감사 로그
KIWI에서 시스템 감사 로그를 조회하고 분석하는 방법을 안내합니다.
감사 로그가 왜 필요한가요?
감사 로그는 시스템에서 발생한 모든 활동의 기록입니다. 보안 감사, 문제 해결, 규정 준수에 필수적입니다.
- 보안 침해 발생: 감사 로그 없이는 누가 무엇을 했는지 알 수 없지만, 사용 시 침입 경로와 영향 범위를 파악할 수 있습니다.
- 장애 원인 분석: 감사 로그 없이는 추측에 의존해야 하지만, 사용 시 정확한 변경 이력을 추적할 수 있습니다.
- 규정 감사: 감사 로그 없이는 증빙 자료가 없지만, 사용 시 모든 활동 기록으로 감사를 통과할 수 있습니다.
- 권한 오용 탐지: 감사 로그 없이는 발견이 불가능하지만, 사용 시 비정상적인 활동 패턴을 탐지할 수 있습니다.
많은 보안 규정(ISO 27001, SOC 2, GDPR 등)에서 감사 로그 유지를 요구합니다. 적절한 로그 보관 정책은 규정 준수의 핵심입니다.
감사 로그 유형
KIWI는 다음 유형의 활동을 기록합니다:
- 인증: 로그인/로그아웃, 인증 성공/실패를 기록합니다. 무차별 대입 공격 탐지에 활용됩니다.
- 권한: 권한 부여/제거, 역할 변경을 기록합니다. 권한 상승 시도 모니터링에 활용됩니다.
- 리소스: 서비스/클러스터 생성/수정/삭제를 기록합니다. 설정 변경 추적에 활용됩니다.
- 배포: 빌드 시작, 배포 완료/실패를 기록합니다. 배포 이력 관리에 활용됩니다.
- 시스템: 설정 변경, 백업 실행을 기록합니다. 시스템 변경 감사에 활용됩니다.
감사 로그 조회하기
시스템에서 발생한 활동 기록을 확인하는 방법입니다.
필요 권한: audit 권한
Step 1: 감사 로그 페이지 이동
좌측 메뉴에서 **[감사 로그]**를 클릭합니다.
Step 2: 기본 로그 목록 확인
감사 로그 테이블에서 최근 로그 목록을 확인합니다. 각 로그에는 다음 정보가 표시됩니다:
- 시간: 이벤트가 발생한 시간입니다.
- 사용자: 작업을 수행한 사용자입니다.
- 유형: 이벤트 유형입니다. (인증, 권한, 리소스, 배포, 시스템)
- 동작: 수행한 작업입니다. (생성, 수정, 삭제 등)
- 대상: 작업 대상 리소스입니다.
- 결과: 성공 또는 실패입니다.
Step 3: 로그 상세 보기
로그 항목을 클릭하면 상세 정보를 확인할 수 있습니다:
- 요청 IP 주소
- 요청 상세 내용
- 변경 전/후 데이터
- 관련 리소스 링크
로그 필터링하기
특정 조건의 로그만 조회하는 방법입니다.
Step 1: 필터 패널 열기
필터 버튼을 클릭하여 필터 패널을 엽니다.
Step 2: 기간 필터 설정
조회 기간을 선택합니다:
- 오늘: 오늘 발생한 로그만 표시합니다.
- 최근 7일: 최근 1주일간의 로그를 표시합니다.
- 최근 30일: 최근 1개월간의 로그를 표시합니다.
- 사용자 지정: 시작일과 종료일을 직접 입력합니다.
Step 3: 유형 필터 설정
이벤트 유형을 선택합니다: 인증, 권한, 리소스, 배포, 시스템 중 원하는 유형을 선택합니다.
Step 4: 사용자 필터 설정
특정 사용자의 활동만 보려면 사용자를 선택합니다.
Step 5: 결과 필터 설정
결과 상태를 선택합니다:
- 전체: 모든 결과를 표시합니다.
- 성공: 성공한 작업만 표시합니다.
- 실패: 실패한 작업만 표시합니다.
Step 6: 필터 적용
적용 버튼을 클릭합니다. 필터 조건에 맞는 로그만 표시됩니다.
로그 검색하기
특정 키워드로 로그를 검색하는 방법입니다.
Step 1: 검색창 사용
검색창에 검색어를 입력합니다. 다음 항목에서 검색됩니다:
- 사용자 이름/이메일
- 리소스 이름
- IP 주소
- 동작 설명
Step 2: 검색 실행
Enter 키를 누르거나 검색 버튼을 클릭합니다. 검색어가 포함된 로그가 표시됩니다.
Step 3: 고급 검색 (선택사항)
고급 검색 버튼을 클릭하면 필드별 검색이 가능합니다:
user:admin@company.com- 특정 사용자의 활동 검색action:delete- 삭제 작업 검색resource:my-service- 특정 리소스 관련 검색ip:192.168.1.100- 특정 IP에서의 활동 검색
로그 내보내기
감사 로그를 파일로 내보내는 방법입니다.
Step 1: 내보낼 로그 선택
내보내기 방법을 선택합니다:
- 현재 필터 결과: 현재 표시된 로그를 내보냅니다.
- 선택한 항목: 체크박스로 선택한 로그만 내보냅니다.
- 전체: 전체 로그를 내보냅니다.
Step 2: 내보내기 버튼 클릭
내보내기 버튼을 클릭합니다.
Step 3: 내보내기 형식 선택
형식을 선택합니다:
- CSV: 스프레드시트에서 분석하기 좋습니다.
- JSON: 프로그램에서 처리하기 좋습니다.
- PDF: 보고서나 문서화에 적합합니다.
Step 4: 내보내기 옵션 설정
옵션을 설정합니다:
- 포함 필드: 내보낼 컬럼을 선택합니다.
- 날짜 형식: 날짜 표시 형식을 선택합니다.
- 인코딩: 파일 인코딩을 선택합니다. (UTF-8 권장)
Step 5: 내보내기 실행
내보내기 버튼을 클릭합니다. 파일이 다운로드됩니다.
보안 이벤트 모니터링
의심스러운 활동을 모니터링하는 방법입니다.
Step 1: 보안 이벤트 필터 적용
다음 조건으로 필터링합니다:
- 유형: 인증
- 결과: 실패
Step 2: 로그인 실패 패턴 확인
다음 패턴에 주의하세요:
- 동일 IP에서 다수 실패: 무차별 대입 공격 가능성이 있습니다.
- 동일 계정으로 다수 실패: 계정 탈취 시도 가능성이 있습니다.
- 비정상 시간대 접근: 권한 없는 접근 가능성이 있습니다.
Step 3: 권한 변경 이력 확인
유형 필터를 "권한"으로 변경하여 비정상적인 권한 변경이 있는지 확인합니다.
Step 4: 알림 설정 (선택사항)
특정 이벤트 발생 시 알림을 받도록 설정합니다:
- 5분 내 로그인 실패 5회 이상
- 관리자 권한 변경
- 대량 데이터 삭제
로그 보관 정책 설정
감사 로그 보관 기간을 설정하는 방법입니다.
필요 권한: Admin 역할
Step 1: 시스템 설정 이동
시스템 설정 → 감사 로그 설정으로 이동합니다.
Step 2: 보관 정책 설정
보관 기간을 설정합니다:
- 기본 보관 기간: 일반 로그 보관 기간입니다. (권장: 90일)
- 보안 로그 보관: 인증/권한 로그 보관 기간입니다. (권장: 365일)
- 아카이브 설정: 장기 보관 여부를 설정합니다.
Step 3: 자동 삭제 설정
삭제 정책을 설정합니다:
- 자동 삭제: 보관 기간이 초과된 로그를 자동으로 삭제합니다.
- 아카이브 후 삭제: 아카이브에 저장한 후 삭제합니다.
- 수동 삭제: 관리자가 직접 관리합니다.
Step 4: 저장
저장 버튼을 클릭합니다. 설정 적용 완료 메시지가 나타납니다.
자주 묻는 질문
특정 사용자의 활동만 보고 싶습니다
다음 방법 중 하나를 사용하세요:
- 사용자 필터: 필터 패널에서 원하는 사용자를 선택합니다.
- 고급 검색: 검색창에
user:이메일주소를 입력하여 검색합니다. - 결과 정렬: 사용자 컬럼을 클릭하여 정렬합니다.
로그가 너무 많아 찾기 어렵습니다
- 기간 좁히기: 문제가 발생한 시간대로 범위 제한
- 유형 선택: 관련 이벤트 유형만 필터링
- 결과 필터: 실패한 작업만 보기
- 고급 검색:
action:delete resource:my-service처럼 조합 검색
오래된 로그가 보이지 않습니다
보관 정책을 확인하세요. 보관 기간이 지난 로그는 자동 삭제되었을 수 있습니다. 아카이브가 설정되어 있다면 아카이브 스토리지에서 확인 가능합니다.
로그 내보내기가 안 됩니다
원인 및 해결 방법:
- 권한 부족:
audit권한이 있는지 확인하세요. - 데이터 크기 초과: 기간을 나누어 여러 번 내보내세요.
- 브라우저 문제: 다른 브라우저로 시도하거나 팝업 차단을 해제하세요.