Audit log 로 사용자의 Activity 를 모니터링하기
- Kwang Seob Jeong
- 정광섭
Atlassian Cloud 를 사용할 경우 관리자는 “감사 로그(Audit log)” 메뉴에서 주요 이벤트(사용자 추가/권한 부여등)니 사용자의 행동(view page, edit issue)을 모니터링할 수 있습니다.
감사 로그에 대한 FAQ 는 여기에서 볼 수 있습니다.
감사 로그 확인하기
감사 로그를 확인하려면 관리자 권한이 필요합니다.
관리자 콘솔(admin.atlassian.com)에 접속해서 보안(Security) → 감사 로그(Audit log) 메뉴를 클릭합니다.
우측의 감사 로그 메뉴에서 검색 조건(사용자, 그룹, 사이트, 기간, etc)을 설정하고 Apply 를 클릭합니다.
페이지 보기, 편집, Jira 이슈 등록같은 사용자의 행위(user activity)를 확인하려면 Enterprise plan 구독이 필요합니다.
REST API 사용 감사 로그 확인하기
현재 REST API 사용 내역을 추적할 수 있는 기능은 제공되지 않고 있으며 Cloud Roadmap 에 포함되어 있습니다. (23년에 출시 예정)
해당 로드맵은 https://www.atlassian.com/software/access/guide/api-token-controls#why-use-api-token-controls 에서 확인할 수 있습니다.
CASB(Cloud Access Security Broker) 연동 지원
모든 사용자 행위를 직접 관리자 콘솔에서 확인하는 것은 불편하고 데이터가 많을 경우 적절하지 않은 방법입니다.
Atlassian 은 McAfee MVISOIN 을 CASB 로 지원하므로 해당 제품을 사용한다면 MVISION 을 연결해서 중앙해서 관리할 수 있습니다. 자세한 내용은 아래의 문서를 참고하세요.
REST API 로 사용자 activity 다운로드 받기
감사 로그는 최대 180일만 저장되므로 export the audit 기능을 사용해서 정기적으로 백업해 두는 게 좋습니다.
또는 REST API 를 사용해서 User activity 를 내려 받을수 있으며 이 기능을 활용하면 Splunk 등 내부에서 사용하는 별도의 SIEM(Security Information and Event Management) 으로 데이터를 Import 해서 처리할 수 있습니다.
curl --request GET \
--url 'https://api.atlassian.com/admin/v1/orgs/{orgId}/events' \
--header 'Authorization: Bearer <access_token>' \
--header 'Accept: application/json'관리자용 REST API 에 대한 자세한 내용은 아래 문서를 참고하세요
Admin API Key 발급
admin.atlassian.com 에 접속한후에 설정(Settings) → API 키(API key) 메뉴를 클릭합니다.
상단의 “API 키 만들기(Create an API key)” 를 클릭합니다.
구분을 위해 API 키 이름을 입력하고 만료 날자를 설정합니다.
조직 ID(Organization ID) 와 API 키를 복사해 둡니다. 이 페이지를 닫으면 다시는 볼수 없는 것을 주의하세요.
복사해 둔 API 키로 REST API 를 실행해서 정상 동작여부를 확인합니다.
REST API 호출 예제
command line 에서 다음 curl 명령으로 API 의 동작 여부를 확인할 수 있습니다. {orgId} 와 <access_token> 은 위에서 복사해둔 조직ID 와 API key 를 사용하면 됩니다.
curl --request GET \
--url 'https://api.atlassian.com/admin/v1/orgs/{orgId}/events' \
--header 'Authorization: Bearer <access_token>' \
--header 'Accept: application/json'