Amazon CloudWatch에서 로그 또는 로그 그룹을 복원하거나 삭제를 방지하려고 합니다.
간략한 설명
기본적으로 CloudWatch 로그는 무기한으로 저장됩니다. 또한 로그 그룹은 기본적으로 보존 설정에서 NeverExpire를 사용하여 생성됩니다. 로그 데이터를 로그 그룹에 저장하려는 기간에 대한 보존 설정을 구성할 수 있습니다. 새 로그 그룹 보존 설정을 지정하면 새 보존 설정보다 오래된 데이터가 로그 그룹에서 삭제됩니다.
참고: 보존 설정 또는 수동 삭제로 인해 로그가 제거되면 복구할 수 없습니다.
해결 방법
CloudWatch 로그가 실수로 삭제되는 것을 방지하거나 장기 저장 및 백업을 위해 로그를 내보내려면 다음 방법을 완료하십시오.
CloudWatch 로그 그룹에 대한 IAM 권한 수정
CloudWatch 로그가 실수로 삭제되는 것을 방지하려면 AWS Identity and Access Management(IAM) 권한을 수정하십시오. 권한 정책에서 DeleteLogGroup, DeleteLogStream 및 PutRetentionPolicy 파라미터를 **Deny(거부)**로 설정하여 로그 데이터 삭제를 방지합니다.
다음 단계를 완료하십시오.
- IAM 콘솔을 엽니다.
- 탐색 창에서 **Users or Roles(사용자 또는 역할)**를 선택합니다.
- 목록에서 정책을 수정하려는 사용자 또는 역할의 이름을 선택합니다.
- Permissions(권한) 탭을 선택하고 **Add permissions(권한 추가)**를 선택한 다음, **Create inline policy(인라인 정책 생성)**를 선택합니다.
- 다음 정책 문 또는 유사한 내용을 추가합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"logs:PutRetentionPolicy"
],
"Resource": "*"
}
]
}
자세한 내용은 CloudWatch Logs에 자격 증명 기반 정책(IAM 정책) 사용 및 CloudWatch Logs 권한 참조를 참조하십시오.
CloudWatch 로그를 Amazon S3 버킷으로 내보내기
로그 데이터의 장기 저장, 백업 및 사용자 지정 처리와 분석을 위해 CloudWatch 로그를 Amazon S3로 내보냅니다. 또한 이 데이터를 다른 시스템에 로드할 수도 있습니다. 자세한 내용은 Amazon S3로 로그 데이터 내보내기를 참조하십시오.
관련 정보
CloudWatch Logs 기능