search
Knowledge BaseRelease NotesRequest Demo

SQS 소스

Panther 콘솔에서 AWS SQS 로그를 데이터 전송 로그 소스로 온보딩하기

hashtag
개요

Panther는 다음 구성을 지원합니다 Amazon Simple Queue Service (SQS)arrow-up-right 를 데이터 전송으로 사용하여 큐에서 Panther 계정으로 이벤트를 가져올 수 있습니다.

아래 단계는 SQS 소스를 설정하고 해당 큐로 데이터를 보낼 수 있는 권한을 부여하는 방법을 안내합니다. Panther는 해당 큐에서 이벤트를 가져와 처리된 데이터에 대해 룰을 작성하고 쿼리를 실행할 수 있게 합니다.

circle-info

SQS에는 최대 메시지 크기arrow-up-right 가 1,048,576 바이트(1 MiB)입니다. 이보다 큰 메시지를 보낼 것으로 예상되면 대신 S3 소스 를 사용하는 것을 고려하세요.

circle-exclamation

만약 귀하가 Cloud Connected 고객의 경우 Panther 배포가 위치한 계정과 별도의 AWS 계정에서 로그 소스 인프라를 생성하세요.

아래 다이어그램을 참조하여 SQS를 사용해 애플리케이션에서 Panther로 데이터가 어떻게 흐르는지 이해하세요(에서 SaaS):

A diagram shows how data flows from a customer application into Panther, using the SQS Data Transport. The flow is as follows: customer AWS application(s) like Lambda, S3, SNS, etc., SQS (which also takes in Allowed AWS ARNs), Panther application, parse & normalize, real-time detections, Long term retention in Snowflake, Alerts generated, and Alert destination

hashtag
Panther에서 SQS 로그 소스 설정 방법

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 오른쪽 상단에서 클릭하세요 새로 만들기.

  3. 을 클릭하세요 AWS SQS 큐 타일을 클릭합니다.

  4. 페이지에서 구성 페이지에서 다음과 같이 필드를 입력하세요:

    • 이름: 소스에 대한 설명적인 이름을 입력하세요.

    • 로그 유형: 드롭다운에서 모니터링하려는 모든 로그 유형을 선택하세요.

    • 허용된 AWS 주체: SQS 큐에 메시지를 게시할 수 있도록 허용될 AWS 주체들의 모든 ARN을 나열하세요.

    • 허용된 소스 ARN: SQS 큐에 메시지를 게시할 수 있는 모든 AWS 리소스(SNS 주제, S3 버킷 등)의 ARN을 나열하세요.

      • 참고: 만약 허용된 AWS 주체 ARN허용된 소스 ARN 속성이 설정되지 않은 경우, Panther가 배포된 AWS 계정의 주체만 큐에 메시지를 게시할 수 있습니다.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

  6. 페이지에서 로그 형식 페이지에서 들어오는 로그의 스트림 유형 형식을 선택하세요:

    • 자동

    • 라인

    • JSON

    • JSON 배열

  7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 계속. 성공 화면으로 이동합니다:

    The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

    • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

    • 입니다. 데이터가 일정 기간 이후에 로그 소스에서 흐르지 않으면 알림을 받으므로 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다. 아직 하지 않았다면, 클릭하세요 스키마 첨부 또는 추론

    • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

      The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

새로 생성된 소스를 보려면 클릭하세요 로그 소스 보기.

  • 여기에서 처리된 데이터 및 이벤트, 전체 상태, 소스 스키마, 알람 구성 등 AWS SQS 소스를 관리하세요.

This page displays Data Metrics such as data processed, events processed, and data processed by log type. To view this data, click on a log source.

hashtag
을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.

수집된 로그 보기 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.

이전CloudWatch 로그 소스다음SNS 소스

마지막 업데이트

도움이 되었나요?