Q: 특정 리소스가 갑자기 삭제되거나 변경되었습니다. 변경 이력(누가/언제)은 어디서 보나요?
상세 설명: GCP는 Cloud Audit Logs를 통해 리소스의 생성, 업데이트, 삭제 내역을 기록합니다. 특히 '관리자 활동(Admin Activity)' 로그는 API 호출 및 메타데이터 변경을 기록하며, 이를 통해 "누가, 언제, 무엇을" 변경했는지 정확히 추적할 수 있습니다.
1. 로그 확인 방법 (로그 탐색기)
- Google Cloud Console에서 [Logging] > [로그 탐색기]로 이동합니다.
- [쿼리 편집기] 에 아래 예시 쿼리를 입력하고 [쿼리 실행] 을 클릭합니다.
2. 검색 쿼리 예시
- [옵션 A] 모든 관리자 활동 로그 조회
프로젝트 내에서 발생한 모든 관리자(사용자)의 리소스 변경 작업을 조회합니다.
logName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
- [옵션 B] 시스템 이벤트 로그 조회
Google 시스템이 수행한 작업(예: 인스턴스 선점, 실시간 마이그레이션 등)을 조회합니다.
logName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event"
- [옵션 C] 특정 리소스(VM) 삭제 이력 조회
VM 인스턴스가 삭제된 기록만 필터링하는 공식 예제 쿼리입니다.
resource.type="gce_instance" AND
protoPayload.methodName="v1.compute.instances.delete"
3. 로그 결과 해석 (핵심 필드)
검색 결과(JSON)에서 protoPayload 항목을 펼쳐 다음 필드를 확인합니다.
- protoPayload.authenticationInfo.principalEmail: 작업을 요청한 사용자(이메일) 또는 서비스 계정
- protoPayload.methodName: 수행된 작업의 이름 (예: v1.compute.instances.delete)
- protoPayload.resourceName: 영향을 받은 리소스의 전체 경로
- timestamp: 작업이 수행된 시간
관련 공식 문서:
[+] Cloud Audit Logs 개요
[+] 로그 탐색기를 사용한 로그 보기
로그 탐색기를 사용하여 로그 보기 | Cloud Logging
댓글
댓글 0개
댓글을 남기려면 로그인하세요.