> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/aws/cloudtrail.md). # AWS CloudTrail ## 개요 Panther는 AWS S3 또는 CloudWatch Logs를 통해 Amazon Web Services(AWS) CloudTrail 로그를 수집하는 기능을 지원합니다. 다음을 사용하여 추가 컨텍스트로 CloudTrail 로그를 보강할 수 있습니다. [TrailDiscover](/ko/enrichment/traildiscover.md) 보강 제공자. ### AWS CloudTrail 로그 안내 동영상 {% embed url="" %} AWS CloudTrail 로그를 Panther에 온보딩하는 방법을 보여주는 안내 동영상 {% endembed %} ## AWS CloudTrail 로그를 Panther에 온보딩하는 방법 CloudTrail 로그를 Panther로 가져오려면, 다음을 설정해야 합니다: [데이터 전송](/ko/data-onboarding/data-transports.md) S3 또는 CloudWatch Logs 중 하나를 사용하여. 1. Panther Console의 왼쪽 탐색 바에서 다음을 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. 사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요. 4. 선택 **AWS CloudTrail**. 5. 다음을 클릭합니다: **AWS S3 버킷** 또는 **CloudWatch Logs** 설정을 시작하려면 전송 방법을 선택하세요. 다음을 따르세요: [S3 구성에 대한 Panther 문서 ](/ko/data-onboarding/data-transports/aws/s3.md)또는 [데이터 전송에 CloudWatch Logs 사용](/ko/data-onboarding/data-transports/aws/cloudwatch.md). ### AWS CloudTrail 로그 지연 시간 AWS에서 이벤트가 발생한 후 해당 이벤트가 CloudTrail로 전송되기까지의 지연 시간은 최대 15분일 수 있지만, 일반적으로는 평균 3.5분 정도에 데이터가 들어오는 것을 확인합니다. 자세한 내용은 다음을 참조하세요: [CloudTrail 작동 방식에 대한 AWS 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html). ## Panther가 만든 탐지 Panther의 미리 작성된 AWS 규칙은 다음에서 확인하세요: [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## Data Explorer에서 로그 쿼리하기 Panther의 사용을 위한 예제 SQL 쿼리를 참조하세요 [Data Explorer](/ko/search/data-explorer.md), 다음에서 [CloudTrail 로그 쿼리](/ko/search/data-explorer/example-queries/cloudtrail-logs-queries.md). ## 지원되는 로그 유형 Panther는 지원합니다 [AWS.CloudTrail](#aws.cloudtrail), [AWS.CloudTrailDigest](#aws.cloudtraildigest), 그리고 [AWS.CloudTrailInsight](#aws.cloudtrailinsight). ### AWS.CloudTrail AWSCloudTrail은 CloudTrail S3 객체의 내용을 나타냅니다. 자세한 내용은 다음을 참조하세요: [CloudTrail 로그 이벤트에 대한 AWS 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html). ```yaml schema: AWS.CloudTrail description: AWSCloudTrail은 CloudTrail S3 객체의 내용을 나타냅니다. referenceURL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html fields: - name: additionalEventData description: 요청 또는 응답의 일부가 아니었던 이벤트에 대한 추가 데이터입니다. 유형: json - 이름: apiVersion description: AwsApiCall eventType 값과 관련된 API 버전을 식별합니다. type: string - 이름: awsRegion required: true description: 요청이 이루어진 AWS 리전입니다. 예: us-east-2. type: string - name: errorCode description: 요청이 오류를 반환하는 경우의 AWS 서비스 오류입니다. type: string - 이름: errorMessage description: 요청이 오류를 반환하는 경우의 오류 설명입니다. 이 메시지에는 권한 부여 실패에 대한 메시지도 포함됩니다. CloudTrail은 서비스가 예외 처리 과정에서 기록한 메시지를 캡처합니다. type: string - name: eventID required: true description: 각 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. 이 값을 사용하여 단일 이벤트를 식별할 수 있습니다. 예를 들어, ID를 기본 키로 사용하여 검색 가능한 데이터베이스에서 로그 데이터를 가져올 수 있습니다. type: string - name: eventName required: true description: 요청된 작업으로, 해당 서비스의 API에 있는 작업 중 하나입니다. type: string - name: eventSource required: true description: 요청이 이루어진 서비스입니다. 이 이름은 일반적으로 공백이 없는 서비스 이름의 짧은 형식에 .amazonaws.com을 붙인 형태입니다. type: string - name: eventTime required: true description: 요청이 이루어진 날짜와 시간이며, 협정 세계시(UTC) 기준입니다. type: timestamp timeFormats: - rfc3339 isEventTime: true - name: eventType required: true description: 이벤트 레코드를 생성한 이벤트의 유형을 식별합니다. 다음 값 중 하나일 수 있습니다: AwsApiCall, AwsServiceEvent, AwsConsoleSignIn type: string - name: eventVersion required: true description: 로그 이벤트 형식의 버전입니다. type: string - name: managementEvent description: 이벤트가 관리 이벤트인지 여부를 식별하는 불리언 값입니다. eventVersion이 1.06 이상이고 이벤트 유형이 다음 중 하나인 경우 이벤트 레코드에 managementEvent가 표시됩니다: AwsApiCall, AwsConsoleAction, AwsConsoleSignIn, AwsServiceEvent 유형: boolean - name: readOnly description: 이 작업이 읽기 전용 작업인지 식별합니다. 유형: boolean - name: recipientAccountId description: 이 이벤트를 받은 계정 ID를 나타냅니다. recipientAccountID는 CloudTrail userIdentity Element accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스에서 발생할 수 있습니다. type: string 표시자: - aws_account_id - name: requestID description: 요청을 식별하는 값입니다. 호출된 서비스가 이 값을 생성합니다. type: string - name: requestParameters description: 요청과 함께 전송된 매개변수입니다. 있는 경우에만 포함됩니다. 이러한 매개변수는 해당 AWS 서비스의 API 참조 문서에 문서화되어 있습니다. 유형: json - 이름: resources description: 이벤트에서 액세스한 리소스 목록입니다. type: array element: type: object fields: - 이름: arn description: 리소스의 ARN type: string 표시자: - aws_arn - 이름: accountId description: 리소스 소유자의 계정 ID type: string 표시자: - aws_account_id - 이름: type description: '다음 형식의 리소스 유형 식별자: AWS::aws-service-name::data-type-name' type: string - name: responseElements description: 변경을 수행하는 작업(create, update, delete 작업)의 응답 요소입니다. 작업이 상태를 변경하지 않는 경우(예: 객체를 가져오거나 나열하는 요청) 이 요소는 생략됩니다. 이러한 작업은 해당 AWS 서비스의 API 참조 문서에 문서화되어 있습니다. 유형: json - name: serviceEventDetails description: 이벤트를 트리거한 원인과 결과를 포함한 서비스 이벤트를 식별합니다. 유형: json - name: sharedEventID description: 다른 AWS 계정으로 전송되는 동일한 AWS 작업의 CloudTrail 이벤트를 고유하게 식별하기 위해 CloudTrail이 생성한 GUID입니다. type: string - 이름: sourceIPAddress description: 요청이 이루어진 IP 주소입니다. 서비스 콘솔에서 시작된 작업의 경우 보고되는 주소는 콘솔 웹 서버가 아니라 기본 고객 리소스의 주소입니다. AWS의 서비스의 경우 DNS 이름만 표시됩니다. type: string 표시자: - 호스트 이름 - 이름: userAgent description: AWS Management Console, AWS 서비스, AWS SDK 또는 AWS CLI와 같이 요청이 이루어진 에이전트입니다. type: string - 이름: userIdentity required: true description: 요청을 만든 사용자에 대한 정보입니다. type: object fields: - 이름: type description: ID 유형입니다(Root, IAMUser, AssumedRole, Role, FederatedUser, Directory, AWSAccount, AWSService, IdentityCenterUser, Unknown, SAMLUser, WebIdentityUser) type: string - name: principalId description: 호출을 수행한 엔터티의 고유 식별자입니다. type: string 표시자: - 행위자 ID - 이름: arn description: 호출을 수행한 주체의 ARN입니다. type: string 표시자: - aws_arn - 이름: accountId description: 요청에 대한 권한을 부여한 엔터티를 소유한 계정입니다. type: string 표시자: - aws_account_id - 이름: accessKeyId description: 요청에 서명할 때 사용한 액세스 키 ID입니다. type: string 표시자: - trace_id - name: userName description: 호출을 수행한 ID의 사람이 읽기 쉬운 이름입니다. type: string 표시자: - 사용자명 - name: sessionContext description: 요청이 임시 보안 자격 증명으로 이루어진 경우, 이 요소는 생성된 세션에 대한 정보를 제공합니다. type: object fields: - 이름: attributes description: 세션의 속성입니다. type: object fields: - name: mfaAuthenticated description: 요청에 자격 증명을 사용한 루트 사용자 또는 IAM 사용자가 MFA 장치로도 인증한 경우 값은 'true'이고, 그렇지 않으면 'false'입니다. type: string - name: creationDate description: 임시 보안 자격 증명이 발급된 날짜와 시간입니다. type: timestamp timeFormats: - rfc3339 - name: sessionIssuer description: 세션을 발급한 엔터티에 대한 정보입니다. type: object fields: - 이름: type description: Root, IAMUser 또는 Role과 같은 임시 보안 자격 증명의 소스입니다. type: string - name: principalId description: 자격 증명을 얻는 데 사용된 엔터티의 내부 ID입니다. type: string 표시자: - 행위자 ID - 이름: arn description: 임시 보안 자격 증명을 얻는 데 사용된 소스(계정, IAM 사용자 또는 역할)의 ARN입니다. type: string 표시자: - aws_arn - 이름: accountId description: 자격 증명을 얻는 데 사용된 엔터티를 소유한 계정입니다. type: string 표시자: - aws_account_id - name: userName description: 세션을 발급한 사용자 또는 역할의 사람이 읽기 쉬운 이름입니다. 표시되는 값은 sessionIssuer ID 유형에 따라 달라집니다. type: string 표시자: - 사용자명 - name: webIdFederationData description: 웹 ID 연동에 대한 정보입니다. type: object fields: - name: federatedProvider description: ID 공급자의 주체 이름입니다. 예: Login with Amazon의 경우 www.amazon.com, Google의 경우 accounts.google.com type: string 표시자: - aws_arn - 이름: attributes description: 공급자가 보고한 애플리케이션 ID와 사용자 ID입니다. 예: Login with Amazon의 경우 www.amazon.com:app_id 및 www.amazon.com:user_id. 유형: json - name: ec2RoleDelivery description: 자격 증명이 Amazon EC2 Instance Metadata Service Version 1(IMDSv1)에 의해 제공된 경우 값은 '1.0'입니다. 새 IMDS 스킴을 사용해 자격 증명이 제공된 경우 값은 '2.0'입니다. type: string - name: sourceIdentity description: sourceIdentity 필드는 사용자가 작업을 수행하기 위해 IAM 역할을 수임할 때 이벤트에 나타납니다. sourceIdentity는 요청을 만든 원래 사용자 ID를 식별하며, 해당 사용자의 ID가 IAM 사용자이든, IAM 역할이든, SAML 기반 연동을 통해 인증된 사용자이든, OIDC(OpenID Connect) 호환 웹 ID 연동을 통해 인증된 사용자이든 상관없습니다. type: string - name: invokedBy description: Amazon EC2 Auto Scaling 또는 AWS Elastic Beanstalk와 같이 요청을 수행한 AWS 서비스의 이름입니다. type: string - name: identityProvider description: 외부 ID 공급자의 주체 이름입니다. SAMLUser 또는 WebIdentityUser 유형에만 표시됩니다. type: string - name: onBehalfOf description: 요청이 대신 수행된 IAM Identity Center 사용자에 대한 정보입니다. type: object fields: - name: userId description: 호출이 대신 수행된 IAM Identity Center 사용자의 ID입니다. type: string - name: identityStoreArn description: 호출이 대신 수행된 IAM Identity Center ID 저장소의 ARN입니다. type: string 표시자: - aws_arn - name: inScopeOf description: Lambda 또는 Amazon ECS와 같은 AWS 서비스 범위 내에서 요청이 이루어진 경우, 요청과 관련된 리소스 또는 자격 증명에 대한 정보를 제공합니다. type: object fields: - name: sourceArn description: 서비스 간 요청을 호출한 리소스의 ARN입니다. type: string 표시자: - aws_arn - name: sourceAccount description: sourceArn의 소유자 계정 ID입니다. sourceArn과 함께 표시됩니다. type: string 표시자: - aws_account_id - name: issuerType description: credentialsIssuedTo의 리소스 유형입니다. 예: AWS::Lambda::Function type: string - name: credentialsIssuedTo description: 자격 증명이 발급된 환경과 관련된 리소스입니다. type: string - name: credentialId description: 요청의 자격 증명 ID입니다. 이는 호출자가 IAM Identity Center 승인 액세스 토큰과 같은 베어러 토큰을 사용하는 경우에만 설정됩니다. type: string - name: vpcEndpointId description: VPC에서 Amazon S3와 같은 다른 AWS 서비스로 요청이 이루어진 VPC 엔드포인트를 식별합니다. type: string - name: eventCategory description: LookupEvents 호출에 사용되는 이벤트 범주를 표시합니다. type: string - name: sessionCredentialFromConsole description: 이벤트가 AWS Management Console 세션에서 시작되었는지 여부를 표시합니다. false인 경우 표시되지 않습니다. 유형: boolean - name: edgeDeviceDetails description: 요청의 대상인 엣지 디바이스에 대한 정보를 표시합니다. 유형: json - name: tlsDetails description: Transport Layer Security(TLS) 버전, 암호 그룹, 그리고 서비스 API 호출의 클라이언트 제공 호스트 이름의 FQDN에 대한 정보를 표시합니다. type: object fields: - 이름: tlsVersion description: 요청의 TLS 버전입니다. type: string - name: cipherSuite description: 요청의 암호 그룹(사용된 보안 알고리즘의 조합)입니다. type: string - name: clientProvidedHostHeader description: 요청을 만든 클라이언트의 FQDN입니다. type: string - name: addendum description: 이벤트 전송이 지연되었거나, 이벤트가 기록된 후 기존 이벤트에 대한 추가 정보가 사용 가능해진 경우, 이 필드는 이벤트가 지연된 이유나 누락된 정보에 대한 정보를 보여줍니다. type: object fields: - 이름: reason description: 이벤트 또는 그 일부 내용이 누락된 이유입니다. 값은 DELIVERY_DELAY, UPDATED_DATA 또는 SERVICE_OUTAGE일 수 있습니다. type: string - name: updatedFields description: addendum에 의해 업데이트되는 이벤트 레코드 필드입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다. type: string - name: originalRequestID description: 요청의 원래 고유 ID입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다. type: string - name: originalEventID description: 원래 이벤트 ID입니다. 이유가 UPDATED_DATA인 경우에만 제공됩니다. type: string ``` ### AWS.CloudTrailDigest AWSCloudTrailDigest는 지난 1시간 동안 S3 버킷에 전달된 로그 파일의 이름, 해당 로그 파일의 해시 값, 이전 다이제스트 파일의 서명을 포함합니다. 자세한 내용은 다음을 참조하세요: [CloudTrail 다이제스트 파일 구조에 대한 AWS 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-digest-file-structure.html). ```yaml schema: AWS.CloudTrailDigest 파서: native: name: AWS.CloudTrailDigest description: AWSCloudTrailDigest는 지난 1시간 동안 Amazon S3 버킷에 전달된 로그 파일의 이름, 해당 로그 파일의 해시 값, 이전 다이제스트 파일의 서명을 포함합니다. referenceURL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-digest-file-structure.html version: 0 fields: - 이름: awsAccountId required: true description: 다이제스트 파일이 전달된 AWS 계정 ID입니다. type: string 표시자: - aws_account_id - name: digestStartTime required: true description: CloudTrail이 로그 파일을 전달한 시간을 기준으로, 다이제스트 파일이 포함하는 시작 UTC 시간 범위입니다. type: timestamp timeFormat: rfc3339 - name: digestEndTime required: true description: CloudTrail이 로그 파일을 전달한 시간을 기준으로, 다이제스트 파일이 포함하는 종료 UTC 시간 범위입니다. type: timestamp timeFormat: rfc3339 isEventTime: true - name: digestS3Bucket required: true description: 현재 다이제스트 파일이 전달된 Amazon S3 버킷의 이름입니다. type: string - name: digestS3Object required: true description: 현재 다이제스트 파일의 Amazon S3 객체 키(즉, Amazon S3 버킷 위치)입니다. type: string - name: newestEventTime description: 다이제스트의 로그 파일에 있는 모든 이벤트 중 가장 최근 이벤트의 UTC 시간입니다. type: timestamp timeFormat: rfc3339 - name: oldestEventTime description: 다이제스트의 로그 파일에 있는 모든 이벤트 중 가장 오래된 이벤트의 UTC 시간입니다. type: timestamp timeFormat: rfc3339 - name: previousDigestS3Bucket description: 이전 다이제스트 파일이 전달된 Amazon S3 버킷입니다. type: string - name: previousDigestS3Object description: 이전 다이제스트 파일의 Amazon S3 객체 키(즉, Amazon S3 버킷 위치)입니다. type: string - name: previousDigestHashValue description: 이전 다이제스트 파일의 압축 해제된 내용에 대한 16진수로 인코딩된 해시 값입니다. type: string 표시자: - sha256 - name: previousDigestHashAlgorithm description: 이전 다이제스트 파일의 해시에 사용된 해시 알고리즘의 이름입니다. type: string - name: previousDigestSignature description: 이전 다이제스트 파일의 16진수로 인코딩된 서명입니다. type: string - name: digestPublicKeyFingerprint required: true description: 이 다이제스트 파일에 서명하는 데 사용된 개인 키와 일치하는 공개 키의 16진수로 인코딩된 지문입니다. type: string - name: digestSignatureAlgorithm required: true description: 다이제스트 파일에 서명하는 데 사용된 알고리즘입니다. type: string - name: logFiles required: true description: 이 다이제스트에 포함되어 전달된 로그 파일입니다. type: array element: type: object fields: - name: s3Bucket required: true description: 로그 파일의 Amazon S3 버킷 이름입니다. type: string - name: s3Object required: true description: 현재 로그 파일의 Amazon S3 객체 키입니다. type: string - name: hashValue required: true description: 압축 해제된 로그 파일 내용의 16진수로 인코딩된 해시 값입니다. type: string 표시자: - sha256 - name: hashAlgorithm required: true description: 로그 파일을 해시하는 데 사용된 해시 알고리즘입니다. type: string - name: newestEventTime required: true description: 로그 파일의 이벤트 중 가장 최근 이벤트의 UTC 시간입니다. type: timestamp timeFormat: rfc3339 - name: oldestEventTime required: true description: 로그 파일의 이벤트 중 가장 오래된 이벤트의 UTC 시간입니다. type: timestamp timeFormat: rfc3339 ``` ### AWS.CloudTrailInsight AWSCloudTrailInsight는 CloudTrail Insight 이벤트 레코드 S3 객체의 내용을 나타냅니다. 자세한 내용은 다음을 참조하세요: [CloudTrail 로그 이벤트에 대한 AWS 문서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html). ```yaml schema: AWS.CloudTrailInsight 파서: native: name: AWS.CloudTrailInsight description: AWSCloudTrailInsight는 CloudTrail Insight 이벤트 레코드 S3 객체의 내용을 나타냅니다. referenceURL: https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html version: 0 fields: - name: eventVersion required: true description: 로그 이벤트 형식의 버전입니다. type: string - name: eventTime required: true description: 요청이 이루어진 날짜와 시간이며, 협정 세계시(UTC) 기준입니다. type: timestamp timeFormat: rfc3339 isEventTime: true - 이름: awsRegion required: true description: 요청이 이루어진 AWS 리전입니다. 예: us-east-2. type: string - name: eventId required: true description: 각 이벤트를 고유하게 식별하기 위해 CloudTrail에서 생성한 GUID입니다. 이 값을 사용하여 단일 이벤트를 식별할 수 있습니다. 예를 들어, ID를 기본 키로 사용하여 검색 가능한 데이터베이스에서 로그 데이터를 가져올 수 있습니다. type: string - name: eventType required: true description: 이벤트 레코드를 생성한 이벤트의 유형을 식별합니다. 다음 값 중 하나일 수 있습니다: AwsApiCall, AwsServiceEvent, AwsConsoleSignIn type: string - name: recipientAccountId description: 이 이벤트를 받은 계정 ID를 나타냅니다. recipientAccountID는 CloudTrail userIdentity Element accountId와 다를 수 있습니다. 이는 교차 계정 리소스 액세스에서 발생할 수 있습니다. type: string 표시자: - aws_account_id - name: sharedEventId required: true description: CloudTrail Insights에서 생성한 GUID로, Insights 이벤트를 고유하게 식별합니다. sharedEventID는 시작 Insights 이벤트와 종료 Insights 이벤트에서 공통입니다. type: string 표시자: - trace_id - name: insightDetails required: true description: 이벤트 소스, 통계, API 이름, 그리고 이벤트가 Insights 이벤트의 시작인지 종료인지와 같은 Insights 이벤트의 기본 트리거에 대한 정보를 표시합니다. type: object fields: - name: state required: true description: 이벤트가 인사이트의 시작인지 종료인지(비정상 활동의 시작 또는 종료)를 표시합니다. 값은 Start 또는 End입니다. type: string - name: eventSource required: true description: 비정상 활동이 감지된 AWS API입니다. type: string - name: eventName required: true description: 비정상 활동이 감지된 AWS API입니다. type: string - name: insightType required: true description: Insights 이벤트의 유형입니다. 값은 ApiCallRateInsight입니다. type: string - name: insightContext description: 해당 API에 대한 일반적인 분당 호출 수와 비교한, Insights 이벤트를 트리거한 호출 비율에 대한 데이터입니다. type: object fields: - name: statistics description: 계정의 해당 API에 대한 일반적인 평균 호출 비율, Insights 이벤트를 트리거한 호출 비율, 그리고 Insights 이벤트의 지속 시간(분)에 대한 데이터를 담는 컨테이너입니다. type: object fields: - name: baseline description: 특정 AWS 리전 내에서 계정이 해당 API에 대해 갖는 일반적인 평균 호출 비율을 표시합니다. type: object fields: - name: average description: 인사이트 메트릭의 평균값입니다. type: float - name: insight description: Insights 이벤트 기록을 트리거하는 해당 API에 대한 비정상적인 호출 비율을 표시합니다. type: object fields: - name: average description: 인사이트 메트릭의 평균값입니다. type: float - name: insightDuration description: Insights 이벤트의 지속 시간(분)입니다(해당 API의 비정상 활동 시작부터 종료까지의 기간). insightDuration은 종료 Insights 이벤트에만 나타납니다. type: float - name: eventCategory required: true description: LookupEvents 호출에 사용되는 이벤트 범주를 표시합니다. Insights 이벤트에서는 값이 insight입니다. type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/cloudtrail.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.