloudtrail.md) 섹션을 참조하세요.

**Topics**
+ [

### 특정 고급 이벤트 선택기가 있는 추적 예
](#configuring-adv-event-selector-specific)
+ [

### 사용자 지정 고급 이벤트 선택기를 사용하여 AWS Outposts 데이터 이벤트에 Amazon S3를 로깅하는 추적 예제
](#configuring-adv-event-selector-outposts)
+ [

### 고급 이벤트 선택기를 사용하여 AWS Key Management Service 이벤트를 제외하는 추적 예제
](#configuring-adv-event-selector-exclude)
+ [

### 고급 이벤트 선택기를 사용하여 Amazon RDS 데이터 API 관리 이벤트를 제외하는 추적 예제
](#configuring-adv-event-selector-exclude-rds)

### 특정 고급 이벤트 선택기가 있는 추적 예
<a name="configuring-adv-event-selector-specific"></a>

다음 예제에서는 *TrailName*이라는 추적에 대한 사용자 지정 고급 이벤트 선택기를 생성하여 읽기 및 쓰기 관리 이벤트(`readOnly`선택기 생략), 라는 버킷을 제외한 모든 Amazon S3 버킷/접두사 조합에 대한 `PutObject` `DeleteObject` 데이터 이벤트`amzn-s3-demo-bucket`, 이라는 AWS Lambda 함수에 대한 데이터 이벤트`MyLambdaFunction`, VPC 엔드포인트를 통한 AWS KMS 액세스 거부 이벤트에 대한 네트워크 활동 이벤트를 포함합니다. 이들은 사용자 지정 고급 이벤트 선택기이므로 각 선택기 세트에는 설명적인 이름이 있습니다. 후행 슬래시는 S3 버킷에 대한 ARN 값의 일부라는 점에 유의합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  },
  {
     "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
     "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["NetworkActivity"]},
       { "Field": "eventSource", "Equals": ["kms.amazonaws.com"]},
       { "Field": "errorCode", "Equals": ["VpceAccessDenied"]}
     ]
  }
]'
```

이 예에서는 추적에 대해 구성된 고급 이벤트 선택기를 반환합니다.

```
{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type",
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN",
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
    {
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type",
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName",
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN",
          "Equals": [ "arn:aws:lambda:us-east-2:123456789012:function/MyLambdaFunction" ]
        }
      ]
    },
    {
       "Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
       "FieldSelectors": [
         {
           "Field": "eventCategory",
           "Equals": ["NetworkActivity"]
         },
         {
           "Field": "eventSource",
           "Equals": ["kms.amazonaws.com"]
         },
         {
           "Field": "errorCode",
           "Equals": ["VpceAccessDenied"]
         }
       ]
     }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

### 사용자 지정 고급 이벤트 선택기를 사용하여 AWS Outposts 데이터 이벤트에 Amazon S3를 로깅하는 추적 예제
<a name="configuring-adv-event-selector-outposts"></a>

다음 예제에서는 Outpost에 있는 AWS Outposts 객체의 모든 Amazon S3에 대한 모든 데이터 이벤트를 포함하도록 추적을 구성하는 방법을 보여줍니다. 이 릴리스에서 `resources.type` 필드의 AWS Outposts 이벤트에 대해 지원되는 S3 값은 입니다`AWS::S3Outposts::Object`.

```
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'
```

이 명령은 다음 출력 예를 반환합니다.

```
{
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
  "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"
}
```

### 고급 이벤트 선택기를 사용하여 AWS Key Management Service 이벤트를 제외하는 추적 예제
<a name="configuring-adv-event-selector-exclude"></a>

다음 예제에서는 *TrailName*이라는 추적에 대한 고급 이벤트 선택기를 생성하여 읽기 전용 및 쓰기 전용 관리 이벤트( 선택기 생략`readOnly`)를 포함하지만 제외 AWS Key Management Service (AWS KMS) 이벤트는 포함합니다. AWS KMS 이벤트는 관리 이벤트로 취급되며 대량의 이벤트가 있을 수 있으므로 관리 이벤트를 캡처하는 추적이 두 개 이상 있는 경우 CloudTrail 청구서에 상당한 영향을 미칠 수 있습니다.

관리 이벤트를 로깅하지 않도록 선택하면 AWS KMS 이벤트가 로깅되지 않으며 AWS KMS 이벤트 로깅 설정을 변경할 수 없습니다.

추적에 AWS KMS 이벤트 로깅을 다시 시작하려면 `eventSource` 선택기를 제거하고 명령을 다시 실행합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except KMS events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] }
    ]
  }
]'
```

이 예에서는 추적에 대해 구성된 고급 이벤트 선택기를 반환합니다.

```
{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except KMS events",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource",
          "NotEquals": [ "kms.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

제외된 이벤트를 추적에 다시 로그하려면 다음 명령과 같이 `eventSource` 선택기를 제거합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'
```

### 고급 이벤트 선택기를 사용하여 Amazon RDS 데이터 API 관리 이벤트를 제외하는 추적 예제
<a name="configuring-adv-event-selector-exclude-rds"></a>

다음 예제에서는 *TrailName*이라는 추적이 읽기 전용 및 쓰기 전용 관리 이벤트를 포함하되(`readOnly` 선택기 생략) Amazon RDS 데이터 API 관리 이벤트는 제외하도록 고급 이벤트 선택기를 생성합니다. Amazon RDS 데이터 API 관리 이벤트를 제외하려면 `eventSource` 필드의 문자열 값에 Amazon RDS 데이터 API 이벤트 소스(`rdsdata.amazonaws.com`)를 지정합니다.

관리 이벤트를 로깅하지 않도록 선택하는 경우 Amazon RDS 데이터 API 관리 이벤트가 로깅되지 않으며, Amazon RDS 데이터 API 이벤트 로깅 설정을 변경할 수 없습니다.

Amazon RDS 데이터 API 관리 이벤트를 추적에 다시 로깅하려면 `eventSource` 선택기를 제거하고 명령을 다시 실행합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events except Amazon RDS Data API management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] },
      { "Field": "eventSource", "NotEquals": ["rdsdata.amazonaws.com"] }
    ]
  }
]'
```

이 예에서는 추적에 대해 구성된 고급 이벤트 선택기를 반환합니다.

```
{
  "AdvancedEventSelectors": [
    {
      "Name": "Log all management events except Amazon RDS Data API management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory",
          "Equals": [ "Management" ]
        },
        {
          "Field": "eventSource",
          "NotEquals": [ "rdsdata.amazonaws.com" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

제외된 이벤트를 추적에 다시 로그하려면 다음 명령과 같이 `eventSource` 선택기를 제거합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName \
--advanced-event-selectors '
[
  {
    "Name": "Log all management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  }
]'
```

## 기본 이벤트 선택기 구성
<a name="configuring-event-selector-examples"></a>

기본 이벤트 선택기만 사용하여 `AWS::DynamoDB::Table`, `AWS::Lambda::Function` 및 `AWS::S3::Object` 리소스 유형에 대한 관리 이벤트 및 데이터 이벤트를 로깅할 수 있습니다. 고급 이벤트 선택기를 사용하여 관리 이벤트, 모든 데이터 리소스 유형 및 네트워크 활동 이벤트를 로깅할 수 있습니다.

고급 이벤트 선택기 또는 기본 이벤트 선택기 중 하나를 사용할 수 있습니다(둘 다는 안 됨). 고급 이벤트 선택기를 사용하는 추적에 기본 이벤트 선택기를 적용하면 고급 이벤트 선택기를 덮어씁니다.

추적에 대한 이벤트 선택기 설정을 보려면 `get-event-selectors` 명령을 실행합니다. AWS 리전 생성된 (홈 리전)에서이 명령을 실행하거나 **--region** 파라미터를 사용하여 해당 리전을 지정해야 합니다.

```
aws cloudtrail get-event-selectors --trail-name TrailName
```

**참고**  
추적이 조직 추적이고에 있는 조직의 멤버 계정인 경우 이름뿐만 아니라 해당 추적의 전체 ARN을 제공해야 AWS Organizations합니다.

다음 예제는 기본 이벤트 선택기를 사용하여 관리 이벤트를 로깅하는 추적의 설정을 보여줍니다.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

이벤트 선택기를 생성하려면 `put-event-selectors` 명령을 실행합니다. 추적에 Insights 이벤트를 로그하려면 이벤트 선택기에서 추적을 구성하려는 Insights 유형의 로깅을 활성화해야 합니다. Insights 이벤트에 대한 자세한 내용은 [CloudTrail Insights를 사용한 작업](logging-insights-events-with-cloudtrail.md) 섹션을 참조하세요.

계정에서 이벤트가 발생하면 CloudTrail은 추적 구성을 평가합니다. 이벤트가 추적에 대한 이벤트 선택기와 일치하는 경우 추적은 이벤트를 처리하고 로깅합니다. 최대 5개의 이벤트 선택기와 최대 250개의 데이터 리소스를 추적 대상으로 구성할 수 있습니다. 자세한 내용은 [데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md) 단원을 참조하세요.

**Topics**
+ [

### 특정 이벤트 선택기가 있는 추적 예
](#configuring-event-selector-example1)
+ [

### 모든 관리 및 데이터 이벤트를 로그하는 추적 예
](#configuring-event-selector-example2)
+ [

### AWS Key Management Service 이벤트를 로깅하지 않는 추적의 예
](#configuring-event-selector-example-kms)
+ [

### 관련 소량 AWS Key Management Service 이벤트를 로깅하는 추적의 예
](#configuring-event-selector-log-kms)
+ [

### Amazon RDS Data API 이벤트를 로그하지 않는 추적 예
](#configuring-event-selector-example-rds)

### 특정 이벤트 선택기가 있는 추적 예
<a name="configuring-event-selector-example1"></a>

다음 예제에서는 *TrailName*이라는 추적에 대한 이벤트 선택기를 생성하여 읽기 전용 및 쓰기 전용 관리 이벤트, 두 Amazon S3 버킷/접두사 조합에 대한 데이터 이벤트, *hello-world-python-function*이라는 단일 AWS Lambda 함수에 대한 데이터 이벤트를 포함합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket/prefix","arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
```

다음 예제에서는 추적에 대해 구성된 이벤트 선택기를 반환합니다.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2"
                    ],
                    "Type": "AWS::S3::Object"
                },
                {
                    "Values": [
                        "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function"
                    ],
                    "Type": "AWS::Lambda::Function"
                },
            ],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

### 모든 관리 및 데이터 이벤트를 로그하는 추적 예
<a name="configuring-event-selector-example2"></a>

다음 예제에서는 읽기 전용 및 쓰기 전용 관리 이벤트를 비롯한 모든 관리 이벤트와 AWS 계정계정의 모든 Amazon S3 버킷, AWS Lambda 함수 및 Amazon DynamoDB 테이블에 대한 데이터 이벤트를 포함하는 *TrailName2*라는 추적의 이벤트 선택기를 생성합니다. 이 예제에서는 기본 이벤트 선택기를 사용하기 때문에의 S3 이벤트 AWS Outposts, Ethereum 노드의 Amazon Managed Blockchain JSON-RPC 호출 또는 기타 고급 이벤트 선택기 리소스 유형에 대한 로깅을 구성할 수 없습니다. 기본 이벤트 선택기를 사용하여 네트워크 활동 이벤트를 로깅할 수도 없습니다. 다른 모든 리소스 유형에 대한 네트워크 활동 이벤트 및 데이터 이벤트를 로깅하려면 고급 이벤트 선택기를 사용해야 합니다. 자세한 내용은 [고급 이벤트 선택기 구성](#configuring-adv-event-selector-examples) 단원을 참조하십시오.

**참고**  
추적이 하나의 리전에만 적용되는 경우 이벤트 선택기 파라미터를 사용하여 모든 Amazon S3 버킷과 Lambda 함수를 지정하더라도 해당 리전의 이벤트만 로그됩니다. 이벤트 선택기는 추적이 생성된 리전에만 적용됩니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]},{"Type": "AWS::DynamoDB::Table","Values": ["arn:aws:dynamodb"]}]}]'
```

다음 예제에서는 추적에 대해 구성된 이벤트 선택기를 반환합니다.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::"
                    ],
                    "Type": "AWS::S3::Object"
                },
                {
                    "Values": [
                        "arn:aws:lambda"
                    ],
                    "Type": "AWS::Lambda::Function"
                },
{
                    "Values": [
                        "arn:aws:dynamodb"
                    ],
                    "Type": "AWS::DynamoDB::Table"
                }
            ],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"
}
```

### AWS Key Management Service 이벤트를 로깅하지 않는 추적의 예
<a name="configuring-event-selector-example-kms"></a>

다음 예제에서는 *TrailName*이라는 추적에 대한 이벤트 선택기를 생성하여 읽기 전용 및 쓰기 전용 관리 이벤트를 포함하지만 AWS Key Management Service (AWS KMS) 이벤트를 제외합니다. AWS KMS 이벤트는 관리 이벤트로 취급되며 대량의 이벤트가 있을 수 있으므로 관리 이벤트를 캡처하는 추적이 두 개 이상 있는 경우 CloudTrail 청구서에 상당한 영향을 미칠 수 있습니다. 이 예제의 사용자는 하나를 제외한 모든 트레일에서 AWS KMS 이벤트를 제외하도록 선택했습니다. 이벤트 소스를 제외하려면 이벤트 선택기에 `ExcludeManagementEventSources`을 추가하고 문자열 값에 이벤트 소스를 지정합니다.

관리 이벤트를 로깅하지 않도록 선택하면 AWS KMS 이벤트가 로깅되지 않으며 AWS KMS 이벤트 로깅 설정을 변경할 수 없습니다.

추적에 AWS KMS 이벤트 로깅을 다시 시작하려면 빈 배열을 값으로 전달합니다`ExcludeManagementEventSources`.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
```

다음 예제에서는 트레일에 대해 구성된 이벤트 선택기를 반환합니다.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [ "kms.amazonaws.com" ],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

추적에 AWS KMS 이벤트 로깅을 다시 시작하려면 다음 명령과 `ExcludeManagementEventSources`같이 빈 배열을 값으로 전달합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```

### 관련 소량 AWS Key Management Service 이벤트를 로깅하는 추적의 예
<a name="configuring-event-selector-log-kms"></a>

다음 예제에서는 쓰기 전용 관리 이벤트 및 AWS KMS 이벤트를 포함하도록 *TrailName*이라는 추적에 대한 이벤트 선택기를 생성합니다. AWS KMS 이벤트는 관리 이벤트로 취급되며 대량의 이벤트가 있을 수 있으므로 관리 이벤트를 캡처하는 추적이 두 개 이상 있는 경우 CloudTrail 청구서에 상당한 영향을 미칠 수 있습니다. 이 예제의 사용자는 `Disable`, `Delete` 및를 포함하지만 더 이상 `ScheduleKey`, `Encrypt` `Decrypt`및와 같은 대용량 작업을 포함하지 않는 AWS KMS **쓰기** 이벤트를 포함하도록 선택했습니다`GenerateDataKey`(이는 이제 **읽기** 이벤트로 처리됨).

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```

다음 예제에서는 트레일에 대해 구성된 이벤트 선택기를 반환합니다. 이 로그는 이벤트를 포함한 쓰기 전용 관리 AWS KMS 이벤트를 기록합니다.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "WriteOnly"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

### Amazon RDS Data API 이벤트를 로그하지 않는 추적 예
<a name="configuring-event-selector-example-rds"></a>

다음 예에서는 *TrailName*이라는 추적이 읽기 전용 및 쓰기 전용 관리 이벤트를 포함하되 Amazon RDS Data API 이벤트는 제외하도록 이벤트 선택기를 생성합니다. Amazon RDS Data API 이벤트는 관리 이벤트로 취급되며 대량의 이벤트가 발생할 수 있으므로 관리 이벤트를 캡처하는 추적이 두 개 이상 있는 경우 CloudTrail 비용에 상당한 영향을 줄 수 있습니다. 이 예의 사용자는 하나를 제외한 모든 추적에서 Amazon RDS Data API 이벤트를 제외하도록 선택했습니다. 이벤트 소스를 제외하려면 이벤트 선택기에 `ExcludeManagementEventSources`를 추가하고 문자열 값에 Amazon RDS Data API 이벤트 소스(`rdsdata.amazonaws.com`)를 지정합니다.

관리 이벤트를 로그하지 않도록 선택하는 경우 Amazon RDS Data API 이벤트가 로그되지 않으며, 이벤트 로깅 설정을 변경할 수 없습니다.

추적에 Amazon RDS 데이터 API 관리 이벤트 로깅을 다시 시작하려면 빈 배열을 `ExcludeManagementEventSources`의 값으로 전달합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["rdsdata.amazonaws.com"],"IncludeManagementEvents": true]}]'
```

다음 예제에서는 트레일에 대해 구성된 이벤트 선택기를 반환합니다.

```
{
    "EventSelectors": [
        {
            "ExcludeManagementEventSources": [ "rdsdata.amazonaws.com" ],
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ],
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}
```

추적에 Amazon RDS 데이터 API 관리 이벤트 로깅을 다시 시작하려면 다음 명령과 같이 빈 배열을 `ExcludeManagementEventSources`의 값으로 전달합니다.

```
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
```

## 추적에 대한 로깅 중단 및 시작
<a name="cloudtrail-start-stop-logging-cli-commands"></a>

다음 명령은 CloudTrail 로깅을 시작 및 중지합니다.

```
aws cloudtrail start-logging --name awscloudtrail-example
```

```
aws cloudtrail stop-logging --name awscloudtrail-example
```

**참고**  
버킷을 삭제하기 전에 `stop-logging` 명령을 실행하여 이벤트가 버킷으로 전송되는 것을 중지합니다. 로깅을 중지하지 않았다면 CloudTrail은 제한된 기간 동안 동일한 이름의 버킷에 로그 파일을 전달하려고 합니다.  
추적 로깅을 중지하거나 추적을 삭제하면 해당 추적에서 CloudTrail Insights가 사용 중지됩니다.

**로깅이 중지된 후 이벤트 전송**  
추적에 대한 로깅을 중지한 후에도 추적은 로깅이 중지되기 전에 발생한 이벤트를 계속 수신할 수 있습니다. 이벤트는 높은 네트워크 트래픽, 연결 문제, 서비스 중단 또는 기존 이벤트 업데이트 등 여러 가지 이유로 지연될 수 있습니다. CloudTrail은 로깅이 중지된 가장 최근 시간을 사용하여 이벤트가 발생한 시점의 추적 로깅 상태가 아닌 지연된 이벤트를 전달할지 여부를 결정합니다. 따라서 로깅이 마지막으로 중지되기 전에 발생한 지연 이벤트는 여전히 추적에 전달될 수 있습니다. 지연된 이벤트 전송에 대한 자세한 내용은의 `addendum` 필드를 참조하세요[관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md).  
또한 이벤트 선택기 및 고급 이벤트 선택기는 로깅이 중지된 후 추적으로 전달되는 지연된 이벤트에 대해 평가되지 않습니다. 즉, 추적은 추적의 이벤트 선택기 구성에 관계없이 로깅이 중지되기 전에 발생한 모든 유형의 이벤트를 수신할 수 있습니다.

## 추적 삭제
<a name="cloudtrail-delete-trail-cli"></a>

Amazon Security Lake에서 CloudTrail 관리 이벤트를 활성화한 경우, 여러 지역이고 `read`와 `write` 관리 이벤트를 모두 로깅하는 조직 추적을 하나 이상 유지 관리해야 합니다. 추적이 이 요구 사항을 충족하는 유일한 추적이라면, Security Lake에서 CloudTrail 관리 이벤트를 비활성화하지 않는 한 추적을 삭제할 수 없습니다.

다음 명령을 사용하여 추적을 삭제할 수 있습니다. 추적이 생성된 리전(홈 리전)에서만 추적을 삭제할 수 있습니다.

**중요**  
 CloudTrail 추적을 삭제하는 것은 되돌릴 수 없는 작업이지만 CloudTrail은 해당 추적에 대한 Amazon S3 버킷, Amazon S3 버킷 자체 또는 추적이 이벤트를 전달하는 CloudWatch 로그 그룹의 로그 파일을 삭제하지 않습니다. 다중 리전 추적을 삭제하면에서 활성화된 모든 AWS 리전의 이벤트 로깅이 중지됩니다 AWS 계정. 단일 리전 추적을 삭제하면 해당 리전의 이벤트 로깅만 중지됩니다. 다른 리전의 추적에 삭제된 추적과 동일한 이름이 있더라도 다른 리전의 이벤트 로깅은 중지되지 않습니다.  
CloudTrail 추적의 계정 해지 및 삭제에 대한 자세한 내용은 [AWS 계정 종료 및 추적](cloudtrail-account-closure.md) 섹션을 참조하세요.

```
aws cloudtrail delete-trail --name awscloudtrail-example
```

추적을 삭제할 때 추적과 연결된 Amazon S3 버킷이나 Amazon SNS 주제는 삭제하지 않아야 합니다. AWS Management Console AWS CLI또는 서비스 API를 사용하여 이러한 리소스를 별도로 삭제합니다.

# 여러 추적 생성
<a name="create-multiple-trails"></a>

CloudTrail 로그 파일을 사용하여 AWS 계정의 운영 또는 보안 문제를 해결할 수 있습니다. 고유한 추적을 생성 및 관리할 수 있는 다른 사용자에 대해 추적을 생성할 수 있습니다. 별도의 S3 버킷 또는 공유된 S3 버킷으로 로그 파일을 전송하도록 추적을 구성할 수 있습니다.

**참고**  
 AWS 리전 계정의 각에서 관리 이벤트의 첫 번째 사본은 무료입니다. 동일한 관리 이벤트를 다른 대상으로 전달하는 추적을 더 많이 만들면 후속 전달에 CloudTrail 비용이 발생합니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail 추적 비용 관리](cloudtrail-trail-manage-costs.md) 섹션을 참조하세요.

예를 들어, 다음과 같은 사용자가 있을 수 있습니다.
+ 보안 관리자는 유럽(아일랜드) 리전에 추적을 생성하고 KMS 로그 파일 암호화를 구성합니다. 추적은 로그 파일을 유럽(아일랜드) 리전의 S3 버킷으로 전송합니다.
+ IT 감사자는 유럽(아일랜드) 리전에 추적을 생성하고 CloudTrail이 해당 로그 파일을 전송한 후 해당 로그 파일이 변경되지 않았음을 확인하도록 로그 파일 무결성 검증을 구성합니다. 추적은 유럽(프랑크푸르트) 리전의 S3 버킷으로 로그 파일을 전송하도록 구성됩니다.
+ 개발자는 유럽(프랑크푸르트) 리전에 추적을 생성하고 특정 API 활동에 대한 알림을 수신하도록 CloudWatch 경보를 구성합니다. 추적은 로그 파일 무결성에 대해 구성된 추적과 동일한 S3 버킷을 공유합니다.
+ 다른 개발자는 유럽(프랑크푸르트) 리전에 추적을 생성하고 SNS를 구성합니다. 로그 파일은 유럽(프랑크푸르트) 리전에 있는 별도의 S3 버킷으로 전송됩니다.

다음 이미지는 이러한 예를 보여 줍니다.

![\[여러 추적에 대한 로그 파일 제공 예제\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/eu-shared-01.png)


**참고**  
당 최대 5개의 추적을 생성할 수 있습니다 AWS 리전. 다중 리전 추적은 리전당 하나의 추적으로 계산됩니다.

리소스 수준 권한을 사용하여 CloudTrail에서 특정 작업을 수행하는 사용자의 기능을 관리할 수 있습니다.

예를 들어, 한 사용자에게 추적 활동을 볼 수는 있는 권한은 부여하지만 사용자가 추적에 대한 로깅을 시작하거나 중지하는 것은 제한할 수 있습니다. 추적을 생성하고 삭제할 수 있는 다른 모든 사용자 권한을 부여할 수 있습니다. 이렇게 하면 추적 및 사용자 액세스를 세부적으로 제어할 수 있습니다.

리소스 수준 권한에 대한 자세한 내용은 [예: 특정 추적 작업에 대한 정책 생성 및 적용](security_iam_id-based-policy-examples.md#grant-custom-permissions-for-cloudtrail-users-resource-level) 섹션을 참조하십시오.

여러 추적에 대한 자세한 내용은 [CloudTrail FAQ](https://aws.amazon.com/cloudtrail/faqs/)를 참조하세요.