AWS ALB

AWS ALB 로그를 Panther 콘솔에 연결하기

개요

Panther는 AWS S3를 통해 Amazon Web Services(AWS) Application Load Balancer(ALB) 로그 수집을 지원합니다.

AWS ALB 로그를 Panther에 온보딩하는 방법

ALB 로그를 Panther로 가져오려면 Panther 콘솔에서 AWS 계정에서 데이터를 스트리밍할 S3 버킷을 설정하세요.

Panther 콘솔의 왼쪽 탐색 바에서 다음을 클릭합니다 구성 > 로그 소스.
클릭 새로 만들기(Create New)를 클릭하세요.
"AWS Application Load Balancer"를 검색한 다음 해당 타일을 클릭하세요.
슬라이드아웃 패널에서 설정 시작.
다음을 따르세요 데이터 전송을 위해 S3 구성하는 Panther 문서.

Panther 관리 탐지

참조 Panther 관리 Panther의 AWS 규칙은 panther-analysis GitHub 저장소.

지원되는 ALB 로그

를 추가하여 빠르게 조정할 수 있습니다. 이는 알림이 오탐인 경우, 향후 유사한 이벤트와 매칭되지 않도록 해당 탐지를 조정할 때 특히 유용합니다. 지침은

Application Load Balancer 로그는 애플리케이션 로드 밸런서의 레이어 7 네트워크 로그입니다. 자세한 내용은 ALB 액세스 로그에 대한 AWS의 문서.

스키마: AWS.ALB
파서:
  네이티브:
    이름: AWS.ALB
설명: Application Load Balancer 로그는 애플리케이션 로드 밸런서의 레이어 7 네트워크 로그입니다.
참조URL: https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html
필드:
  - 이름: type
    필수: 예
    설명: 요청 또는 연결의 유형.
    유형: 문자열
  - 이름: timestamp
    필수: 예
    설명: 로드 밸런서가 클라이언트에 응답을 생성한 시간(UTC). WebSocket의 경우 연결이 종료된 시간이 됩니다.
    유형: 타임스탬프
    유형: 타임스탬프
  - 이름: elb
    설명: 로드 밸런서의 리소스 ID. 액세스 로그 항목을 구문 분석하는 경우 리소스 ID에 슬래시(/)가 포함될 수 있음을 참고하세요.
    유형: 문자열
  - 이름: clientIp
    설명: 요청을 보낸 클라이언트의 IP 주소.
    유형: 문자열
  - 이름: clientPort
    설명: 요청을 보낸 클라이언트의 포트.
    유형: bigint
  - 이름: targetIp
    설명: 이 요청을 처리한 대상(target)의 IP 주소.
    유형: 문자열
  - 이름: targetPort
    설명: 이 요청을 처리한 대상의 포트.
    유형: bigint
  - 이름: requestProcessingTime
    설명: 로드 밸런서가 요청을 수신한 시점부터 대상을 향해 전송한 시점까지 경과한 총 시간(초 단위, 밀리초 정밀도). 로드 밸런서가 요청을 대상으로 전송할 수 없는 경우 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 전에 연결을 닫거나 클라이언트가 잘못된 형식의 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 전에 응답하지 않는 경우에도 이 값은 -1로 설정될 수 있습니다.
    유형: 부동(실수)
  - 이름: targetProcessingTime
    설명: 로드 밸런서가 요청을 대상에게 보낸 시점부터 대상이 응답 헤더를 보내기 시작한 시점까지 경과한 총 시간(초 단위, 밀리초 정밀도). 로드 밸런서가 요청을 대상으로 전송할 수 없는 경우 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 전에 연결을 닫거나 클라이언트가 잘못된 형식의 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 전에 응답하지 않는 경우에도 이 값은 -1로 설정될 수 있습니다.
    유형: 부동(실수)
  - 이름: responseProcessingTime
    설명: 로드 밸런서가 대상로부터 응답 헤더를 수신한 시점부터 클라이언트에 응답을 전송하기 시작한 시점까지 경과한 총 시간(초 단위, 밀리초 정밀도). 여기에는 로드 밸런서에서의 대기 시간과 로드 밸런서에서 클라이언트로의 연결 확보 시간이 모두 포함됩니다. 로드 밸런서가 요청을 대상으로 보낼 수 없는 경우 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 전에 연결을 닫거나 클라이언트가 잘못된 형식의 요청을 보낸 경우 발생할 수 있습니다.
    유형: 부동(실수)
  - 이름: elbStatusCode
    필수: 예
    설명: 로드 밸런서의 응답 상태 코드.
    유형: bigint
  - 이름: targetStatusCode
    설명: 대상의 응답 상태 코드. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다.
    유형: bigint
  - 이름: receivedBytes
    설명: 클라이언트(요청자)로부터 수신된 요청의 크기(바이트). HTTP 요청의 경우 헤더를 포함합니다. WebSocket의 경우 연결에서 클라이언트로부터 수신된 총 바이트 수입니다.
    유형: bigint
  - 이름: sentBytes
    설명: 클라이언트(요청자)에게 전송된 응답의 크기(바이트). HTTP 요청의 경우 헤더를 포함합니다. WebSocket의 경우 연결에서 클라이언트로 전송된 총 바이트 수입니다.
    유형: bigint
  - 이름: requestHttpMethod
    설명: 요청에서 파싱된 HTTP 메서드.
    유형: 문자열
  - 이름: requestUrl
    설명: 요청에서 파싱된 HTTP URL.
    유형: 문자열
  - 이름: requestHttpVersion
    설명: 요청에서 파싱된 HTTP 버전.
    유형: 문자열
  - 이름: userAgent
    설명: 요청을 시작한 클라이언트를 식별하는 User-Agent 문자열. 이 문자열은 하나 이상의 제품 식별자(product[/version])로 구성됩니다. 문자열이 8KB보다 길면 잘립니다.
    유형: 문자열
  - 이름: sslCipher
    설명: '[HTTPS 리스너] SSL 암호화 방식. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.'
    유형: 문자열
  - 이름: sslProtocol
    설명: '[HTTPS 리스너] SSL 프로토콜. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.'
    유형: 문자열
  - 이름: targetGroupArn
    설명: 대상 그룹의 Amazon 리소스 이름(ARN).
    유형: 문자열
  - 이름: traceId
    설명: X-Amzn-Trace-Id 헤더의 내용.
    유형: 문자열
  설명: 사용자 계정의 계정 이름(Active Directory 도메인 또는 DNS 도메인 없이) - (mailNickName이라고도 함)
    설명: "[HTTPS 리스너] TLS 핸드셰이크 중 클라이언트가 제공한 SNI 도메인. 클라이언트가 SNI를 지원하지 않거나 도메인이 인증서와 일치하지 않아 기본 인증서가 클라이언트에 제시되는 경우 이 값은 NULL로 설정됩니다."
    유형: 문자열
  - 이름: chosenCertArn
    설명: '[HTTPS 리스너] 클라이언트에 제시된 인증서의 ARN. 세션이 재사용된 경우 이 값은 session-reused로 설정됩니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.'
    유형: 문자열
  - 이름: matchedRulePriority
    설명: 요청과 일치한 규칙의 우선순위 값. 규칙과 일치한 경우 1에서 50,000 사이의 값입니다. 규칙과 일치하지 않아 기본 동작이 수행된 경우 이 값은 0으로 설정됩니다. 규칙 평가 중 오류가 발생하면 -1로 설정됩니다. 그 외의 오류인 경우 NULL로 설정됩니다.
    유형: bigint
  - 이름: requestCreationTime
    설명: 로드 밸런서가 클라이언트로부터 요청을 수신한 시각.
    유형: 타임스탬프
    유형: 타임스탬프
  - 이름: actionsExecuted
    설명: 요청 처리 시 수행된 작업. 이 값은 Actions Taken에 설명된 값을 포함할 수 있는 쉼표로 구분된 목록입니다. 잘못된 형식의 요청 등으로 아무 작업도 수행되지 않은 경우 이 값은 NULL로 설정됩니다.
    유형: 배열
    요소:
      유형: 문자열
  - 이름: redirectUrl
    설명: HTTP 응답의 Location 헤더에 대한 리디렉션 대상의 URL. 리디렉션 작업이 수행되지 않은 경우 이 값은 NULL로 설정됩니다.
    유형: 문자열
  - 이름: errorReason
    설명: 오류 사유 코드. 요청이 실패한 경우 이는 Error Reason Codes에 설명된 오류 코드 중 하나입니다. 수행된 작업에 authenticate 작업이 포함되어 있지 않거나 대상이 Lambda 함수가 아닌 경우 이 값은 NULL로 설정됩니다.
    유형: 문자열
  - 이름: targetPortList
    설명: 이 요청을 처리한 대상들의 IP 주소와 포트의 공백으로 구분된 목록으로, 큰따옴표로 묶여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target:port 필드와 일치합니다.
    유형: 배열
    요소:
      유형: 문자열
      지표:
        - net_addr
  - 이름: targetStatusList
    설명: 대상들의 응답에서 반환된 상태 코드들의 공백으로 구분된 목록으로, 큰따옴표로 묶여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target_status_code 필드와 일치합니다. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다. 그렇지 않으면 -로 설정됩니다.
    유형: 배열
    요소:
      유형: 문자열
  - 이름: classification
    설명: 디싱크 완화 분류(분류값)는 큰따옴표로 묶여 있습니다. 요청이 RFC 7230을 준수하지 않으면 가능한 값은 Acceptable, Ambiguous, Severe입니다. 요청이 RFC 7230을 준수하면 이 값은 -로 설정됩니다.
    유형: 문자열
  - 이름: classificationReason
    설명: 분류 사유 코드로, 큰따옴표로 묶여 있습니다. 요청이 RFC 7230을 준수하지 않으면 이는 Classification reasons에 설명된 분류 코드 중 하나입니다. 요청이 RFC 7230을 준수하면 이 값은 -로 설정됩니다.
    유형: 문자열

PreviousAWS 로그 NextAWS Aurora

Last updated 5 months ago

Was this helpful?

스키마: AWS.ALB 파서: 네이티브: 이름: AWS.ALB 설명: Application Load Balancer 로그는 애플리케이션 로드 밸런서의 레이어 7 네트워크 로그입니다. 참조URL: https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html 필드: - 이름: type 필수: 예 설명: 요청 또는 연결의 유형. 유형: 문자열 - 이름: timestamp 필수: 예 설명: 로드 밸런서가 클라이언트에 응답을 생성한 시간(UTC). WebSocket의 경우 연결이 종료된 시간이 됩니다. 유형: 타임스탬프 유형: 타임스탬프 - 이름: elb 설명: 로드 밸런서의 리소스 ID. 액세스 로그 항목을 구문 분석하는 경우 리소스 ID에 슬래시(/)가 포함될 수 있음을 참고하세요. 유형: 문자열 - 이름: clientIp 설명: 요청을 보낸 클라이언트의 IP 주소. 유형: 문자열 - 이름: clientPort 설명: 요청을 보낸 클라이언트의 포트. 유형: bigint - 이름: targetIp 설명: 이 요청을 처리한 대상(target)의 IP 주소. 유형: 문자열 - 이름: targetPort 설명: 이 요청을 처리한 대상의 포트. 유형: bigint - 이름: requestProcessingTime 설명: 로드 밸런서가 요청을 수신한 시점부터 대상을 향해 전송한 시점까지 경과한 총 시간(초 단위, 밀리초 정밀도). 로드 밸런서가 요청을 대상으로 전송할 수 없는 경우 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 전에 연결을 닫거나 클라이언트가 잘못된 형식의 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 전에 응답하지 않는 경우에도 이 값은 -1로 설정될 수 있습니다. 유형: 부동(실수) - 이름: targetProcessingTime 설명: 로드 밸런서가 요청을 대상에게 보낸 시점부터 대상이 응답 헤더를 보내기 시작한 시점까지 경과한 총 시간(초 단위, 밀리초 정밀도). 로드 밸런서가 요청을 대상으로 전송할 수 없는 경우 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 전에 연결을 닫거나 클라이언트가 잘못된 형식의 요청을 보낸 경우 발생할 수 있습니다. 등록된 대상이 유휴 타임아웃 전에 응답하지 않는 경우에도 이 값은 -1로 설정될 수 있습니다. 유형: 부동(실수) - 이름: responseProcessingTime 설명: 로드 밸런서가 대상로부터 응답 헤더를 수신한 시점부터 클라이언트에 응답을 전송하기 시작한 시점까지 경과한 총 시간(초 단위, 밀리초 정밀도). 여기에는 로드 밸런서에서의 대기 시간과 로드 밸런서에서 클라이언트로의 연결 확보 시간이 모두 포함됩니다. 로드 밸런서가 요청을 대상으로 보낼 수 없는 경우 이 값은 -1로 설정됩니다. 이는 대상이 유휴 타임아웃 전에 연결을 닫거나 클라이언트가 잘못된 형식의 요청을 보낸 경우 발생할 수 있습니다. 유형: 부동(실수) - 이름: elbStatusCode 필수: 예 설명: 로드 밸런서의 응답 상태 코드. 유형: bigint - 이름: targetStatusCode 설명: 대상의 응답 상태 코드. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다. 유형: bigint - 이름: receivedBytes 설명: 클라이언트(요청자)로부터 수신된 요청의 크기(바이트). HTTP 요청의 경우 헤더를 포함합니다. WebSocket의 경우 연결에서 클라이언트로부터 수신된 총 바이트 수입니다. 유형: bigint - 이름: sentBytes 설명: 클라이언트(요청자)에게 전송된 응답의 크기(바이트). HTTP 요청의 경우 헤더를 포함합니다. WebSocket의 경우 연결에서 클라이언트로 전송된 총 바이트 수입니다. 유형: bigint - 이름: requestHttpMethod 설명: 요청에서 파싱된 HTTP 메서드. 유형: 문자열 - 이름: requestUrl 설명: 요청에서 파싱된 HTTP URL. 유형: 문자열 - 이름: requestHttpVersion 설명: 요청에서 파싱된 HTTP 버전. 유형: 문자열 - 이름: userAgent 설명: 요청을 시작한 클라이언트를 식별하는 User-Agent 문자열. 이 문자열은 하나 이상의 제품 식별자(product[/version])로 구성됩니다. 문자열이 8KB보다 길면 잘립니다. 유형: 문자열 - 이름: sslCipher 설명: '[HTTPS 리스너] SSL 암호화 방식. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.' 유형: 문자열 - 이름: sslProtocol 설명: '[HTTPS 리스너] SSL 프로토콜. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.' 유형: 문자열 - 이름: targetGroupArn 설명: 대상 그룹의 Amazon 리소스 이름(ARN). 유형: 문자열 - 이름: traceId 설명: X-Amzn-Trace-Id 헤더의 내용. 유형: 문자열 설명: 사용자 계정의 계정 이름(Active Directory 도메인 또는 DNS 도메인 없이) - (mailNickName이라고도 함) 설명: "[HTTPS 리스너] TLS 핸드셰이크 중 클라이언트가 제공한 SNI 도메인. 클라이언트가 SNI를 지원하지 않거나 도메인이 인증서와 일치하지 않아 기본 인증서가 클라이언트에 제시되는 경우 이 값은 NULL로 설정됩니다." 유형: 문자열 - 이름: chosenCertArn 설명: '[HTTPS 리스너] 클라이언트에 제시된 인증서의 ARN. 세션이 재사용된 경우 이 값은 session-reused로 설정됩니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 NULL로 설정됩니다.' 유형: 문자열 - 이름: matchedRulePriority 설명: 요청과 일치한 규칙의 우선순위 값. 규칙과 일치한 경우 1에서 50,000 사이의 값입니다. 규칙과 일치하지 않아 기본 동작이 수행된 경우 이 값은 0으로 설정됩니다. 규칙 평가 중 오류가 발생하면 -1로 설정됩니다. 그 외의 오류인 경우 NULL로 설정됩니다. 유형: bigint - 이름: requestCreationTime 설명: 로드 밸런서가 클라이언트로부터 요청을 수신한 시각. 유형: 타임스탬프 유형: 타임스탬프 - 이름: actionsExecuted 설명: 요청 처리 시 수행된 작업. 이 값은 Actions Taken에 설명된 값을 포함할 수 있는 쉼표로 구분된 목록입니다. 잘못된 형식의 요청 등으로 아무 작업도 수행되지 않은 경우 이 값은 NULL로 설정됩니다. 유형: 배열 요소: 유형: 문자열 - 이름: redirectUrl 설명: HTTP 응답의 Location 헤더에 대한 리디렉션 대상의 URL. 리디렉션 작업이 수행되지 않은 경우 이 값은 NULL로 설정됩니다. 유형: 문자열 - 이름: errorReason 설명: 오류 사유 코드. 요청이 실패한 경우 이는 Error Reason Codes에 설명된 오류 코드 중 하나입니다. 수행된 작업에 authenticate 작업이 포함되어 있지 않거나 대상이 Lambda 함수가 아닌 경우 이 값은 NULL로 설정됩니다. 유형: 문자열 - 이름: targetPortList 설명: 이 요청을 처리한 대상들의 IP 주소와 포트의 공백으로 구분된 목록으로, 큰따옴표로 묶여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target:port 필드와 일치합니다. 유형: 배열 요소: 유형: 문자열 지표: - net_addr - 이름: targetStatusList 설명: 대상들의 응답에서 반환된 상태 코드들의 공백으로 구분된 목록으로, 큰따옴표로 묶여 있습니다. 현재 이 목록은 하나의 항목을 포함할 수 있으며 target_status_code 필드와 일치합니다. 이 값은 대상과의 연결이 설정되고 대상이 응답을 보낸 경우에만 기록됩니다. 그렇지 않으면 -로 설정됩니다. 유형: 배열 요소: 유형: 문자열 - 이름: classification 설명: 디싱크 완화 분류(분류값)는 큰따옴표로 묶여 있습니다. 요청이 RFC 7230을 준수하지 않으면 가능한 값은 Acceptable, Ambiguous, Severe입니다. 요청이 RFC 7230을 준수하면 이 값은 -로 설정됩니다. 유형: 문자열 - 이름: classificationReason 설명: 분류 사유 코드로, 큰따옴표로 묶여 있습니다. 요청이 RFC 7230을 준수하지 않으면 이는 Classification reasons에 설명된 분류 코드 중 하나입니다. 요청이 RFC 7230을 준수하면 이 값은 -로 설정됩니다. 유형: 문자열

hashtag개요

hashtagAWS ALB 로그를 Panther에 온보딩하는 방법

hashtagPanther 관리 탐지

hashtag지원되는 ALB 로그

hashtag를 추가하여 빠르게 조정할 수 있습니다. 이는 알림이 오탐인 경우, 향후 유사한 이벤트와 매칭되지 않도록 해당 탐지를 조정할 때 특히 유용합니다. 지침은

개요

AWS ALB 로그를 Panther에 온보딩하는 방법

Panther 관리 탐지

지원되는 ALB 로그

를 추가하여 빠르게 조정할 수 있습니다. 이는 알림이 오탐인 경우, 향후 유사한 이벤트와 매칭되지 않도록 해당 탐지를 조정할 때 특히 유용합니다. 지침은