AWS ALB

AWS ALB 로그를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Application Load Balancer(ALB) 로그 수집을 지원합니다.

AWS ALB 로그를 Panther에 온보딩하는 방법

ALB 로그를 Panther로 가져오려면 Panther 콘솔에서 AWS 계정의 데이터를 스트리밍할 S3 버킷을 설정하십시오.

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.
"AWS Application Load Balancer"를 검색한 다음 해당 타일을 클릭하십시오.
슬라이드 아웃 패널에서 클릭하세요 설정 시작.
다음을 따르세요 데이터 전송을 위해 S3를 구성하는 Panther 문서.

Panther 관리 디텍션

참조 Panther 관리 AWS용 룰은 panther-analysis GitHub 리포지토리.

지원되는 ALB 로그

AWS.ALB

Application Load Balancer 로그는 애플리케이션 로드 밸런서에 대한 레이어 7 네트워크 로그입니다. 자세한 내용은 ALB 액세스 로그에 대한 AWS 문서.

스키마: AWS.ALB
파서:
  네이티브:
    이름: AWS.ALB
설명: Application Load Balancer 로그는 애플리케이션 로드 밸런서에 대한 레이어 7 네트워크 로그입니다.
참조URL: https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html
필드:
  - 이름: type
    required: true
    설명: 요청 또는 연결의 유형.
    type: string
  - 이름: timestamp
    required: true
    설명: 로드 밸런서가 클라이언트에 응답을 생성한 시각(UTC). WebSocket의 경우 연결이 종료된 시각입니다.
    type: timestamp
    시간 형식: rfc3339
  - 이름: elb
    설명: 로드 밸런서의 리소스 ID. 액세스 로그 항목을 파싱하는 경우 리소스 ID에 슬래시(/)가 포함될 수 있음을 참고하십시오.
    type: string
  - 이름: clientIp
    설명: 요청을 하는 클라이언트의 IP 주소.
    type: string
  - 이름: clientPort
    설명: 요청을 하는 클라이언트의 포트.
    type: bigint
  - 이름: targetIp
    설명: 이 요청을 처리한 대상의 IP 주소.
    type: string
  - 이름: targetPort
    설명: 이 요청을 처리한 대상의 포트.
    type: bigint
  - 이름: requestProcessingTime
    설명: 로드 밸런서가 요청을 수신한 시점부터 이를 대상에게 전송한 시점까지 경과한 총 시간(초, 밀리초 정밀도). 로드 밸런서가 요청을 대상에 디스패치할 수 없으면 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 이전에 연결을 닫거나 클라이언트가 잘못된 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 이전에 응답하지 않으면 이 값은 -1로 설정될 수도 있습니다.
    type: float
  - 이름: targetProcessingTime
    설명: 로드 밸런서가 요청을 대상에 전송한 시점부터 대상이 응답 헤더를 보내기 시작할 때까지 경과한 총 시간(초, 밀리초 정밀도). 로드 밸런서가 요청을 대상에 디스패치할 수 없으면 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 이전에 연결을 닫거나 클라이언트가 잘못된 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 이전에 응답하지 않으면 이 값은 -1로 설정될 수도 있습니다.
    type: float
  - 이름: responseProcessingTime
    설명: 로드 밸런서가 대상로부터 응답 헤더를 받은 시점부터 클라이언트로 응답을 전송하기 시작할 때까지 경과한 총 시간(초, 밀리초 정밀도). 여기에는 로드 밸런서에서의 대기 시간과 로드 밸런서에서 클라이언트로의 연결 획득 시간이 포함됩니다. 로드 밸런서가 요청을 대상에 보낼 수 없으면 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 이전에 연결을 닫거나 클라이언트가 잘못된 요청을 보낸 경우 발생할 수 있습니다.
    type: float
  - 이름: elbStatusCode
    required: true
    설명: 로드 밸런서의 응답 상태 코드.
    type: bigint
  - 이름: targetStatusCode
    설명: 대상의 응답 상태 코드. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다.
    type: bigint
  - 이름: receivedBytes
    설명: 클라이언트(요청자)로부터 수신된 요청의 크기(바이트). HTTP 요청의 경우 헤더가 포함됩니다. WebSocket의 경우 연결에서 클라이언트로부터 수신된 총 바이트 수입니다.
    type: bigint
  - 이름: sentBytes
    설명: 클라이언트(요청자)에게 전송된 응답의 크기(바이트). HTTP 요청의 경우 헤더가 포함됩니다. WebSocket의 경우 연결에서 클라이언트에게 전송된 총 바이트 수입니다.
    type: bigint
  - 이름: requestHttpMethod
    설명: 요청에서 파싱된 HTTP 메서드.
    type: string
  - 이름: requestUrl
    설명: 요청에서 파싱된 HTTP URL.
    type: string
  - 이름: requestHttpVersion
    설명: 요청에서 파싱된 HTTP 버전.
    type: string
  - 이름: userAgent
    설명: 요청을 발생시킨 클라이언트를 식별하는 User-Agent 문자열. 문자열은 하나 이상의 제품 식별자 product[/version]로 구성됩니다. 문자열이 8KB보다 길면 잘립니다.
    type: string
  - 이름: sslCipher
    설명: '[HTTPS 리스너] SSL 암호화 방식. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.'
    type: string
  - 이름: sslProtocol
    설명: '[HTTPS 리스너] SSL 프로토콜. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.'
    type: string
  - 이름: targetGroupArn
    설명: 대상 그룹의 Amazon 리소스 이름(ARN).
    type: string
  - 이름: traceId
    설명: X-Amzn-Trace-Id 헤더의 내용.
    type: string
  - 이름: domainName
    설명: "[HTTPS 리스너] TLS 핸드셰이크 중 클라이언트가 제공한 SNI 도메인. 클라이언트가 SNI를 지원하지 않거나 도메인이 인증서와 일치하지 않아 기본 인증서가 클라이언트에 제공되는 경우 이 값은 NULL로 설정됩니다."
    type: string
  - 이름: chosenCertArn
    설명: '[HTTPS 리스너] 클라이언트에게 제시된 인증서의 ARN. 세션이 재사용된 경우 이 값은 session-reused로 설정됩니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.'
    type: string
  - 이름: matchedRulePriority
    설명: 요청과 일치한 룰의 우선순위 값. 룰이 일치한 경우 이 값은 1에서 50,000 사이의 값입니다. 룰과 일치하지 않아 기본 동작이 수행된 경우 이 값은 0으로 설정됩니다. 룰 평가 중 오류가 발생하면 -1로 설정됩니다. 기타 다른 오류의 경우 NULL로 설정됩니다.
    type: bigint
  - 이름: requestCreationTime
    설명: 로드 밸런서가 클라이언트로부터 요청을 수신한 시각.
    type: timestamp
    시간 형식: rfc3339
  - 이름: actionsExecuted
    설명: 요청을 처리할 때 수행된 작업들. 이 값은 Actions Taken에 설명된 값을 포함할 수 있는 쉼표로 구분된 목록입니다. 잘못된 요청과 같이 수행된 작업이 없으면 이 값은 NULL로 설정됩니다.
    type: array
    element:
      type: string
  - 이름: redirectUrl
    설명: HTTP 응답의 Location 헤더에 대한 리디렉션 대상의 URL. 리디렉션 작업이 수행되지 않았다면 이 값은 NULL로 설정됩니다.
    type: string
  - 이름: errorReason
    설명: 오류 이유 코드. 요청이 실패한 경우 이는 Error Reason Codes에 설명된 오류 코드 중 하나입니다. 수행된 작업에 authenticate 작업이 포함되지 않거나 대상이 Lambda 함수가 아닌 경우 이 값은 NULL로 설정됩니다.
    type: string
  - 이름: targetPortList
    설명: 이 요청을 처리한 대상들의 IP 주소 및 포트의 공백으로 구분된 목록으로, 큰따옴표로 감싸여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target:port 필드와 일치합니다.
    type: array
    element:
      type: string
      지표:
        - net_addr
  - 이름: targetStatusList
    설명: 대상들의 응답에서 반환된 상태 코드들의 공백으로 구분된 목록으로, 큰따옴표로 감싸여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target_status_code 필드와 일치합니다. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다. 그렇지 않으면 '-'로 설정됩니다.
    type: array
    element:
      type: string
  - 이름: classification
    설명: 디싱크(Desync) 완화 분류로, 큰따옴표로 감싸여 있습니다. 요청이 RFC 7230을 준수하지 않으면 가능한 값은 Acceptable, Ambiguous 및 Severe입니다. 요청이 RFC 7230을 준수하면 이 값은 '-'로 설정됩니다.
    type: string
  - 이름: classificationReason
    설명: 분류 이유 코드로, 큰따옴표로 감싸여 있습니다. 요청이 RFC 7230을 준수하지 않으면 이는 Classification reasons에 설명된 분류 코드 중 하나입니다. 요청이 RFC 7230을 준수하면 이 값은 '-'로 설정됩니다.
    type: string

이전AWS 로그 다음AWS Aurora

마지막 업데이트 6개월 전

도움이 되었나요?

스키마: AWS.ALB 파서: 네이티브: 이름: AWS.ALB 설명: Application Load Balancer 로그는 애플리케이션 로드 밸런서에 대한 레이어 7 네트워크 로그입니다. 참조URL: https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html 필드: - 이름: type required: true 설명: 요청 또는 연결의 유형. type: string - 이름: timestamp required: true 설명: 로드 밸런서가 클라이언트에 응답을 생성한 시각(UTC). WebSocket의 경우 연결이 종료된 시각입니다. type: timestamp 시간 형식: rfc3339 - 이름: elb 설명: 로드 밸런서의 리소스 ID. 액세스 로그 항목을 파싱하는 경우 리소스 ID에 슬래시(/)가 포함될 수 있음을 참고하십시오. type: string - 이름: clientIp 설명: 요청을 하는 클라이언트의 IP 주소. type: string - 이름: clientPort 설명: 요청을 하는 클라이언트의 포트. type: bigint - 이름: targetIp 설명: 이 요청을 처리한 대상의 IP 주소. type: string - 이름: targetPort 설명: 이 요청을 처리한 대상의 포트. type: bigint - 이름: requestProcessingTime 설명: 로드 밸런서가 요청을 수신한 시점부터 이를 대상에게 전송한 시점까지 경과한 총 시간(초, 밀리초 정밀도). 로드 밸런서가 요청을 대상에 디스패치할 수 없으면 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 이전에 연결을 닫거나 클라이언트가 잘못된 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 이전에 응답하지 않으면 이 값은 -1로 설정될 수도 있습니다. type: float - 이름: targetProcessingTime 설명: 로드 밸런서가 요청을 대상에 전송한 시점부터 대상이 응답 헤더를 보내기 시작할 때까지 경과한 총 시간(초, 밀리초 정밀도). 로드 밸런서가 요청을 대상에 디스패치할 수 없으면 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 이전에 연결을 닫거나 클라이언트가 잘못된 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 이전에 응답하지 않으면 이 값은 -1로 설정될 수도 있습니다. type: float - 이름: responseProcessingTime 설명: 로드 밸런서가 대상로부터 응답 헤더를 받은 시점부터 클라이언트로 응답을 전송하기 시작할 때까지 경과한 총 시간(초, 밀리초 정밀도). 여기에는 로드 밸런서에서의 대기 시간과 로드 밸런서에서 클라이언트로의 연결 획득 시간이 포함됩니다. 로드 밸런서가 요청을 대상에 보낼 수 없으면 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 이전에 연결을 닫거나 클라이언트가 잘못된 요청을 보낸 경우 발생할 수 있습니다. type: float - 이름: elbStatusCode required: true 설명: 로드 밸런서의 응답 상태 코드. type: bigint - 이름: targetStatusCode 설명: 대상의 응답 상태 코드. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다. type: bigint - 이름: receivedBytes 설명: 클라이언트(요청자)로부터 수신된 요청의 크기(바이트). HTTP 요청의 경우 헤더가 포함됩니다. WebSocket의 경우 연결에서 클라이언트로부터 수신된 총 바이트 수입니다. type: bigint - 이름: sentBytes 설명: 클라이언트(요청자)에게 전송된 응답의 크기(바이트). HTTP 요청의 경우 헤더가 포함됩니다. WebSocket의 경우 연결에서 클라이언트에게 전송된 총 바이트 수입니다. type: bigint - 이름: requestHttpMethod 설명: 요청에서 파싱된 HTTP 메서드. type: string - 이름: requestUrl 설명: 요청에서 파싱된 HTTP URL. type: string - 이름: requestHttpVersion 설명: 요청에서 파싱된 HTTP 버전. type: string - 이름: userAgent 설명: 요청을 발생시킨 클라이언트를 식별하는 User-Agent 문자열. 문자열은 하나 이상의 제품 식별자 product[/version]로 구성됩니다. 문자열이 8KB보다 길면 잘립니다. type: string - 이름: sslCipher 설명: '[HTTPS 리스너] SSL 암호화 방식. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.' type: string - 이름: sslProtocol 설명: '[HTTPS 리스너] SSL 프로토콜. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.' type: string - 이름: targetGroupArn 설명: 대상 그룹의 Amazon 리소스 이름(ARN). type: string - 이름: traceId 설명: X-Amzn-Trace-Id 헤더의 내용. type: string - 이름: domainName 설명: "[HTTPS 리스너] TLS 핸드셰이크 중 클라이언트가 제공한 SNI 도메인. 클라이언트가 SNI를 지원하지 않거나 도메인이 인증서와 일치하지 않아 기본 인증서가 클라이언트에 제공되는 경우 이 값은 NULL로 설정됩니다." type: string - 이름: chosenCertArn 설명: '[HTTPS 리스너] 클라이언트에게 제시된 인증서의 ARN. 세션이 재사용된 경우 이 값은 session-reused로 설정됩니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.' type: string - 이름: matchedRulePriority 설명: 요청과 일치한 룰의 우선순위 값. 룰이 일치한 경우 이 값은 1에서 50,000 사이의 값입니다. 룰과 일치하지 않아 기본 동작이 수행된 경우 이 값은 0으로 설정됩니다. 룰 평가 중 오류가 발생하면 -1로 설정됩니다. 기타 다른 오류의 경우 NULL로 설정됩니다. type: bigint - 이름: requestCreationTime 설명: 로드 밸런서가 클라이언트로부터 요청을 수신한 시각. type: timestamp 시간 형식: rfc3339 - 이름: actionsExecuted 설명: 요청을 처리할 때 수행된 작업들. 이 값은 Actions Taken에 설명된 값을 포함할 수 있는 쉼표로 구분된 목록입니다. 잘못된 요청과 같이 수행된 작업이 없으면 이 값은 NULL로 설정됩니다. type: array element: type: string - 이름: redirectUrl 설명: HTTP 응답의 Location 헤더에 대한 리디렉션 대상의 URL. 리디렉션 작업이 수행되지 않았다면 이 값은 NULL로 설정됩니다. type: string - 이름: errorReason 설명: 오류 이유 코드. 요청이 실패한 경우 이는 Error Reason Codes에 설명된 오류 코드 중 하나입니다. 수행된 작업에 authenticate 작업이 포함되지 않거나 대상이 Lambda 함수가 아닌 경우 이 값은 NULL로 설정됩니다. type: string - 이름: targetPortList 설명: 이 요청을 처리한 대상들의 IP 주소 및 포트의 공백으로 구분된 목록으로, 큰따옴표로 감싸여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target:port 필드와 일치합니다. type: array element: type: string 지표: - net_addr - 이름: targetStatusList 설명: 대상들의 응답에서 반환된 상태 코드들의 공백으로 구분된 목록으로, 큰따옴표로 감싸여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target_status_code 필드와 일치합니다. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다. 그렇지 않으면 '-'로 설정됩니다. type: array element: type: string - 이름: classification 설명: 디싱크(Desync) 완화 분류로, 큰따옴표로 감싸여 있습니다. 요청이 RFC 7230을 준수하지 않으면 가능한 값은 Acceptable, Ambiguous 및 Severe입니다. 요청이 RFC 7230을 준수하면 이 값은 '-'로 설정됩니다. type: string - 이름: classificationReason 설명: 분류 이유 코드로, 큰따옴표로 감싸여 있습니다. 요청이 RFC 7230을 준수하지 않으면 이는 Classification reasons에 설명된 분류 코드 중 하나입니다. 요청이 RFC 7230을 준수하면 이 값은 '-'로 설정됩니다. type: string

hashtag개요

hashtagAWS ALB 로그를 Panther에 온보딩하는 방법

hashtagPanther 관리 디텍션

hashtag지원되는 ALB 로그

hashtagAWS.ALB

개요

AWS ALB 로그를 Panther에 온보딩하는 방법

Panther 관리 디텍션

지원되는 ALB 로그

AWS.ALB