> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/aws/cloudwatch.md). # AWS CloudWatch ## 개요 Panther는 Amazon Web Services(AWS) 수집을 지원합니다 [CloudWatch 이벤트](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) 공통을 통해 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션: AWS S3, AWS SQS 또는 직접 CloudWatch 통합을 통해. Panther는 CloudWatch에 저장된 로그도 수집할 수 있습니다. 자세한 내용은 사용 방법에 대한 문서를 참조하세요 [데이터 전송 수단으로서의 CloudWatch Logs](/ko/data-onboarding/data-transports/aws/cloudwatch.md). ## AWS CloudWatch 이벤트를 Panther에 온보딩하는 방법 CloudWatch 로그를 Panther로 가져오려면, AWS 계정의 데이터를 스트리밍하도록 Panther 콘솔에서 S3 버킷 또는 SQS 큐를 설정해야 합니다. 1. Panther Console의 왼쪽 탐색 바에서 다음을 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기.** 3. 사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요. 4. 선택 **AWS CloudWatch 이벤트**. 5. 설정을 시작하려면 소스에 대한 전송 방법을 선택하고 아래의 해당 Panther 문서를 따르세요: * [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md) * [AWS SQS 대기열](/ko/data-onboarding/data-transports/aws/sqs.md) * [AWS CloudWatch 이벤트](/ko/data-onboarding/data-transports/aws/cloudwatch.md) CloudWatch Logs를 데이터 전송 수단으로 사용할 때, 선택적으로 봉투 필드 보존을 활성화하여 로그 소스에 대한 메타데이터를 `p_header` 필드에 보존할 수 있습니다. 이를 통해 각 로그 이벤트의 출처에 대한 추가 컨텍스트를 제공합니다. 참조하세요 [봉투 필드 보존](/ko/data-onboarding/data-transports/aws/cloudwatch.md#envelope-field-retention) 활성화 방법은 ## Panther가 만든 탐지 Panther의 미리 작성된 AWS 규칙은 다음에서 확인하세요: [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## 지원되는 AWS CloudWatch 로그 ### AWS.CloudWatchEvents CloudWatch 이벤트는 AWS 리소스의 변경 사항을 설명합니다. 자세한 내용은 [CloudWatch Events 패턴에 대한 AWS 문서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html). ```yaml 스키마: AWS.CloudWatchEvents 파서: native: 이름: AWS.CloudWatchEvents 설명: CloudWatch 이벤트는 AWS 리소스의 변경 사항을 설명합니다. 참조 URL: https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html fields: - 이름: id required: true 설명: 모든 이벤트마다 고유한 값이 생성됩니다. 이는 이벤트가 규칙을 거쳐 대상에 전달되고 처리되는 과정을 추적하는 데 유용할 수 있습니다. type: string - 이름: account required: true 설명: AWS 계정을 식별하는 12자리 숫자입니다. type: string - 이름: source required: true 설명: 이벤트를 소싱한 서비스를 식별합니다. AWS 내부에서 소싱된 모든 이벤트는 'aws'로 시작합니다. 고객 생성 이벤트는 'aws'로 시작하지 않는 한 여기에서 어떤 값이든 사용할 수 있습니다. Java 패키지 이름 스타일의 역방향 도메인 이름 문자열 사용을 권장합니다. type: string - 이름: resources required: true 설명: 이 JSON 배열에는 이벤트와 관련된 리소스를 식별하는 ARN이 포함됩니다. 이러한 ARN의 포함 여부는 서비스의 재량에 달려 있습니다. 예를 들어, Amazon EC2 인스턴스 상태 변경에는 Amazon EC2 인스턴스 ARN이 포함되고, Auto Scaling 이벤트에는 인스턴스와 Auto Scaling 그룹 모두의 ARN이 포함되지만, AWS CloudTrail을 사용하는 API 호출에는 리소스 ARN이 포함되지 않습니다. type: array element: type: string - 이름: region required: true 설명: 이벤트가 발생한 AWS 리전을 식별합니다. type: string - 이름: detail-type required: true 설명: source 필드와 함께 detail 필드에 표시되는 필드와 값을 식별합니다. type: string - 이름: version required: true 설명: 기본적으로 모든 이벤트에서 이 값은 0(영)으로 설정됩니다. type: string - 이름: time required: true 설명: 이벤트 타임스탬프로, 이벤트를 발생시킨 서비스가 지정할 수 있습니다. 이벤트가 시간 구간에 걸쳐 있는 경우 서비스는 시작 시간을 보고하도록 선택할 수 있으므로, 이 값은 이벤트가 실제로 수신된 시간보다 눈에 띄게 앞설 수 있습니다. type: timestamp timeFormat: rfc3339 - 이름: detail required: true 설명: 콘텐츠는 이벤트를 발생시킨 서비스의 재량에 달려 있는 JSON 객체입니다. 위 예시의 detail 콘텐츠는 매우 단순하며, 두 개의 필드만 있습니다. AWS API 호출 이벤트의 detail 객체에는 여러 수준으로 중첩된 약 50개의 필드가 있습니다. 유형: json ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/cloudwatch.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.