[AWS] 모니터링

CloudTrail, CloudWatch, AWS Config는 AWS 리소스, 애플리케이션 상태, 성능, 보안 수준을 관리하기 위한 모니터링 서비스이다.

• 성능 모니터링: 리소스 스케일업, 스케일 아웃 필요 유무, 사용량 급증 시간대 등을 판단할 수 있다.
• 애플리케이션 문제점 감지: 로그를 통해 잠재적 문제점을 파악할 수 있으며 데이터 오류, 타임아웃, 기타 이슈 해결 등 큰 사태를 미연에 방지할 수 있다.
• 보안 문제점 감시: 사용자가 어떤 영역에 접근하는지, 접근 내역 감사를 통해 보안 위험을 조기에 차단할 수 있다.
• 로그 이벤트: AWS 리소스 관련 모든 로그는 남게되며 보안, 문제 해결 등에서 사용할 수 있다. 상세한 기록은 문제 상황의 원인, 결과, 범위 파악에 큰 도움이 된다.
• AWS 리소스 인벤토리 관리: 기존 리소스 내역을 파악하고, 환경 설정의 관계를 파악함으로써, 리소스의 환경 변화에 따른 문제 예측에 도움이 된다. 리소스 환경설정 내역을 모니터링 할 수 있다.

CloudTrail: AWS 리소스 관련 모든 읽기, 쓰기 작업에 대한 상세 로그를 기록한다. 해당 리소스에 누가 언제 어떤 IP로 접근했는지 파악이 가능하다.

CloudWatch: AWS, 온프레미스 서버 등 비-AWS 리소스로부터 숫자형 성능 지표, 매트릭스를 수집한다. 수집된 로그 파일은 검색하기 쉽게 관리되며 매트릭스 지정 범위, 병목 구간을 넘으면 알림을 보내거나 특정 액션을 취할 수 있다. 이벤트 또는 스케쥴 기반으로 자동화 액션 대응이 가능하다.

AWS Config: AWS 리소스 환경설정 변경 내역을 추적하고, 시간에 따라 어떻게 변하는지 파악할 수 있다. 기본 설정 내역 대비, 특정 시점 리소스 환경설정 내역 비교가 가능하며 정의된 기준을 넘은 설정에 대한 경고메시지 전송도 할 수 있다.

CloudTrail

계정에서 발생한 AWS 리소스에 대한 읽기, 쓰기 작업 내역을 기록하며, 사용자가 취한 액션 종류, 영향을 받는 리소스, 리전, 액션을 취한 사용자, 취해진 시기 등에 대한 내역을 기록한다.

API 액션은 물론, 비-API 액션도 기록한다. API 액션으로는 인스턴스 시작, S3 버킷 생성, VPC 생성 등이 있으며 비-API 액션으로는 관리 콘솔 로그인 등이 있다. AWS 관리 콘솔의 액션은 물론 CLI, SDK 타 AWS 서비스의 액션도 모두 포함해 기록한다.

관리 이벤트

관리 이벤트에는 WS 리소스와 관련해 사용자가 실행한 작업, 실행하려고 시도한 모든 작업이 포함된다. 이벤트는 write-only 이벤트, read-only 이벤트로 나뉜다.

• write-only: 리소스를 수정하기 위한 API 작업 ex) 인스턴스 생성
• read-only: 리소스를 읽지만 변경은 하지 않는 API 작업 ex)EC2 인스턴스 목록 가져오기

데이터 이벤트

데이터 작업 유형에 따라 S3 객체 레벨 작업과 Lambda 함수 실행 등 두 가지 타입이 있다.

S3 객체 레벨 작업은 read-only, write-only를 구분한다. S3에서 GetObject는 read-only이고 Push,Delete 등은 write-only이다.

이벤트 히스토리

CloudTrail은 90일간 이벤트를 기록해 히스토리라는 검색, 다운로드가 가능한 DB에 저장한다. 단 데이터 이벤트는 기록되지 않는다.

리전 별로 해당 리전에 대한 이벤트 히스토리를 생성하지만 IAM, CloudFront, Route53 등과 같은 글로벌 서비스에 대해서는 모든 리전에서 해당 이벤트를 찾을 수 있다.

트레일

90일 이상의 이벤트 히스토리를 저장하거나, 로그에서 특정 서비스 또는 액션을 제외시키는 등 커스텀 이벤트 로그 생성은 Trail을 이용한다.

Trail은 CloudTail 로그를 S3 버킷에 전달하는 환경설정 옵션이다. 로그 파일은 JSON 포맷 문서에 하나 이상의 로그 엔트리를 지니며 로그 엔트리는 리소스에 대한 개별 액션 세부 내용을 포함한다.

세부 내용

eventTime: 액션이 행해진 날짜, 시간을 나타내며, UTC로 표기된다. 로그 엔트리는 타임스탬프를 기준으로 정렬되지만 동일한 타임스탬프의 경우 순서가 바뀔수도 있다.

userIdentity: 액션을 요청한 사용자 정보를 제공한다. 사용자 유형(IAM Role or User), 리소스 네임(ARN), IAM 유저 네임을 포함할 수 있다.

eventSource: 액션이 일어난 서비스 엔드포인트 정보를 제공한다.

eventName: API 작업명을 제공한다.

awsRegion: 리소스가 위치한 리전 정보를 제공한다. 글로벌 서비스의 경우 us-east-1이 된다.

sourceIPAddress: 작업 요청자의 IP 주소를 저장한다.

트레일 생성하기

트레일 대상을 모든 리전으로 선택하면 AWS가 추가한 새리전도 자동으로 트레일 대상에 포함된다.

단일 리전에 대해 최대 5개 까지의 트레일 생성이 가능하며 모든 리전에 대한 트레일도 리전별 개수 제한에 포함된다.

트레일을 생헝하면 CloudTrail이 이벤트를 기록하고 S3버킷에 이를 저장하는데에 약 15분의 시간이 소요된다. CloudTrail 이벤트 히스토리에 이벤트가 기록되는 시간도 이와 비슷하다. 최근 이벤트가 아직 보이지 않는다면 잠시 기다리면 된다.

로그 관리 및 데이터 이벤트

트레일 생성 시 관리 이벤트 또는 데이터 이벤트를 로그로 기록할지, 둘 다 로그로 기록할지 선택이 가능하다. 관리 이벤트 로그 기록 시 read-only, write-only 이벤트를 선택하거나 둘 다 가능하다. 이를 통해 read-only,write-only 이벤트를 별도의 트레일에 저장 가능하다.

관리 이벤트 로그 기록

관리 이벤트 로그를 기록하는 경우 자동으로 글로벌 서비스 이벤트도 기록하게 되며, 이 때의 이벤트는 us-east-1에서 발생한 것으로 기록된다. 여러개의 트레일 생성 시 여러 개의 글로벌 이벤트가 기록될 수 있으므로 AWS CLI 명령을 통해 글로벌 이벤트 기록을 막을 수 있다.

또한 개별 리전의 로그만 기록되고록 하여 CloudTrail이 해당 트레일에 대한 글로벌 이벤트 로그를 비활성화시키도록 하는것이다.

마지막으로 AWS CLI에서 트레일 생성시 글로벌 로그 disable 플래그를 넣을수도 있다.

데이터 이벤트 로그 기록

트레일당 Lambda 함수, S3 버킷, 프리픽스를 포함해 최대 250개의 객체를 선택할 수 있다. 250개 이상의 객체 로그를 기록하려면 CloudTrail을 통해 모든 Lambda 함수, 모든 S3 버킷의 로그를 기록하도록 해야한다. 단일 리전 Lambda 이벤트 로그 트레일을 생성하는 경우 해당 리전의 함수에 대한 기록만 남게되며 모든 리전에 대한 트레일 생성 시 모든 리전에서 Lambda 함수 로그가 기록된다.

로그 파일 진실성 검증

CloudTrail은 로그 파일이 변조, 삭제되지 않았음을 보장하는 방법을 제공한다.

해당 옵션을 활성화하면 S3 버킷에 로그 파일이 전송될 때마다 파일의 암호 해시를 연산, 확인한다. 해시는 로그 파일 자체로 파생된 유일한 값이기에 무결성, 온전성, 진실성을 확인할 수 있다.

CloudTrail은 매 시간 로그 파일의 해시를 포함한 다이제스트 파일을 생성해 로그 파일과 동일 위치에 새 폴더를 생성해 저장한다. 또한 리전별 프라이빗 키를 사용해 다이제스트 파일에 암호화 서명을 하며 이때 서명은 파일의 S3 객체 메타데이터에 포함된다.

다이제스트 파일에는 기존 다이제스트 파일의 해시도 저장할 수 있으며, CloudTrail은 기록할 이벤트가 없는 동안에도 다이제스트 파일을 생성하여 아무 이벤트가 없음을 증명한다.

AWS CLI를 이용해 CloudTrail 로그와 다이제스트 파일의 진실성을 검증할 수 있으며, 트레일의 ARN과 시작 시간을 지정하면 범위 내의 모든 로그 파일을 검증한다.

CloudWatch

CloudWaych는 AWS 리소스, 비-AWS 리소스의 성능 지표 또는 매트릭스를 수집, 수정, 시각화 해준다. 모든 AWS 리소스는 자신의 매트릭스를 CloudWatch로 전송한다.

성능 매트릭스로는 EC2 인스턴스의 CPU 활성화, EBS 볼륨의 읽기, 쓰기 IOPS, S3 버킷 용량, DynamoDB의 읽기 쓰기 용량 유닛 등이 있으며 커스텀 매트릭스 전송도 가능하다.

CloudWatch Alarms: 매트릭스 값에 따라 알림 메시지를 전송하거나 특정 액션을 취할 수 있다.

CloudWatch Logs: AWS 리소스 및 비-AWS 리소스의 로그를 수집, 저장, 시각화 하고 검색 기능을 제공한다. 또한 로그에서 애플리케이션 오류 횟수, 웹 서버의 전송 바이트 용량, 커스템 매트릭스를 추출하여 제공할 수 있다.

CloudWatch 매트릭스

CloudWatch는 네임스페이스를 기준으로 매트릭스를 관리한다. 구분을 위해 [AWS]/[service] 형태로 사용되며 EC2 매트릭스의 경우 AWS/EC2이다. 생성된 매트릭스는 해당 리전에서만 제공된다.

하나의 매트릭, 즉 개별 성능 지표는 변수이자 시간순으로 작성된 데이터 포인트의 집합이다. 여기에는 타임스탬프, 관련 값, 측정 단위가 포함된다. 개별 성능 지표는 네임스페이스, 네임, 옵션인 dimension으로 구분될 수 있다. dimension은 비슷한 성능 지표를 구분하기 위해 사용하는 이름/값 쌍이다.

기본 모니터링, 상세 모니터링

기본 모니터링은 5분 주기로 CloudWatch에 성능 지표를 전송하며 대부분의 서비스에서 지원한다.

상세 모니터링의 경우 CloudWatch에 매분마다 성능 지표를 전송한다. EC2, EBS, RDS, DynamoDB, ECS, Lambda 등 70여개의 서비스에서 상세 모니터링을 지원한다. 이 중 EBS의 경우 io1 볼륨의 기본 설정으로 상세 모니터링을 제공한다.

타임스탬프: 일반 해상도 매트릭스 및 고해상도 매트릭스

AWS 서비스가 생성하는 매트릭스는 1분 미만으로 측정되는 타임스탬프 해상도를 지닌다. 이를 일반 해상도 매트릭스라 부르며 EBS의 경우 5분의 타임스탬프 해상도를 지닌다.

커스텀 매트릭스의 경우 1초의 해상도까지 제공할 수 있으며 1분 미만으로 측정되는 성능 지표를 고해상도 매트릭스라 부른다.

커스텀 매트릭스는 PutMetricData API를 이용해 생성할 수 있으며 과거 2주 ~ 미래 2시간 까지의 타임스탬프 해상도 지정이 가능하다. 지정하지 않았을 경우 UTC 단위로 전송되는 성능 지표를 기록한다.

기한 만료 및 삭제

매트릭스는 임의로 삭제할 수 없으며 기간이 만료되면 자동으로 삭제된다. 만료 기한은 해상도에 따라 다르며 시간이 경과함에 따라 고해상도 매트릭스는 차츰 저해상도 매트릭스에 편입된다.

고해상도 매트릭스는 3시간 동안 저장되며, 이후 모든 분 단위 수집 데이터는 1분 해상도의 데이터 포인트에 편입되고, 만료와 동시에 삭제된다.

매트릭스의 그래프 표현

CloudWatch는 데이터 포인트에 대한 통계적 분석을 한 뒤 이를 시계열 그래프로 제공한다. 이를 통해 사용량 급증, 시간 흐름에 따른 리소스 변화를 확인할 수 있다. 제공하는 주요 통계는 아래와 같다.

• Sum: 하나의 단위 기간 동안 모든 데이터 포인트의 합
• Minimum: 하나의 단위 기간 동안 최저 데이터 포인트
• Maximum: 하나의 단위 기간 동안 최대 데이터 포인트
• Average: 하나의 단위 기간 동안 데이터 포인트의 평균
• Sample count: 하나의 단위 기간 동안 데이터 포인트의 수
• Percentile: 특정 백분위의 데이터 포인트. 두 자리 수로 백분위를 표시한다.

매트릭스를 그래프화 하려면 해당 매트릭스, 통계량, 기간을 지정해야한다. 기간은 1초부터 30일까지 설정할 수 있으며 기본값은 60초이다. 데이터 포인트의 통계는 기간 단위로 적용된다.

통계량은 선택하는 성능 지표, 데이터와 관련해 알고자 하는 내용에 따라 달라진다. CPU 활성화율은 퍼센트 단위로 측정된다.

Details 칼럼은 namespace, metric name, metric dimemsion등 성능 지표와 관련된 세부 정보를 보여준다.

매드릭스 연산 및 시각화 도구

CloudWatch는 매트릭스 연산 및 그래프화를 위한 다양한 수학적 함수를 제공한다. 또한 사칙연산 등 산술 함수 외에 아래와 같은 수학식을 제공한다.

• AVG: 평균
• MAX: 최대
• MIN: 최소
• STDDEV: 표준편차
• SUM: 합

통계 함수는 시계열 값이 아닌 스칼라 값을 반환하므로 바로 그래프화 할 수 없으며 METRICS 함수와 결합해 선택한 지표에 대한 시계열 값을 반환하도록 해야한다.

CloudWatch Logs

CloudWatch Logs는 AWS 소스, 비-AWS 소스의 로그를 수집할 수 있으며 커스텀 매트릭스 추출도 가능하다.

로그 스트림과 로그 그룹

CloudWatch Logs는 애플리케이션 또는 AWS 리소스 활동 기록인 로그 이벤트를 저장한다. 또한 로그 스트림에 있는 동일한 소스의 로그 이벤트를 저장한다. 이 때의 소스는 애플리케이션 또는 AWS 리소스가 될 수 있다.

CloudWatch는 여러 개의 로그 스트림을 로그 그룹에 넣어 조직화 할 수 있으며 하나의 로그 스트림은 하나의 로그 그룹에만 존재할 수 있다.

로그 그룹의 유지 기간은 최소 1일에서 10년 또는 무기한으로 설정 가능하다. 아카이브 생성 등 장기 보관이 필요한 경우 S3 버킷으로 로그 그룹을 내보낼 수 있다.

매트릭 필터

로그 스트림에 매트릭 필터를 적용해 데이터를 추출해 CloudWatch 매트릭스 생성에 사용할 수 있다.

매트릭 필터는 로그 그룹에 적용되므로 사용자는 로그 그룹을 생성한 뒤에 매트릭 필터를 생성할 수 있다. 매트릭 필터는 과거 데이터까지 필터링 할 수는 없고 필터 생성 이전 CloudWatch 로그 이벤트는 필터링 데이터를 제공할 수 없다.

CloudWatch Agent

CloudWatch Agent는 EC2 인스턴스, Linux 또는 Windows 기반의 온프레미스 서버의 로그를 수집하는 CLI 기반 프로그램이다.

CloudTail 로그를 CloudWatch 로그에 전송하기

CloudTrail 설정을 통해 트레일 로그를 CloudWatch Logs의 로그 스트림으로 전송할 수 있다.

CloudTrail은 256KB를 초과하는 로그 이벤트를 CloudWatch Logs에 전송할 수 없기에 로그 전송 시 용량 제한에 걸리지 않는지 확인이 필요하다.

CloudWatch Alarms

CloudWatch Alarms는 단일 지표를 모니터링하다 값의 변화가 발생하면 알림, 인스턴스 리부팅, Auto Scaling 액션 등 미리 지정된 동작을 수행한다.

모니터링을 위한 데이터 포인트

몇 분 마다 모니터링 하는지는 설정 가능하며 모니터링 기간은 지표 해상도보다 크거나 같아야한다.

알람 생성 기준치

알람을 울리는 기준이 되는 데이터 포인트의 값을 기준치로 정할 수 있으며, 아래의 두 가지 타입이 있다.

정적 기준치: 특정 값 또는 조건을 이용하여 정적 기준치 정의가 가능하다. 예를들어 CPUUtilization이 50%를 초과할 때마다 알람이 울리도록 설정 가능하다.

이상점 감지: 밴드라고 부르는 일정 값의 범위를 벗어났을 때 알람이 울리도록 해준다.

알람 상태

ALARM: 데이터 포인트가 알람 조건에 부합하고, 기간 기준치를 경과한 경우

OK: 데이터 포인트는 알람 조건에 부합하지 않지만, 기간 기준치를 경과한 경우

INSUFFICIENT_DATA: 알람을 울릴 수 있을 정도의 데이터 포인트를 수집하지 못한 경우

새 알람은 항상 INSUFFICIENT_DATA 에서 시작한다.

알람을 위한 데이터 포인트 및 검증 기간

데이터 포인트는 기준치에 도달했지만 기간이 경과하지 않은 상태에서 알람의 작동 여부를 확인해야 하는 경우가 있을 수 있는데 이 때 데이터 포인트 이상으로 검증 기간을 설정 가능하다.

액션

알람 상태 전환 시 특정 액션을 취하도록 할 수 있으며 ALARM 상태 외에도 액션을 부여할 수 있다. 액션 관련 옵션은 다음과 같다.

• SNS를 이용한 알림: Amazon SNS는 토픽이라 부르는 채널을 사용해 소통하며, 퍼블리셔 또는 발신자가 하나 이상의 구독 개체 또는 수신자에게 알람을 보내도록 토픽 설정이 가능하다. 알람이 호출되면 토픽에 알림 메시지를 전송할 수 있으며, SNS는 토픽 구독 개체에 전달하는 알림 메시지를 관리한다.
• Auto Scaling 액션: Auto Scaling을 사용하는 경우 간단한 Auto Scaling 정책을 생성해 인스턴스를 추가, 삭제할 수 있다.
• EC2 액션: 알람 상태 변경에 따라 EC2 인스턴스의 중지, 폐쇄, 재부팅, 복원 등 액션을 취할 수 있다.

Amazon EventBridge

특정 이벤트 또는 스케쥴을 모니터링 하다가 관련 액션을 취할 수 있다. 예를 들면 실행 중인 인스턴스가 중지 상태가 되는 것이 하나의 이벤트가 될 수 있고, IAM 유저가 콘솔에 로그인 하는 것도 이벤트가 될 수 있다.

EventBridge는 이벤트에 반응하지만 CloudWatch Alarms는 성능 지표에 반응한다는 점에서 차이가 있다.

이벤트 버스

EventBridge는 이벤트 버스를 모니터링 한다. 모든 AWS 계정은 모든 AWS 서비스의 이벤트를 수신하는 하나의 이벤트 버스를 지닌다.

룰과 타겟

EventBridge에서 룰은 이벤트에 반응해 취하게 될 액션을 정의한다. 특정 이벤트가 룰과 일치할 경우 상응하는 액션이 취해진다.

룰을 통해 스케쥴 기반으로 타겟 호출할 수 있으며 매 시간마다 EC2 인스턴스의 EBS 스냅샷을 생성하는 경우 등에 편리하게 이용할 수 있다.

AWS Config

AWS Config는 특정 시간대의 AWS 리소스의 환경설정 내역을 추적한다. AWS Config를 이용해 환경설정과 과거 특정 시점 환경설정을 비교할 수 있다.

또한 하나의 리소스와 다른 리소스 간의 관계를 파악할 수 있으며, 특정 요소의 설정 변경이 다른 요소에 어떤 영향을 미칠지 파악 가능하다.

오직 AWS Config만이 특정 시점의 환경 설정 내역을 통합적으로 관리하며 아래 기능을 제공한다.

• 보안 유지: AWS Config는 리소스 환경설정 변경 시 알림을 제공하며, 잠재적 위험을 경고한다. 어느 유저가 어떤 권한으로 특정 리소스에 접근했는지 확인할 수 있다.
• 감사 보고: 환경설정 스냅샷 리포트를 통해 특정 시간대의 리소스 환경설정 내역을 파악할 수 있다.
• 문제 해결: 문제가 발생할 무렵 해당 리로스의 환경설정 내역을 분석할 수 있으며 이를 통해 잘못된 설정, 리소스의 영향을 파악할 수 있다.
• 변경 관리: 특정 리소스 설정 변경 시 다른 리소스에 어떤 영향을 줄지 예측 가능하다.

환경설정 레코더

기존 리소스 발견, 환경설정 내역 기록, 변경 사항 기록, 시간 흐름에 따른 변경 추적 등의 기능을 수행한다. 기본 적으로 해당 리전 내 모든 아이템을 모니터링하고 IAM과 같은 글로벌 서비스의 리소스도 모니터링 한다. 환경설정 레코더는 리전 당 한 개만 사용 가능하다.

환경설정 아이템

환경설정 레코더는 모니터링 대상 리소스마다 환경설정 아이템을 생성한다. 환경설정 아이템은 특정 시점 리소스 타입, ARN, 생성 시점 등 리소스 설정값을 포함하며, 다른 리소스와의 관계성 정보도 제공한다. 환경설정 아이템은 AWS Config 내에 저장되고 사용자가 직접 삭제할 수 없다.

환경설정 히스토리

환경설정 아이템을 사용해 리소스별로 환경설정 히스토리를 생성한다. 이는 특정 리소스의 시간대별 환경설정 아이템 집합이며, 생성 시기, 시간대별 설정 내역, 삭제 시기 등이 포함되고 CloudTrail의 API 로그 기록도 포함된다.

AWS Config는 리소스 변경 후 6시간마다 지정한 S3 버킷에 환경설정 히스토리를 저장하며 이 떄 S3 버킷을 딜리버리 채널이라 부른다. 환경설정 히스토리 파일은 리소스 타입별로 그룹화된다.

환경설정 스냅샷

환경설정 스냅샷은 특정 시간대의 모든 환경설정 아이템 집합으로 모니터링 대상이 되는 모든 리소스의 환경설정 백업이라 말할 수 있다. 딜리버리 채널에 환경설정 스냅샷을 저장하도록 할 수 있다.

변경사항 모니터링

환경설정 레코더는 리소스의 생성, 변경, 삭제 등 작업이 이뤄질 때마다 최소 하나 이상의 환경설정 아이템을 생성하며, 해당 아이템은 리소스 환경설정 히스토리 및 계정 환경설정 히스토리에 추가된다.

환경설정 아이템을 직접 삭제할 수 는 없지만 보관 기간을 설정할 수 있다.

환경설정 레코더 시작 및 중지

CLI를 통해 환경설정 레코더를 시작하거나 중지할 수 있으며 환경설정 레코더 중지 시 변경 사항은 기록되지 않지만 기존 환경설정 아이템은 유지된다.

소프트웨어 인벤토리 기록

AWS Config는 EC2 인스,턴스 및 온프레미스 서버의 소프트웨어 인벤토리 변경 사항도 기록한다. 주요 소프트웨어 인벤토리는 다음과 같다.

• 애플리케이션
• CLI 및 SDK 등 AWS 컴포넌트
• 운영체제의 이름 및 버전
• IP주소, 게이트웨이, 서브넷 마스크
• 방화벽 환경설정
• Windows 업데이트

AWS Systems Manager를 이용해 서버의 인벤토리 컬렉션 기능을 활성화하여 위 변경 사항을 추적할 수 있다.

최적 기준선을 정의한 커스텀 룰 작성

AWS Config는 리소스의 최적 환경설정 룰, 기준을 정의할 수 있으며 다양한 시나리오를 고려해 사전정의된 커스터마이징 룰 템플릿을 제공한다.

정리

• 리소스에 대한 모니터링이 필요하다면 CloudWatch와 AWs Config부터 설정해야한다.
• CloudTrail은 별도의 설정 작업을 하지 않아도 최근 90일간 이벤트를 추적한다.
• AWS 리소스를 사용하는 초기부터 모니터링 서비스를 적용하는것이 좋다.
• CloudWatch, CloudTrail, AWS Config는 서로 다른 기능을 제공하니 차이점을 이해하고 적합한 서비스를 사용하는 것이 좋다.
• CloudWatch는 성능 지표를 추적하며, 성능 지표에 따라 필요한 액션을 실행 가능하다. 또한 다수의 소스로부터 로그를 수집, 정렬하여 저장, 검색, 추출 등 작업에 활용할 수 있다.
• CloudTrail은 AWS 계정 내에서 보안 및 감사 측면에서 중요한 이벤트를 지속적으로 추적 기록하며 read-only, write-only 이벤트 또는 데이터 이벤트를 선별적으로 기록할 수 있다.
• AWS Config는 리소스에 대한 과거, 현재, 미래의 환경설정 및 리소스 간의 관련성을 기록하며, 특정 리소스의 특정 시점에서의 환경설정 내역을 확인할 수 있고, 사전 정의된 최적의 기준선과 현재의 환경설정 내역을 비교할 수 있도록 돕는다.