AWS CloudWatch

AWS CloudWatch 로그를 Panther 콘솔에 연결하기

개요

Panther는 Amazon Web Services (AWS)를 수집하는 것을 지원합니다 CloudWatch 이벤트 일반을 통해 데이터 전송 옵션: AWS S3, AWS SQS 또는 직접 CloudWatch 통합을 통해.

Panther는 CloudWatch에 저장된 로그 수집도 지원합니다. 자세한 내용은 사용에 관한 문서를 참조하십시오 데이터 전송 수단으로서의 CloudWatch Logs.

AWS CloudWatch 이벤트를 Panther에 온보딩하는 방법

CloudWatch 로그를 Panther로 가져오려면 AWS 계정에서 데이터를 스트리밍하기 위해 Panther 콘솔에서 S3 버킷 또는 SQS 대기열을 설정해야 합니다.

Panther 콘솔의 왼쪽 탐색 막대에서 클릭하세요 구성 > 로그 소스.
클릭 새로 만들기.
사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요.
선택하세요 AWS CloudWatch 이벤트.
설정을 시작하려면 소스의 전송 방법을 선택하고 아래 해당 Panther 문서를 따르십시오:

앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

Panther의 사전 작성된 AWS 규칙은 panther-analysis Github 리포지토리.

지원되는 AWS CloudWatch 로그

AWS.CloudWatchEvents

CloudWatch 이벤트는 AWS 리소스의 변경을 설명합니다. 자세한 내용은 다음을 참조하십시오 CloudWatch 이벤트 패턴에 관한 AWS 문서.

스키마: AWS.CloudWatchEvents
파서:
  원본:
    이름: AWS.CloudWatchEvents
설명: CloudWatch 이벤트는 AWS 리소스의 변경을 설명합니다.
참조URL: https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html
필드:
  - 이름: id
    required: true
    설명: 각 이벤트에 대해 고유한 값이 생성됩니다. 이는 규칙에서 대상까지 이벤트가 이동하고 처리되는 과정을 추적하는 데 도움이 될 수 있습니다.
    type: string
  - 이름: account
    required: true
    설명: AWS 계정을 식별하는 12자리 숫자.
    type: string
  - 이름: source
    required: true
    설명: 이벤트의 출처인 서비스를 식별합니다. AWS 내부에서 생성된 모든 이벤트는 'aws'로 시작합니다. 고객이 생성한 이벤트는 여기에서 'aws'로 시작하지 않는 한 어떤 값도 가질 수 있습니다. Java 패키지 이름 스타일의 역도메인 문자열 사용을 권장합니다.
    type: string
  - name: resources
    required: true
    설명: 이 JSON 배열은 이벤트에 관련된 리소스를 식별하는 ARN을 포함합니다. 이러한 ARN 포함 여부는 서비스 재량에 달려 있습니다. 예를 들어, Amazon EC2 인스턴스 상태 변경에는 EC2 인스턴스 ARN이 포함되고, Auto Scaling 이벤트에는 인스턴스 및 Auto Scaling 그룹의 ARN이 포함되지만, AWS CloudTrail을 통한 API 호출에는 리소스 ARN이 포함되지 않습니다.
    type: array
    element:
      type: string
  - 이름: region
    required: true
    설명: 이벤트가 발생한 AWS 리전을 식별합니다.
    type: string
  - 이름: detail-type
    required: true
    설명: source 필드와 결합하여 detail 필드에 나타나는 필드와 값을 식별합니다.
    type: string
  - name: version
    required: true
    설명: 기본적으로 모든 이벤트에서 0(영)으로 설정됩니다.
    type: string
  - 이름: time
    required: true
    설명: 이벤트 타임스탬프로, 이벤트를 생성한 서비스에 의해 지정될 수 있습니다. 이벤트가 시간 간격에 걸쳐 발생하는 경우 서비스는 시작 시간을 보고할 수 있으므로 이 값이 실제로 이벤트가 수신되는 시점보다 현저히 이전일 수 있습니다.
    type: timestamp
    시간 형식: rfc3339
  - 이름: detail
    required: true
    설명: 이벤트를 생성한 서비스의 재량에 따라 내용이 결정되는 JSON 객체입니다. 위 예의 detail 내용은 매우 단순하여 두 개의 필드만 있습니다. AWS API 호출 이벤트는 몇 층으로 중첩된 약 50개의 필드를 가진 detail 객체를 가집니다.
    유형: json

PreviousAWS CloudTrail NextAWS Config

Last updated 1 month ago

Was this helpful?

스키마: AWS.CloudWatchEvents 파서: 원본: 이름: AWS.CloudWatchEvents 설명: CloudWatch 이벤트는 AWS 리소스의 변경을 설명합니다. 참조URL: https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html 필드: - 이름: id required: true 설명: 각 이벤트에 대해 고유한 값이 생성됩니다. 이는 규칙에서 대상까지 이벤트가 이동하고 처리되는 과정을 추적하는 데 도움이 될 수 있습니다. type: string - 이름: account required: true 설명: AWS 계정을 식별하는 12자리 숫자. type: string - 이름: source required: true 설명: 이벤트의 출처인 서비스를 식별합니다. AWS 내부에서 생성된 모든 이벤트는 'aws'로 시작합니다. 고객이 생성한 이벤트는 여기에서 'aws'로 시작하지 않는 한 어떤 값도 가질 수 있습니다. Java 패키지 이름 스타일의 역도메인 문자열 사용을 권장합니다. type: string - name: resources required: true 설명: 이 JSON 배열은 이벤트에 관련된 리소스를 식별하는 ARN을 포함합니다. 이러한 ARN 포함 여부는 서비스 재량에 달려 있습니다. 예를 들어, Amazon EC2 인스턴스 상태 변경에는 EC2 인스턴스 ARN이 포함되고, Auto Scaling 이벤트에는 인스턴스 및 Auto Scaling 그룹의 ARN이 포함되지만, AWS CloudTrail을 통한 API 호출에는 리소스 ARN이 포함되지 않습니다. type: array element: type: string - 이름: region required: true 설명: 이벤트가 발생한 AWS 리전을 식별합니다. type: string - 이름: detail-type required: true 설명: source 필드와 결합하여 detail 필드에 나타나는 필드와 값을 식별합니다. type: string - name: version required: true 설명: 기본적으로 모든 이벤트에서 0(영)으로 설정됩니다. type: string - 이름: time required: true 설명: 이벤트 타임스탬프로, 이벤트를 생성한 서비스에 의해 지정될 수 있습니다. 이벤트가 시간 간격에 걸쳐 발생하는 경우 서비스는 시작 시간을 보고할 수 있으므로 이 값이 실제로 이벤트가 수신되는 시점보다 현저히 이전일 수 있습니다. type: timestamp 시간 형식: rfc3339 - 이름: detail required: true 설명: 이벤트를 생성한 서비스의 재량에 따라 내용이 결정되는 JSON 객체입니다. 위 예의 detail 내용은 매우 단순하여 두 개의 필드만 있습니다. AWS API 호출 이벤트는 몇 층으로 중첩된 약 50개의 필드를 가진 detail 객체를 가집니다. 유형: json

hashtag개요

hashtagAWS CloudWatch 이벤트를 Panther에 온보딩하는 방법

hashtag앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

hashtag지원되는 AWS CloudWatch 로그

hashtagAWS.CloudWatchEvents

개요

AWS CloudWatch 이벤트를 Panther에 온보딩하는 방법

앱이 삭제되었거나, 액세스 토큰이 취소되었거나, 앱 자격 증명이 교체된 경우

지원되는 AWS CloudWatch 로그

AWS.CloudWatchEvents