개요

이 실습에서는 Google Cloud 감사 로그를 살펴봅니다. Cloud 감사 로깅은 각 프로젝트, 폴더, 조직에 대해 여러 감사 로그를 유지하며, 이 모든 로그는 '누가 언제 어디서 무엇을 했는지'라는 질문에 답하는 데 도움이 됩니다.

목표

이 실습에서는 다음을 수행하는 방법에 대해 알아봅니다.

• Cloud Storage에서 데이터 액세스 로그 사용 설정
• 관리자 및 데이터 액세스 활동 생성
• 감사 로그 보기

설정 및 요건

각 실습에서는 정해진 기간 동안 새 Google Cloud 프로젝트와 리소스 집합이 무료로 제공됩니다.

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

   • Google Cloud 콘솔 열기 버튼
   • 남은 시간
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

   실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

   {{{user_0.username | "Username"}}}

   실습 세부정보 패널에서도 사용자 이름을 확인할 수 있습니다.

4. 다음을 클릭합니다.

5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

   {{{user_0.password | "Password"}}}

   실습 세부정보 패널에서도 비밀번호를 확인할 수 있습니다.

6. 다음을 클릭합니다.

   중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

   • 이용약관에 동의합니다.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
   • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스 목록이 있는 메뉴를 보려면 왼쪽 상단의 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다.

초기 로그인 단계를 완료하면 프로젝트 대시보드가 표시됩니다.

Google Cloud Shell 활성화하기

Google Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다.

Google Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Cloud 콘솔의 오른쪽 상단 툴바에서 'Cloud Shell 열기' 버튼을 클릭합니다.

   

2. 계속을 클릭합니다.

환경을 프로비저닝하고 연결하는 데 몇 분 정도 소요됩니다. 연결되면 사용자가 미리 인증되어 프로젝트가 PROJECT_ID로 설정됩니다. 예:

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

• 다음 명령어를 사용하여 사용 중인 계정 이름을 나열할 수 있습니다.

gcloud auth list

출력:

Credentialed accounts: - @.com (active)

출력 예시:

Credentialed accounts: - google1623327_student@qwiklabs.net

• 다음 명령어를 사용하여 프로젝트 ID를 나열할 수 있습니다.

gcloud config list project

출력:

[core] project =

출력 예시:

[core] project = qwiklabs-gcp-44776a13dea667a6 참고: gcloud 전체 문서는 gcloud CLI 개요 가이드를 참조하세요.

작업 1. Cloud Storage에서 데이터 액세스 로그 사용 설정

이 작업에서는 Cloud Storage에서 데이터 액세스 로그를 사용 설정하여 사용자 제공 데이터와 메타데이터 및 구성 정보를 읽거나 쓰는 작업을 추적합니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 IAM 및 관리자 > 감사 로그를 클릭합니다.

2. 스크롤하거나 Filter를 사용하여 Google Cloud Storage를 찾은 후 옆에 있는 체크박스를 선택합니다. 그러면 LOG TYPES에 대한 옵션이 있는 Info Panel이 표시됩니다.

데이터 액세스 감사 로그는 다음과 같이 여러 범주로 나뉩니다.

• 관리자 읽기: 메타데이터 또는 구성 정보를 읽는 작업을 기록합니다. 관리자 활동 감사 로그는 메타데이터와 구성 정보의 쓰기를 기록합니다. 이 로그는 사용 중지할 수 없습니다.
• 데이터 읽기: 사용자 제공 데이터를 읽는 작업을 기록합니다.
• 데이터 쓰기: 사용자 제공 데이터를 쓰는 작업을 기록합니다.

3. 관리자 읽기, 데이터 읽기, 데이터 쓰기를 선택한 후 저장을 클릭합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Cloud Storage에서 데이터 액세스 로그 사용 설정

작업 2. 관리자 및 데이터 액세스 활동 생성

이 작업에서는 스토리지 버킷을 만들어 관리자 및 데이터 액세스 활동을 생성합니다. 그런 다음 파일을 업로드하고, 네트워크와 VM을 만들고, 스토리지 버킷을 삭제합니다.

1. Cloud Shell 터미널을 열거나 Cloud Shell 터미널로 전환합니다.

2. gcloud storage를 사용하여 프로젝트와 동일한 이름의 Cloud Storage 버킷을 만듭니다. 메시지가 표시되면 승인을 클릭합니다.

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID

3. 버킷이 성공적으로 생성되었는지 확인합니다.

gcloud storage ls

4. 간단한 'Hello World' 유형의 텍스트 파일을 만들고 버킷에 업로드합니다.

echo "Hello World!" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

5. 파일이 버킷에 있는지 확인합니다.

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

6. mynetwork라는 새 자동 모드 네트워크를 만든 후 새 가상 머신을 만들어 새 네트워크에 배치합니다.

gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --zone={{{project_0.default_zone|Zone}}} --network=mynetwork \ --machine-type=e2-medium

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 버킷, 네트워크, 가상 머신 인스턴스 생성 확인

7. 스토리지 버킷을 삭제합니다.

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

작업 3. 감사 로그 보기

이 작업에서는 로그 탐색기에서 관리자 활동 및 데이터 액세스 감사 로그를 모두 보고 탐색하면서 버킷 삭제 및 데이터 액세스 작업과 같은 로깅된 이벤트의 세부정보를 검토합니다. 그런 다음 Cloud SDK를 사용하여 데이터 액세스 로그를 읽습니다.

관리자 활동 로그에는 API 호출 관련 로그 항목이나 리소스의 구성 또는 메타데이터를 수정하는 다른 관리 작업이 포함됩니다. 예를 들어 이 로그에서는 VM 인스턴스와 App Engine 애플리케이션이 생성된 시기 또는 권한이 변경된 시기를 기록합니다. 로그를 보려면 Cloud Identity and Access Management 역할인 Logging/로그 뷰어 또는 프로젝트/뷰어가 있어야 합니다.

관리자 활동 로그는 항상 사용 설정되어 있으므로 사용 설정할 필요가 없습니다. 관리자 활동 감사 로그에는 요금이 부과되지 않습니다.

1. Google Cloud 콘솔의 탐색 메뉴()에서 모든 제품 보기 > 모니터링 가능성 > Logging을 클릭합니다.

2. 로그 탐색기에서 쿼리 표시를 사용 설정하고 쿼리 상자의 내용을 삭제합니다.

3. 모든 로그 이름 드롭다운을 클릭하고 필터를 사용하여 Cloud 감사 섹션에서 활동 로그를 찾은 후 쿼리에 적용합니다.

4. 쿼리 실행 버튼을 누른 후 Log fields 탐색기를 사용하여 GCS 버킷 항목을 필터링합니다.

5. Cloud Storage가 삭제된 시점의 로그 항목을 찾습니다.

6. 삭제 항목을 펼친 후 protoPayload > authenticationInfo 필드를 자세히 살펴보고 이 작업을 수행한 사용자의 이메일 주소가 표시되는지 확인합니다.

   항목의 다른 필드도 자유롭게 살펴보세요. 또한 쿼리에 포함/제외를 추가하기 위해 클릭할 수 있는 값이 얼마나 되는지 확인하세요.

7. 기존 쿼리를 삭제하고 모든 로그 이름을 사용하여 data_access 로그를 봅니다.

이제 어떤 작업을 볼 수 있나요?

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 감사 로그 보기

Cloud SDK 사용

로그 항목은 Cloud SDK 명령어를 사용해 읽을 수도 있습니다.

예:

gcloud logging read [FILTER]

1. Cloud Shell 터미널로 전환하거나 다시 엽니다.

2. 명령줄을 사용하여 동일한 데이터 액세스 로그를 보려면 다음을 실행하면 됩니다.

gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"

수고하셨습니다

이 연습에서는 Google Cloud의 감사 로그를 살펴보고 사용해 봤습니다. 이제 누가, 언제, 무엇을 했는지 더 정확하게 파악할 수 있습니다. 수고하셨습니다.

실습 종료하기

실습을 완료하면 실습 종료를 클릭합니다. Google Skills에서 사용된 리소스를 자동으로 삭제하고 계정을 지웁니다.

실습 경험을 평가할 수 있습니다. 해당하는 별표 수를 선택하고 의견을 입력한 후 제출을 클릭합니다.

별점의 의미는 다음과 같습니다.

• 별표 1개 = 매우 불만족
• 별표 2개 = 불만족
• 별표 3개 = 중간
• 별표 4개 = 만족
• 별표 5개 = 매우 만족

의견을 제공하고 싶지 않다면 대화상자를 닫으면 됩니다.

의견이나 제안 또는 수정할 사항이 있다면 지원 탭을 사용하세요.

Copyright 2026 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.