감사 로그
Kubernetes 및 OS 수준의 감사 이벤트를 조회하고 분석합니다.
개요
감사 로그(Audit Log) 화면에서는 Kubernetes API 서버와 서버 운영체제에서 발생한 감사 이벤트를 조회할 수 있습니다. 누가, 언제, 어떤 리소스에, 어떤 작업을 수행했는지 추적할 수 있어 보안 감사와 변경 이력 관리에 활용합니다.
감사 로그는 두 종류로 구분됩니다.
- k8s: Kubernetes API 서버가 기록한 이벤트. Pod, Deployment, ConfigMap 등 Kubernetes 리소스에 대한 생성, 수정, 삭제 작업과 액세스 기록을 포함합니다.
- OS: 서버 운영체제에서 기록한 이벤트. 시스템 호출, 사용자 인증, 명령어 실행 등 OS 수준의 활동을 포함합니다.
좌측 사이드바에서 감사 로그 메뉴를 클릭하여 이 화면에 접근합니다.
화면 구성
감사 로그 화면은 좌측 필터 패널과 우측 메인 콘텐츠 영역으로 구성됩니다.
좌측 필터 패널
k8s 이벤트와 OS 이벤트 각각에 대한 세부 필터를 설정할 수 있습니다. 각 필터 섹션은 아코디언 형태로 펼치거나 접을 수 있으며, 패널 상단의 닫기 버튼으로 패널 전체를 숨기면 이벤트 목록을 더 넓게 볼 수 있습니다.
k8s 필터
| 필터 | 설명 |
|---|---|
| 주체 유형(Subject Type) | 이벤트를 발생시킨 주체 유형. User, ServiceAccount, System 중 선택 |
| 네임스페이스(Namespace) | 이벤트가 발생한 Kubernetes 네임스페이스. 복수 선택 가능 |
| 리소스(Resource) | 대상 리소스 종류. pods, deployments, services, secrets, configmaps, nodes, namespaces, persistentvolumeclaims, roles, rolebindings, clusterroles 중 복수 선택 가능 |
| 액션(Action) | 수행된 작업. get, list, watch, create, update, patch, delete, deletecollection 중 복수 선택 가능 |
| 상태 코드(Status Code) | HTTP 응답 코드 범위. 2xx(성공), 4xx(클라이언트 오류), 5xx(서버 오류) 중 선택 |
| RBAC 결정(RBAC Decision) | 권한 검사 결과. 전체 / 허용(Allow) / 거부(Deny) 중 선택 |
참고: k8s 필터에서 값을 선택하면 유형이 자동으로 k8s로 전환됩니다.
OS 필터
| 필터 | 설명 |
|---|---|
| 액션(Action) | OS 이벤트 유형. SYSCALL, EXECVE, USER_AUTH, USER_LOGIN, USER_CMD, SERVICE_START, SERVICE_STOP, NETFILTER_CFG, AVC 중 복수 선택 가능 |
| 호스트(Host) | 이벤트가 발생한 서버 호스트명. 복수 선택 가능 |
| 사용자(User) | 이벤트를 발생시킨 OS 사용자 |
| 실행 파일(Executable) | 이벤트와 관련된 실행 파일 경로. 일부 텍스트로 검색 가능 (예: /usr 또는 docker) |
참고: OS 필터에서 값을 선택하면 유형이 자동으로 OS로 전환됩니다.
참고: 각 필터 섹션 제목 옆에 현재 적용 중인 필터 수가 뱃지로 표시됩니다.
메인 콘텐츠 영역
필터 패널 오른쪽에 검색 바, 조회 옵션 바, 이벤트 추세 차트, 이벤트 목록이 순서대로 표시됩니다.
주요 기능
이벤트 검색 및 조회
- 화면 상단의 메시지 필터 입력창에 검색어를 입력합니다.
- 조회 버튼을 클릭하거나 Enter 키를 누르면 검색이 실행됩니다.
유형 및 결과 필터링
조회 바에서 다음 조건을 조합하여 표시할 이벤트를 좁힐 수 있습니다.
- 유형(Type): 전체 / k8s / OS 중 하나를 선택합니다. k8s 또는 OS를 선택하면 좌측 패널의 해당 세부 필터만 펼쳐집니다.
- 결과(Result): Success, Failure, Info, Unknown 체크박스로 표시할 결과 유형을 선택합니다. 여러 항목을 동시에 선택할 수 있습니다.
- 메인 이벤트만(Main events only): 체크하면 OS 감사 이벤트 중 관련 레코드를 제외한 주요 이벤트만 표시합니다. 기본적으로 활성화되어 있습니다.
팁: 권한 거부 사례를 확인하려면 유형을 k8s로, RBAC 결정을 거부로 설정하세요. 비인가 접근 시도를 빠르게 파악할 수 있습니다.
정렬 및 표시 개수 조정
- 정렬(Sort): 최신순 또는 오래된순으로 정렬합니다.
- 표시 개수(Limit): 한 번에 표시할 최대 이벤트 수를 50 / 100 / 200 / 500 / 1000 중에서 선택합니다.
보기 방식 전환
- 테이블(Table): 시간, 유형, 액션, 사용자, 대상 컬럼으로 이벤트를 표 형식으로 표시합니다. 각 이벤트 행 왼쪽에는 결과에 따른 색상 마커(성공: 녹색, 실패: 빨간색, 정보: 파란색)가 표시됩니다.
- Raw: 이벤트 원본 데이터를 텍스트 형식으로 표시합니다.
감사 이벤트 추세 차트
이벤트 목록 위에 선택된 시간 범위 내의 감사 이벤트 추세가 차트로 표시됩니다. k8s 이벤트와 OS 이벤트는 각각 다른 색상(k8s: 파란색, OS: 주황색)으로 구분됩니다. 특정 시간대에 이벤트가 집중되는 패턴을 한눈에 파악할 수 있습니다.
차트 영역을 드래그하여 특정 시간 구간을 확대(줌인)할 수 있습니다.
이벤트 목록 헤더에는 조회된 전체 이벤트 수와 함께 k8s/OS 분류 건수, Success/Failure 건수가 표시됩니다.
이벤트 상세 확인
이벤트 목록에서 특정 행을 클릭하면 상세 정보 대화상자가 열립니다.
k8s 이벤트 상세 정보:
| 항목 | 설명 |
|---|---|
| 시간(Timestamp) | 이벤트 발생 시각 |
| 사용자(User) | 작업을 수행한 사용자 또는 서비스 계정 |
| 주체 유형(Subject Type) | User, ServiceAccount, System |
| 액션(Action) | 수행된 작업(get, create, delete 등) |
| 네임스페이스(Namespace) | 대상 리소스의 네임스페이스 |
| 리소스(Resource) | 대상 리소스 종류 |
| 리소스 이름(Resource Name) | 대상 리소스의 이름 |
| 상태 코드(Status Code) | HTTP 응답 코드 |
| RBAC 결정(RBAC Decision) | 허용(Allow) 또는 거부(Deny) |
| 소스 IP(Source IP) | 요청을 보낸 IP 주소 |
OS 이벤트 상세 정보:
| 항목 | 설명 |
|---|---|
| 시간(Timestamp) | 이벤트 발생 시각 |
| 호스트(Host) | 이벤트가 발생한 서버명 |
| 사용자(User) | 이벤트를 발생시킨 OS 사용자 |
| UID / AUID | 사용자 ID 및 감사 사용자 ID |
| 액션(Action) | 이벤트 유형(SYSCALL, USER_AUTH 등) |
| 실행 파일(Executable) | 관련 실행 파일 경로 |
| 명령어(Command) | 관련 명령어 |
| PID / PPID | 프로세스 ID 및 부모 프로세스 ID |
상세 대화상자 하단에는 **원본 데이터(Raw Data)**가 JSON 형식으로 표시되어 이벤트의 전체 정보를 확인할 수 있습니다.
OS 이벤트 연관 레코드 확인
OS 이벤트 행에는 확장 버튼이 표시될 수 있습니다. 이 버튼을 클릭하면 해당 이벤트와 연관된 하위 레코드(관련 레코드) 목록이 트리 형태로 펼쳐집니다. 연관 레코드를 통해 하나의 OS 감사 이벤트에 속하는 여러 시스템 호출 기록을 함께 확인할 수 있습니다.
참고: 메인 이벤트만 옵션을 해제하면 연관 레코드가 포함된 전체 OS 이벤트 목록을 볼 수 있습니다.
CogentAI 분석
CogentAI가 활성화된 환경에서는 감사 이벤트를 AI로 분석하여 보안 인사이트를 얻을 수 있습니다.
이벤트 목록에서 분석 요청하기:
- 분석하려는 이벤트 행의 작업 컬럼에서 CogentAI 아이콘(AI 아이콘)을 클릭합니다.
- CogentAI 위젯이 자동으로 열리며 해당 감사 이벤트의 구조화된 정�보와 원본 데이터가 AI에 전달됩니다.
- AI가 감사 이벤트를 보안 관점에서 분석한 결과를 확인합니다.
상세 대화상자에서 분석 요청하기:
- 이벤트 행을 클릭하여 상세 대화상자를 엽니다.
- 요약 정보 아래의 CogentAI 인사이트 버튼을 클릭합니다.
- AI 분석 결과를 확인합니다.
분석 유형별 관점:
- k8s 감사 로그: RBAC(역할 기반 접근 제어) 정책, 비정상 접근 패턴, 권한 상승 시도를 식별하고 보안 강화 권장사항을 제시합니다.
- OS 감사 로그: OS 보안 관점에서 분석하여 의심스러운 시스템 호출, 비인가 프로세스 실행, 파일 시스템 접근 등을 탐지하고 대응 방안을 안내합니다.
팁: CogentAI 위젯에서 후속 질문을 입력하여 특정 보안 이슈에 대한 심화 분석을 요청할 수 있습니다.
이벤트 복사
이벤트 행의 복사 버튼을 클릭하면 해당 이벤트 내용이 클립보드에 복사됩니다. 복사한 내용을 다른 도구에 붙여넣어 추가 분석에 활용할 수 있습니다.
필터 패널 표시/숨기기
- 필터 패널 상단의 필터 숨기기 버튼을 클릭하면 패널이 접힙니다.
- 화면 좌측 가장�자리에 표시되는 필터 아이콘을 클릭하면 패널이 다시 펼쳐집니다.
- 활성화된 필터가 있을 때는 접힌 필터 바에 시각적 표시가 나타납니다.
참고: 필터 패널의 표시 상태는 브라우저에 저장되어 다음 접속 시에도 유지됩니다.
시간 범위 조정
화면 상단의 시간 범위 선택기에서 조회할 시간 범위를 변경하면 해당 기간의 감사 이벤트가 표시됩니다. 특정 사고 발생 시점 전후의 이벤트를 좁혀서 분석할 때 유용합니다.