Cloud 감사 로그 이벤트 수신

이 튜토리얼에서는 Cloud 감사 로그를 사용하여 Cloud Storage에서 이벤트를 수신하는 인증된 Cloud Run 서비스를 배포하는 방법을 보여줍니다. 이 튜토리얼을 사용하여 프로덕션 워크로드를 배포합니다. Eventarc 트리거에서 Cloud 감사 로그 항목을 기준으로 이벤트를 필터링합니다. 자세한 내용은 Cloud 감사 로그의 이벤트 필터 확인을 참조하세요.

Google Cloud 콘솔 또는 Google Cloud CLI를 사용하여 이 튜토리얼을 완료할 수 있습니다.

목표

이 튜토리얼에서는 다음 단계를 진행합니다.

이벤트 소스로 사용할 Cloud Storage 버킷을 만듭니다.
Cloud Run에 이벤트 수신자 서비스를 배포합니다.
Eventarc 트리거를 만듭니다.
Cloud Storage 버킷에 파일을 업로드하여 이벤트를 생성하고 Cloud Run 로그에서 확인합니다.

비용

이 문서에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud구성요소를 사용합니다.

프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용합니다.

Google Cloud 신규 사용자는 무료 체험판을 사용할 수 있습니다.

시작하기 전에

조직에서 정의한 보안 제약조건으로 인해 다음 단계를 완료하지 못할 수 있습니다. 문제 해결 정보는 제한된 Google Cloud 환경에서 애플리케이션 개발을 참조하세요.

프로젝트 생성자에게는 기본 소유자 역할(roles/owner)이 부여됩니다. 기본적으로 Identity and Access Management(IAM) 역할에는 대부분의 Google Cloud 리소스에 대한 전체 액세스에 필요한 권한이 포함되며, 이 단계를 건너뛸 수 있습니다.

프로젝트 생성자가 아니면 프로젝트에서 적합한 주 구성원에 대해 필수 권한을 부여해야 합니다. 예를 들어 주 구성원은 Google 계정(최종 사용자)이거나 서비스 계정(애플리케이션 및 컴퓨팅 워크로드)일 수 있습니다. 자세한 내용은 이벤트 대상의 역할 및 권한 페이지를 참조하세요.

기본적으로 Cloud Build 권한에는 Artifact Registry 아티팩트를 업로드 및 다운로드할 수 있는 권한이 포함됩니다.

필수 권한

튜토리얼을 완료하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

Cloud Build 편집자(roles/cloudbuild.builds.editor)
Cloud Run 관리자(roles/run.admin)
Eventarc 관리자(roles/eventarc.admin)
로그 뷰 접근자 (roles/logging.viewAccessor)
프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin)
서비스 계정 관리자(roles/iam.serviceAccountAdmin)
서비스 계정 사용자(roles/iam.serviceAccountUser)
서비스 사용량 관리자(roles/serviceusage.serviceUsageAdmin)
스토리지 관리자(roles/storage.admin)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

Google Cloud 콘솔 또는 gcloud CLI를 사용하여 다음 단계를 완료합니다.

Console

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs.

Enable the APIs

감사 로그에 기록되는 데이터 액세스를 구성하려면 Google Cloud Storage에 대해 관리자 읽기, 데이터 읽기, 데이터 쓰기 로그 유형을 사용 설정합니다.
감사 로그로 이동
Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.

서비스 계정으로 이동
서비스 계정 만들기를 클릭합니다.
Google Cloud 콘솔에 표시할 서비스 계정 이름을 입력합니다.

Google Cloud 콘솔에서 이 이름을 기반으로 서비스 계정 ID가 생성됩니다. 필요한 경우 ID를 수정합니다. 나중에 이 ID를 변경할 수 없습니다.
선택사항: 서비스 계정에 대한 설명을 입력합니다.
지금 액세스 제어를 설정하지 않으려면 완료를 클릭하여 서비스 계정 만들기를 완료합니다.

액세스 제어를 지금 설정하려면 만들고 계속하기를 클릭하고 다음 단계로 진행합니다.
프로젝트에서 Eventarc 트리거와 연결된 서비스 계정에 대해 부여할 Cloud Run 호출자 및 Eventarc 이벤트 수신자 역할을 선택합니다.
이렇게 하면 테스트 목적으로 프로젝트에서 모든 Cloud Run 서비스 및 작업에 대해 Cloud Run 호출자 역할이 부여되지만, 사용자가 서비스에 역할을 부여할 수 있습니다. 자세한 내용은 Cloud Run 서비스 권한 부여를 참조하세요.

Cloud Run 호출자 역할을 부여하지 않고 인증된 Cloud Run 서비스에 대한 트리거를 만들어도 트리거가 성공적으로 생성되며 활성화됩니다. 하지만 트리거가 예상한 대로 작동하지 않고 다음과 비슷한 메시지가 로그에 표시됩니다.
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header.
역할을 추가했으면 계속 및 완료를 클릭하여 서비스 계정 만들기를 마칩니다.

gcloud

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs:

gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com 
      logging.googleapis.com  pubsub.googleapis.com  run.googleapis.com 
      storage.googleapis.com  and eventarc.googleapis.com

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Verify that billing is enabled for your Google Cloud project.

Enable the Artifact Registry, Cloud Build, Logging, Pub/Sub, Cloud Run, Cloud Storage, and Eventarc APIs:

gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com 
      logging.googleapis.com  pubsub.googleapis.com  run.googleapis.com 
      storage.googleapis.com  and eventarc.googleapis.com

gcloud 구성요소를 업데이트합니다.
```
gcloud components update
```
계정을 사용하여 로그인합니다.
```
gcloud auth login
```

이 튜토리얼에서 사용되는 구성 변수를 설정합니다.

export REGION=us-central1
gcloud config set run/region ${REGION}
gcloud config set run/platform managed
gcloud config set eventarc/location ${REGION}
export SERVICE_NAME=helloworld-events

감사 로그에 기록되는 데이터 액세스를 구성하려면 storage.googleapis.com 서비스에 대해 ADMIN_READ, DATA_READ, DATA_WRITE 로그 유형을 사용 설정합니다.
1. 프로젝트의 IAM 정책을 읽고 파일에 저장합니다.
```
gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
```
2. /tmp/policy.yaml에서 정책을 수정하되, 데이터 액세스 감사 로그 구성만 추가하거나 변경합니다.
  주의: bindings: 및 etag: 섹션은 변경하지 말고 유지해야 합니다. 이렇게 하지 않으면 프로젝트를 사용하지 못하게 될 수 있습니다.
```
auditConfigs:
- auditLogConfigs:
- logType: ADMIN_READ
- logType: DATA_WRITE
- logType: DATA_READ
service: storage.googleapis.com
```
3. 다음과 같이 새 IAM 정책을 씁니다.
```
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
```
  앞의 명령어가 다른 변경사항과의 충돌을 보고할 경우 이 단계를 반복하면서 프로젝트의 IAM 정책 읽기를 시작합니다.
프로젝트에 대한 서비스 계정을 만듭니다.
```
gcloud iam service-accounts create sample-service-account \
    --description="A sample service account" \
    --display-name="Sample service account"
```
서비스 계정을 만든 후 서비스 계정을 사용하기까지 최대 7분이 걸릴 수 있습니다. 서비스 계정을 만든 직후에 사용하려고 하는데 오류가 발생하면 60초 이상 기다렸다가 다시 시도하세요.

sample-service-account가 생성되었는지 확인하려면 다음을 실행합니다.

gcloud iam service-accounts list

출력은 다음과 비슷하게 표시됩니다.

DISPLAY NAME                     EMAIL                                                               DISABLED
Default compute service account  PROJECT_NUMBER-compute@developer.gserviceaccount.com                False
Sample service account           sample-service-account@PROJECT_ID.iam.gserviceaccount.com           False

프로젝트에서 Eventarc 트리거와 연결된 서비스 계정에 대해 Cloud Run 호출자(run.invoker) 및 Eventarc 이벤트 수신자(roles/eventarc.eventReceiver) 역할을 부여합니다.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:sample-service-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/run.invoker"
```
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:sample-service-account@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/eventarc.eventReceiver"
```
PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다.

이렇게 하면 테스트 목적으로 프로젝트에서 모든 Cloud Run 서비스 및 작업에 대해 Cloud Run 호출자 역할이 부여되지만, 사용자가 서비스에 역할을 부여할 수 있습니다. 자세한 내용은 Cloud Run 서비스 권한 부여를 참조하세요.

Cloud Run 호출자 역할을 부여하지 않고 인증된 Cloud Run 서비스에 대한 트리거를 만들어도 트리거가 성공적으로 생성되며 활성화됩니다. 하지만 트리거가 예상한 대로 작동하지 않고 다음과 비슷한 메시지가 로그에 표시됩니다.
The request was not authenticated. Either allow unauthenticated invocations or set the proper Authorization header.

Artifact Registry 표준 저장소 만들기

컨테이너 이미지를 저장할 Artifact Registry 표준 저장소를 만듭니다.

Console

Google Cloud 콘솔에서 저장소 페이지로 이동합니다.

저장소로 이동
저장소 만들기를 클릭합니다.
저장소 구성:
1. 고유한 이름을 입력하세요.
2. 형식에서 Docker를 선택합니다.
3. 모드에 표준을 선택합니다.
4. 위치 유형에서 리전을 선택합니다.
5. 리전 목록에서 us-central1(아이오와)을 선택합니다.
다른 기본값을 그대로 두고 만들기를 클릭합니다.

gcloud

gcloud artifacts repositories create REPOSITORY \
    --repository-format=docker \
    --location=$REGION

REPOSITORY를 Artifact Registry 저장소의 고유한 이름으로 바꿉니다.

Cloud Storage 버킷 만들기

이 튜토리얼에서는 Cloud Storage를 이벤트 소스로 사용합니다. 스토리지 버킷을 만들려면 다음을 실행하세요.

Console

Google Cloud 콘솔에서 버킷 페이지로 이동합니다.

버킷으로 이동
버킷 만들기를 클릭합니다.
각 단계를 완료하려면 버킷 정보를 입력하고 계속을 클릭합니다.
1. 고유한 이름을 입력하세요. 예를 들면 eventarcbucket입니다.
2. 위치 유형으로 리전을 선택합니다.
3. 위치로 us-central1 (아이오와)을 선택합니다.
4. 기본 스토리지 클래스로 표준을 선택합니다.
5. 액세스 제어로 균일을 선택합니다.
만들기를 클릭합니다.

gcloud

gcloud storage buckets create gs://events-tutorial-PROJECT_ID/ --location=$REGION

이벤트 소스가 생성되면 Cloud Run에 이벤트 수신자 서비스를 배포할 수 있습니다.

Cloud Run에 이벤트 수신자 서비스 배포

이벤트를 수신하고 로깅하는 Cloud Run 서비스를 배포합니다. 샘플 이벤트 수신자 서비스를 배포하려면 다음 안내를 따르세요.

콘솔

샘플 저장소를 GitHub 계정에 클론합니다.

Go

GitHub에서 GoogleCloudPlatform/golang-samples로 이동합니다.
포크를 클릭합니다.

메시지가 표시되면 저장소를 포크할 위치를 선택합니다.

자바

GitHub에서 GoogleCloudPlatform/java-docs-samples로 이동합니다.
포크를 클릭합니다.

메시지가 표시되면 저장소를 포크할 위치를 선택합니다.

.NET

GitHub에서 GoogleCloudPlatform/dotnet-docs-samples로 이동합니다.
포크를 클릭합니다.

메시지가 표시되면 저장소를 포크할 위치를 선택합니다.

Node.js

GitHub에서 GoogleCloudPlatform/nodejs-docs-samples로 이동합니다.
포크를 클릭합니다.

메시지가 표시되면 저장소를 포크할 위치를 선택합니다.

Python

GitHub에서 GoogleCloudPlatform/python-docs-samples로 이동합니다.
포크를 클릭합니다.

메시지가 표시되면 저장소를 포크할 위치를 선택합니다.

Google Cloud 콘솔에서 서비스 페이지로 이동합니다.

서비스로 이동

서비스 만들기를 클릭하여 서비스 만들기 양식을 표시합니다.
저장소에서 지속적으로 배포를 선택합니다.
GitHub 저장소의 변경사항은 Artifact Registry의 컨테이너 이미지에 자동으로 빌드되고 Cloud Run에 배포됩니다.
Cloud Build로 설정을 클릭하여 Cloud Build로 설정 양식을 엽니다.

메시지가 표시되면 Cloud Build API 및 Artifact Analysis API를 사용 설정합니다.
GitHub로 GitHub를 선택합니다.
참고: 아직 인증되지 않은 경우 인증을 클릭하고 안내에 따라 Cloud Build GitHub 앱을 사용하여 저장소에 연결합니다.
메시지가 표시되면 Google Cloud Build 설치를 클릭합니다.
저장소로 포크한 GitHub 저장소를 선택합니다.
다음을 클릭합니다.
분기 필드에 ^main$를 입력합니다.
Dockerfile으로 Dockerfile을 선택하고 Dockerfile의 소스 위치를 제공합니다.
- eventarc/audit-storage/Dockerfile
  또는
- eventarc/audit_storage/Dockerfile(Go)
저장을 클릭합니다.

서비스 만들기 양식에 서비스 이름을 입력합니다. 예를 들면 helloworld-events입니다.
서비스를 배치할 리전으로 us-central1(아이오와)을 선택합니다.
Cloud Run 서비스에서 허용할 인그레스 트래픽을 기준으로 인그레스 옵션을 선택합니다.
인증 필요를 선택합니다.
만들기를 클릭합니다.

gcloud

GitHub 저장소를 클론합니다.

Go

git clone https://github.com/GoogleCloudPlatform/golang-samples.git
cd golang-samples/eventarc/audit_storage

자바

git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git
cd java-docs-samples/eventarc/audit-storage

.NET

git clone https://github.com/GoogleCloudPlatform/dotnet-docs-samples.git
cd dotnet-docs-samples/eventarc/audit-storage

Node.js

git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git
cd nodejs-docs-samples/eventarc/audit-storage

Python

git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
cd python-docs-samples/eventarc/audit-storage

컨테이너를 빌드하고 Cloud Build에 업로드합니다.

gcloud builds submit --tag $REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/$SERVICE_NAME:v1

컨테이너 이미지를 Cloud Run에 배포합니다.
```
gcloud run deploy $SERVICE_NAME \
    --image $REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/$SERVICE_NAME:v1
```
참고: Cloud Run 서비스에 필요한 네트워크 액세스 수준에 따라 인그레스 플래그를 설정할 수도 있습니다.

인증되지 않은 호출을 허용할지 묻는 메시지가 표시되면 n을 입력합니다.

배포가 성공하면 명령줄에 서비스 URL이 표시됩니다.

이제 helloworld-events라는 이벤트 수신자 서비스를 Cloud Run에 배포했으므로 트리거를 설정할 수 있습니다.

Eventarc 트리거 만들기

Eventarc 트리거는 Cloud Storage 버킷의 이벤트를 helloworld-events Cloud Run 서비스로 전송합니다.

Console

Google Cloud Console에서 트리거 페이지로 이동합니다.

트리거로 이동
트리거 만들기를 클릭합니다.
트리거 이름을 입력합니다.
트리거의 ID이며 문자로 시작해야 합니다. 최대 63자(영문 기준)의 소문자, 숫자, 하이픈을 포함할 수 있습니다.
트리거 유형을 선택합니다.
- 퍼스트파티 — Google Cloud 제공업체(직접 또는 Cloud 감사 로그 항목을 통해) 또는 Pub/Sub 메시지를 사용하여 전송된 이벤트를 필터링합니다.
- 서드파티: 타사 제공업체에서 보낸 이벤트를 필터링합니다.
이벤트 제공자 목록에서 Cloud Storage를 이벤트 소스로 선택합니다.
이벤트 유형 목록에서 storage.objects.create를 선택합니다.
리전 목록에서 이벤트를 수신할 리전으로 us-central1을 선택합니다.
생성한 서비스 계정을 선택합니다. 예를 들면 다음과 같습니다. SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com.
이벤트 대상 목록에서 Cloud Run을 선택합니다.
Cloud Run 서비스 선택 목록에서 helloworld-events를 선택합니다.
만들기를 클릭합니다.

Cloud Run 콘솔 페이지를 사용

gcloud

Cloud Storage 이벤트를 필터링하고 생성된 서비스 계정을 사용하는 트리거를 만듭니다.
```
gcloud eventarc triggers create events-tutorial-trigger \
    --destination-run-service=$SERVICE_NAME \
    --destination-run-region=$REGION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=storage.googleapis.com" \
    --event-filters="methodName=storage.objects.create" \
    --service-account=sample-service-account@PROJECT_ID.iam.gserviceaccount.com
```
PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다.
각 항목의 의미는 다음과 같습니다.
- type: 트리거의 필터 기준이 충족되면 감사 로그가 생성되도록 지정합니다.
- serviceName: Cloud Storage에 해당하는 감사 로그를 작성하는 서비스입니다.
- methodName: storage.objects.create에 해당하는 감사 대상 작업입니다.
그러면 events-tutorial-trigger라는 트리거가 생성됩니다.
events-tutorial-trigger이 성공적으로 생성되었는지 확인하려면 다음을 실행합니다.
```
gcloud eventarc triggers list --location=$REGION
```

events-tutorial-trigger

helloworld-events

이벤트 생성 및 확인

이벤트를 생성하려면 다음 안내를 따르세요.
콘솔
1. 파일 이름이 random.txt이고 텍스트가 'Hello World'인 텍스트 파일을 만듭니다.
2. Google Cloud 콘솔에서 버킷 페이지로 이동합니다.
  
  버킷으로 이동
3. 만든 스토리지 버킷을 선택합니다.
4. 객체 탭에서 파일 업로드를 클릭하고 random.txt 파일을 업로드합니다.
gcloud
텍스트 파일을 Cloud Storage에 업로드합니다.
```
echo "Hello World" > random.txt
gcloud storage cp random.txt gs://events-tutorial-PROJECT_ID/random.txt
```
로그 항목을 보려면 다음 안내를 따르세요.

Console

Google Cloud 콘솔에서 서비스 페이지로 이동합니다.

서비스로 이동
서비스 목록에서 생성한 서비스의 이름을 클릭하여 서비스 세부정보 페이지로 이동합니다.
로그 탭을 클릭하여 이 서비스의 모든 버전에 대한 요청 및 컨테이너 로그를 가져옵니다. 로그 심각도 수준으로 필터링할 수 있습니다.

다음과 같은 로그 항목을 찾습니다.

Detected change in Cloud Storage bucket: storage.googleapis.com/projects/_/buckets/BUCKET_NAME/objects/random.txt

여기서 BUCKET_NAME은 Cloud Storage 버킷의 이름입니다.

gcloud

gcloud logging read "resource.labels.service_name=helloworld-events AND textPayload:random.txt" --format=json

다음과 같은 로그 항목을 찾습니다.
```
Detected change in Cloud Storage bucket: storage.googleapis.com/projects/_/buckets/BUCKET_NAME/objects/random.txt
```
여기서 BUCKET_NAME은 Cloud Storage 버킷의 이름입니다.
참고: 로그 항목이 표시되지 않으면 몇 분 정도 기다린 후 gcloud logging read 명령어를 다시 시도합니다. 트리거가 생성된 후 필터링 이벤트가 시작되는 데 최대 2분이 걸릴 수 있습니다.

Cloud Run에 이벤트 수신자 서비스를 성공적으로 배포하고, Eventarc 트리거를 만들고, Cloud Storage에서 이벤트를 생성하고, 이를 Cloud Run 로그에서 확인했습니다.

삭제

Cloud Run에서는 서비스를 사용하지 않을 때 비용이 청구되지 않지만 Artifact Registry에 컨테이너 이미지 저장, Cloud Storage 버킷에 파일 저장, Eventarc 리소스에 대한 요금은 부과될 수 있습니다.

다음과 같은 작업을 할 수 있습니다.

또는 Google Cloud 프로젝트를 삭제하여 비용 청구를 방지할 수 있습니다. Google Cloud 프로젝트를 삭제하면 프로젝트 내에서 사용되는 모든 리소스에 대한 비용 청구가 중지됩니다.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Cloud 감사 로그 이벤트 수신 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

목표

비용

시작하기 전에

필수 권한

Console

gcloud

Artifact Registry 표준 저장소 만들기

Console

gcloud

Cloud Storage 버킷 만들기

Console

gcloud

Cloud Run에 이벤트 수신자 서비스 배포

콘솔

Go

자바

.NET

Node.js

Python

gcloud

Go

자바

.NET

Node.js

Python

Eventarc 트리거 만들기

Console

gcloud

이벤트 생성 및 확인

콘솔

gcloud

Console

gcloud

삭제

다음 단계

Cloud 감사 로그 이벤트 수신