# AWS CloudWatch ## 개요 Panther는 Amazon Web Services (AWS) [CloudWatch 이벤트](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) 공통을 통해 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션: AWS S3, AWS SQS, 또는 직접 CloudWatch 통합을 통해. Panther는 CloudWatch에 저장된 로그의 수집도 지원합니다. 자세한 내용은 다음 사용법에 대한 문서를 참조하세요. [CloudWatch Logs를 데이터 전송 수단으로 사용](/ko/data-onboarding/data-transports/aws/cloudwatch.md). ## AWS CloudWatch 이벤트를 Panther에 온보딩하는 방법 CloudWatch 로그를 Panther로 가져오려면, AWS 계정의 데이터를 스트리밍하기 위해 Panther Console에서 S3 버킷 또는 SQS 큐를 설정해야 합니다. 1. Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭하세요. **새로 만들기.** 3. 사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요. 4. 다음을 선택합니다 **AWS CloudWatch 이벤트**. 5. 설정을 시작하려면 소스에 대한 전송 방법을 선택하고, 아래의 해당 Panther 문서를 따르세요: * [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md) * [AWS SQS Queue](/ko/data-onboarding/data-transports/aws/sqs.md) * [AWS CloudWatch 이벤트](/ko/data-onboarding/data-transports/aws/cloudwatch.md) CloudWatch Logs를 데이터 전송 수단으로 사용할 때, 선택적으로 봉투 필드 보존을 활성화하여 로그 소스에 대한 메타데이터를 `p_header` 필드에 보존할 수 있습니다. 이는 각 로그 이벤트의 출처에 대한 추가 컨텍스트를 제공합니다. 다음을 참조하세요. [봉투 필드 보존](/ko/data-onboarding/data-transports/aws/cloudwatch.md#envelope-field-retention) 활성화 방법은 이 지침을 참조하세요. ## Panther가 만든 탐지 에서 Panther의 미리 작성된 AWS 규칙을 확인하세요 [panther-analysis Github 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## 지원되는 AWS CloudWatch 로그 ### AWS.CloudWatchEvents CloudWatch 이벤트는 AWS 리소스의 변경 사항을 설명합니다. 자세한 내용은 다음을 참조하세요. [CloudWatch Events 패턴에 대한 AWS 문서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html). ```yaml schema: AWS.CloudWatchEvents parser: native: name: AWS.CloudWatchEvents description: CloudWatch 이벤트는 AWS 리소스의 변경 사항을 설명합니다. referenceURL: https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html fields: - name: id required: true description: 모든 이벤트마다 고유한 값이 생성됩니다. 이는 이벤트가 규칙을 거쳐 대상에 도달하고 처리되는 과정을 추적하는 데 유용할 수 있습니다. type: string - name: account required: true description: AWS 계정을 식별하는 12자리 숫자입니다. type: string - name: source required: true description: 이벤트의 출처가 된 서비스를 식별합니다. AWS 내부에서 발생한 모든 이벤트는 'aws'로 시작합니다. 고객이 생성한 이벤트는 'aws'로 시작하지 않는 한 여기에서 어떤 값이든 사용할 수 있습니다. Java 패키지 이름 스타일의 역방향 도메인 이름 문자열 사용을 권장합니다. type: string - name: resources required: true description: 이 JSON 배열에는 이벤트와 관련된 리소스를 식별하는 ARN이 포함됩니다. 이러한 ARN의 포함 여부는 서비스의 재량에 달려 있습니다. 예를 들어, Amazon EC2 인스턴스 상태 변경에는 Amazon EC2 인스턴스 ARN이 포함되고, Auto Scaling 이벤트에는 인스턴스와 Auto Scaling 그룹의 ARN이 모두 포함되지만, AWS CloudTrail의 API 호출에는 리소스 ARN이 포함되지 않습니다. type: array element: type: string - 이름: region required: true description: 이벤트가 시작된 AWS 리전을 식별합니다. type: string - name: detail-type required: true description: source 필드와 함께 detail 필드에 나타나는 필드와 값을 식별합니다. type: string - name: version required: true description: 기본적으로 모든 이벤트에서 0(영)으로 설정됩니다. type: string - name: time required: true description: 이벤트 타임스탬프로, 이벤트를 발생시킨 서비스가 지정할 수 있습니다. 이벤트가 시간 간격에 걸쳐 있는 경우, 서비스는 시작 시간을 보고하도록 선택할 수 있으므로 이 값은 실제로 이벤트가 수신되는 시간보다 눈에 띄게 이전일 수 있습니다. type: timestamp timeFormat: rfc3339 - name: detail required: true description: 내용은 이벤트를 발생시킨 서비스의 재량에 달린 JSON 객체입니다. 위 예시의 detail 내용은 매우 단순하며, 필드가 두 개뿐입니다. AWS API 호출 이벤트는 여러 수준에 중첩된 약 50개의 필드를 가진 detail 객체를 포함합니다. type: json ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/cloudwatch.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.