search
Knowledge BaseRelease NotesRequest Demo

Event Hub 소스(베타)

Panther 콘솔에서 Azure Event Hub를 데이터 전송 로그 소스로 온보딩하기

hashtag
개요

circle-info

Azure Event Hub 통합은 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트나 기능 요청이 있으면 Panther 지원 팀에 공유해 주세요.

Panther는 Azure Event Hubarrow-up-right 를 데이터 전송(Data Transport)으로 구성하여 Event Hub 네임스페이스에서 로그 데이터를 직접 가져오고, 처리된 데이터에 대해 디텍션을 작성하고 조사를 수행할 수 있게 합니다.

Panther로 전송되는 데이터는 JSON이나 일반 텍스트 등 다양한 형식일 수 있습니다.

hashtag
Panther에서 Azure Event Hub 로그 소스를 설정하는 방법

hashtag
사전 요구 사항

  • 당신에게는 Event Hubs 네임스페이스arrow-up-right 가 있고 그 안에 Event Hub가 있습니다.

  • 구독에 필요한 Azure 리소스 공급자가 등록되어 있는지 확인하세요:

    1. Azure 포털에 로그인하여 다음으로 이동합니다 구독(Subscriptions).

    2. Event Hub 리소스가 위치한 구독을 선택합니다.

    3. 구독 설정에서 리소스 공급자.

    4. 일반 구성 이름으로 필터링 필드에서 Microsoft.EventHub.

    5. 상태 열이 Microsoft.EventHub 표시되는지 확인하세요 등록됨. 상태가 대신 등록되지 않음으로 되어 있다면 Azure의 리소스 공급자 등록arrow-up-right 문서.

hashtag
1단계: Panther에서 Azure Event Hub 구성

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 오른쪽 상단에서 새로 만들기.

  3. 을 클릭하세요 Azure Event Hub 타일을 클릭합니다.

  4. 페이지에서 기본 정보 페이지에서 다음을 입력하세요:

    • 이름: 로그 소스에 대한 설명 이름을 입력하세요.

    • 로그 유형: 이 로그 소스와 연결할 하나 이상의 로그 유형을 선택하세요.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

  6. 페이지에서 로그 형식 페이지에서 들어오는 로그의 스트림 유형 형식을 선택하세요:

    • 자동

    • 라인

    • JSON

    • JSON 배열

circle-exclamation

이 Event Hub를 통해 Azure 로그(예: 활동 로그 또는 리소스 로그)를 수집할 계획이라면:

  1. 선택하세요 JSON 배열.

  2. 다음을 설정하세요 JSON 배열이 필드로 둘러싸여 있나요? 토글을 .

  3. 일반 구성 감싸는 필드 이름 필드에 레코드.

  1. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 계속.

    • 사용자를 사용할 것이며, 구성 페이지가 로드됩니다.

hashtag
2단계: Event Hub에 공유 액세스 정책 추가

Panther가 Event Hub에 액세스하도록 허용하려면 공유 액세스 정책arrow-up-right 중 하나로 치환하십시오: 수신(Listen) 권한을 생성하세요:

  1. 별도의 브라우저 탭에서 Azure 포털에 로그인한 다음 Event Hubs.

  2. 로그가 호스팅되는 Event Hub 네임스페이스로 이동합니다.

  3. 페이지에서 개요 페이지에서, Event Hubs 섹션에서 온보딩하려는 Event Hub의 이름을 선택합니다.

    Under an "eventhubnamespacenickk" title is a dashboard. An arrow is drawn to a section header reading "Event Hubs (3)."

  4. 에서 설정인 경우 JSON 로그를 업로드했다면 클릭하세요 공유 액세스 정책.

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. + 추가 를 클릭하여 새 정책을 만듭니다.

  6. 일반 구성 SAS 정책 추가 슬라이드아웃 패널:

    1. 일반 구성 정책 이름 필드에 설명적인 이름을 입력하세요(예: PantherListener).

    2. 을 클릭하세요 수신(Listen) 체크박스).

    3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. Python 함수를 입력한 다음.

  7. 방금 생성한 정책의 이름을 클릭합니다.

  8. 다음 값을 복사하세요 기본 연결 문자열 값을 복사하여 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

hashtag
3단계: Panther에서 Azure Event Hub 소스 설정 마무리

  1. Panther 콘솔에서 Event Hub 소스 설정으로 돌아갑니다.

  2. 페이지에서 구성 페이지에서 다음 구성 값을 제공합니다:

    • 연결 문자열: Panther에서 이전 단계에서 생성한 기본 연결 문자열 이전에 복사한 값.

    • (선택 사항) 컨슈머 그룹: Event Hub에서 컨슈머 그룹arrow-up-right 을(를) 구성한 경우 여기에서 지정할 수 있습니다. 그렇지 않으면 기본 컨슈머 그룹인 $Default이(가) 사용됩니다.

      Under a "Configuration" title is the header "Create a Connection string in your Azure Portal." There are two form fields: Connection String and Consumer Group (Optional).

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정. 성공 화면으로 이동합니다:

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

  • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의arrow-up-right.

  • 입니다. 데이터가 일정 기간 이후에 로그 소스에서 흐르지 않으면 알림을 받으므로 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다. 아직 하지 않았다면, 클릭하세요 스키마 첨부 또는 추론

  • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은

    The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

hashtag
을 클릭하여 소스에 하나 이상의 스키마를 첨부하세요.

수집된 로그 보기 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다 이전에 생성한 Snowflake 사용자 이름, 예를 들면 panther_monitor.

이전Blob Storage 소스다음로그 소스 모니터링

마지막 업데이트

도움이 되었나요?