Activity Tracker를 사용한 아카이빙 모니터
Activity Tracker 서비스를 통해 IBM Cloud Object Storage(COS)에 데이터를 기록하는 데 사용되는 서비스 ID를 모니터하여 Log Analysis 인스턴스의 아카이빙을 모니터할 수 있습니다.
2024년 3월 28일 현재IBM Log Analysis 그리고IBM Cloud Activity Tracker 서비스는 더 이상 사용되지 않으며 2025년 3월 30일부터 더 이상 지원되지 않습니다. 고객은 2025년 3월 30일 이전에 이 두 서비스를 대체하는 IBM Cloud Logs로 마이그레이션해야 합니다. IBM Cloud Logs에 대한 자세한 내용은 IBM Cloud Logs 문서 에서 확인할 수 있습니다.
전제조건
Activity Tracker 서비스
-
아카이브에 사용하는 COS 버킷에서 이벤트를 수신하는 Activity Tracker 인스턴스가 프로비저닝되어 있어야 합니다. 일반적으로 이 인스턴스는 COS 버킷과 동일한 영역에 있습니다.
-
IBM Cloud Activity Tracker 서비스에 대한 유료 서비스 플랜이 있어야 합니다. 자세히 보기
-
웹 UI를 실행하고 Activity Tracker 인스턴스에서 보기와 경보를 작성할 수 있는 권한이 사용자 ID에 있는지 확인하십시오. 다음 표에는 IBM Cloud Activity Tracker 웹 UI를 실행하고 리소스를 관리하기 위해 사용자가 보유해야 하는 최소한의 역할이 나열되어 있습니다.
| 역할 | 부여되는 권한 |
|---|---|
플랫폼 역할: Viewer |
사용자가 관찰 가능성 대시보드에서 서비스 인스턴스 목록을 볼 수 있도록 허용합니다. |
서비스 역할: standard-user또는 서비스 역할: manager |
사용자가 웹 UI를 실행하고 리소스를 구성할 수 있도록 허용합니다. |
사용자에 맞게 정책을 구성하는 방법에 대한 자세한 정보는 사용자 또는 서비스 ID에 사용자 권한 부여를 참조하십시오.
IBM Cloud Object Storage 서비스
-
Log Analysis 인스턴스의 데이터를 아카이빙 중인 버킷에 대해 데이터 이벤트의 수집을 사용으로 설정해야 합니다. 이벤트가 IBM Cloud Activity Tracker 인스턴스에 저장되었는지 확인하십시오.
버킷으로 오브젝트의 업로드를 모니터하려면
write데이터 이벤트를 사용으로 설정해야 합니다.버킷으로부터 오브젝트의 다운로드를 모니터하려면
read데이터 이벤트를 사용으로 설정해야 합니다. -
버킷 CRN을 볼 수 있는 액세스 권한이 있어야 합니다.
-
Log Analysis에서 아카이빙의 구성에 사용되는 서비스 신임 정보와 연관된 서비스 ID CRN 값을 볼 수 있는 액세스 권한이 있어야 합니다.
아카이빙의 모니터링을 위한 경보 구성
1단계. 서비스 ID 가져오기
Log Analysis에서 아카이빙의 구성에 사용되는 서비스 ID를 가져오려면 다음 단계를 완료하십시오.
-
탐색 메뉴에서 지원 목록 > 스토리지를 선택하십시오.
-
버킷을 사용할 수 있는 IBM Cloud Object Storage 인스턴스를 선택하십시오.
-
서비스 인증 정보를 선택하십시오.
-
아카이브를 구성하는 데 사용한 서비스 ID의 경우 키 이름에 대한 세부사항을 여십시오. 키와 관련된 정보가 표시됩니다.
-
서비스 ID 값을 복사하십시오. 이는 iam_serviceid_crn 필드에 대해 설정된 CRN 값의 마지막 섹션입니다.
예를 들어,
iam_serviceid_crn은 다음과 유사합니다."iam_serviceid_crn": "crn:v1:bluemix:public:iam-identity::a/xxxxxxxxx::serviceid:ServiceId-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx"다음 섹션을 복사해야 합니다.
ServiceId-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx -
버킷을 선택하십시오.
-
아카이브에 사용할 버킷을 선택하십시오.
-
구성 탭을 클릭하십시오.
-
버킷 인스턴스 CRN을 복사하십시오.
-
Activity Tracker 섹션에서 선택한 서비스 인스턴스가 현재 사용 중인 서비스 인스턴스인지 확인하십시오. 또한 데이터 이벤트가 읽기 및 쓰기로 설정되었는지 확인하십시오.
2단계. 해당 서비스 ID의 사용을 보고하는 이벤트를 필터링하기 위한 보기 정의
다음 단계를 완료하여 보기를 정의하십시오.
-
Activity Tracker UI를 실행하십시오. 보기 섹션이 열립니다.
-
모두 보기를 선택하십시오.
-
검색 표시줄에서 다음의 쿼리를 입력하십시오.
initiator.id:iam-ServiceId-<GUID> action:cloud-object-storage.object.create target.id:<BUCKET-CRN><GUID>를 이전에 복사한 서비스 ID의 ID 값으로 대체하십시오.<BUCKET-CRN>을(를) 버킷 구성 페이지에서 찾은 버킷의 CRN 값으로 바꾸십시오. -
보기를 저장하십시오. 예를 들어, 프랑크푸르트에 있는 IBM Log Analysis 인스턴스에서 버킷으로의 아카이브 파일을 표시하도록
Upload Frankfurt보기 이름을 지정할 수 있습니다.보기를 통해 표시되는 데이터는 아카이브 버킷으로 아카이브 파일의 쓰기 조치를 보고합니다.
3단계. 새 아카이브 파일이 없음을 알리는 경보를 정의합니다.
다음 단계를 완료하여 아카이빙이 발생하지 않을 경우 사용자에게 알리는 부재 경보를 정의할 수 있습니다.
-
보기 이름을 선택하십시오.
-
경고 첨부를 선택하십시오. 다음 페이지가 열립니다.
-
보기 특정 경보를 선택하십시오.
-
알림 채널을 선택하십시오.
-
부재 경보를 구성하십시오.
아카이빙은 시간별로 구성됩니다. 일별로 아카이빙을 모니터링하려면 24시간 동안의 부재 경보 구성을 고려하십시오.
경보의 구성 방법에 대한 자세한 내용은 경보 작성을 참조하십시오.
버킷에 대한 비인가된 액세스를 감지하기 위한 경보 구성
참고로, 버킷이 계정에서 상세 버킷 이벤트를 수집할 수 있으려면 읽기 및 쓰기 데이터 이벤트를 사용으로 설정해야 합니다. 각 버킷에 대해 데이터 이벤트를 사용할 수 있습니다.
버킷에 대한 비인가된 액세스를 보고하는 요청을 모니터해야 합니다. 예를 들어, 비인가된 사용자 또는 서비스가 데이터의 업로드 또는 다운로드를 위해 버킷에 대한 액세스를 시도하거나 서비스 ID 권한의 변경 또는 서비스 ID의 삭제 시에 유효하지 않은 신임정보 등 이러한 유형의 상황이 발생할 수 있는 다양한 이유들이 있습니다.
이 경보를 구성하려면, 버킷에 대한 비인가된 액세스를 모니터할 수 있도록 다음의 쿼리를 사용하여 보기를 작성해야 합니다.
target.id:<BUCKET-CRN> reason.reasonCode:403
<BUCKET-CRN>을 버킷 구성 페이지에서 가져올 수 있는 버킷의 CRN 값으로 대체하십시오.
그리고 이러한 이벤트 유형의 수신을 시작하는 즉시 알림을 받을 수 있도록 존재 경보를 작성해야 합니다. 경보의 구성 방법에 대한 자세한 내용은 경보 작성을 참조하십시오.
아카이빙을 모니터하기 위한 대시보드 구성
다음 단계를 완료하여 대시보드를 정의할 수 있습니다.
-
Activity Tracker UI를 실행하십시오. 보기 섹션이 열립니다.
-
보드 아이콘
을 선택하십시오. -
새 보드를 선택하십시오.
-
그래프 추가를 선택하십시오.
-
그래프 필드 섹션에서 모든 라인을 선택하십시오.
-
고급 필터링을 선택하고 다음의 쿼리를 추가하십시오.
initiator.id:iam-ServiceId-<GUID> action:cloud-object-storage.object.create target.id:<BUCKET-CRN><GUID>를 이전에 복사한 서비스 ID의 ID 값으로 대체하십시오.<BUCKET-CRN>을 버킷 구성 페이지에서 가져올 수 있는 버킷의 CRN 값으로 대체하십시오.
-
그래프 추가를 선택하십시오. 구성에서 지정한 버킷의 계정에서 아카이빙 활동을 모니터할 수 있는 다음의 대시보드가 작성됩니다.
