GitLab Dedicated는 인스턴스의 애플리케이션 로그를 자동으로 프라이빗 Amazon S3 버킷에 전달합니다. 이러한 로그는 모니터링, 문제 해결 및 규정 준수 목적을 위한 인프라 및 애플리케이션 데이터를 포함합니다.

S3 버킷에는 다음과 같은 특성의 로그가 저장됩니다:

• GitLab이 관리하는 AWS KMS 키를 사용하여 무기한으로 저장 및 암호화됩니다.
• YYYY/MM/DD/HH 형식으로 날짜별로 구성됩니다.
• Amazon Kinesis Data Firehose를 사용하여 실시간으로 스트리밍됩니다.

자체 암호화 키를 사용하는 경우, 애플리케이션 로그는 제공된 키가 아닌 GitLab 관리 키를 사용합니다.

애플리케이션 로그 액세스 보기 및 관리#

애플리케이션 로그에 대한 읽기 전용 액세스 권한이 있는 AWS IAM 사용자 및 역할을 추가, 편집 또는 제거할 수 있습니다.

애플리케이션 로그에 액세스하여 다음 작업을 수행할 수 있습니다:

• GitLab Dedicated 인스턴스를 모니터링하고 문제를 해결합니다.
• 자동화된 로그 처리 및 모니터링 시스템을 구성합니다.
• S3 버킷에서 로그를 검색하는 도구를 설정합니다.
• 규정 준수 보고를 위한 감사 추적을 보관합니다.

필수 조건:

• 액세스가 필요한 각 AWS 사용자 또는 역할의 전체 ARN 경로가 있어야 합니다.

로그 액세스를 관리하려면:

1. Switchboard에 로그인합니다.

2. 페이지 상단에서 Configuration을 선택합니다.

3. Resource access를 확장합니다.

4. Application logs에서 Log access ARNs 섹션에서:

   • 액세스를 추가하려면: Add ARN을 선택하고 전체 ARN 경로를 입력한 다음 Save를 선택합니다. 예를 들면:
     • 사용자: arn:aws:iam::123456789012:user/username
     • 역할: arn:aws:iam::123456789012:role/rolename
   • 액세스를 편집하려면: ARN 옆에서 연필 아이콘(✏️)을 선택하고 ARN을 업데이트한 다음 Save를 선택합니다.
   • 액세스를 제거하려면: ARN 옆에서 휴지통 아이콘([remove])을 선택한 다음 Delete를 선택합니다.

5. Logs S3 bucket name을 복사합니다. 승인된 사용자 또는 역할은 이 버킷 이름을 사용하여 로그에 액세스합니다.

ARN 권한을 구성하고 사용자에게 버킷 이름을 제공한 후, 해당 사용자는 S3 버킷의 모든 객체에 액세스할 수 있습니다. 액세스를 확인하려면 AWS CLI를 사용합니다.

AWS에서 S3 버킷에 액세스하는 방법에 대한 자세한 내용은 Amazon S3 버킷 액세스를 참조하세요.

S3 이벤트 알림 활성화#

GitLab Dedicated 로깅 버킷에서 S3 이벤트 알림을 활성화하여 보안 모니터링 시스템과 통합할 수 있습니다. 로그 파일이 생성될 때 알림이 전송됩니다.

S3 이벤트 알림은 다음으로 알림을 보낼 수 있습니다:

• Amazon Simple Queue Service(SQS) 큐
• Amazon Simple Notification Service(SNS) 토픽

대상 리소스는 GitLab Dedicated 인스턴스와 동일한 리전에 있어야 합니다.

S3 이벤트 알림을 활성화하려면:

1. 지원 티켓을 생성합니다.
2. 지원 요청에 다음을 포함합니다:
   • 기본 리전, 보조 리전 또는 둘 다에 대해 알림을 구성할지 여부.
   • 알림에 SQS 또는 SNS를 사용할지 여부.
   • SQS 큐 또는 SNS 토픽의 ARN.
3. GitLab 지원팀이 필요한 IAM 정책을 제공하면 SQS 큐 또는 SNS 토픽에 연결합니다.

그런 다음 GitLab 지원팀이 S3 로그 버킷에서 S3 이벤트 알림 구성을 완료합니다.