> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/aws/transit-gateway.md). # AWS Transit Gateway ## 개요 Panther는 AWS S3를 통해 Amazon Web Services(AWS) Transit Gateway Flow 로그를 수집하는 것을 지원합니다. ## AWS Transit Gateway 로그를 Panther에 온보딩하는 방법 Transit Gateway 로그를 Panther로 가져오려면, AWS 계정에서 데이터를 스트리밍할 수 있도록 Panther Console에서 S3 버킷을 설정해야 합니다. 1. Panther Console의 왼쪽 탐색 바에서 다음을 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. 사용 가능한 로그 소스 목록을 보려면 "AWS"를 검색하세요. 4. 선택 **AWS Transit Gateway Flow**. 5. 선택 **AWS S3 버킷** 소스 설정을 시작하려면 [데이터 전송을 위해 S3를 구성하는 Panther 문서](/ko/data-onboarding/data-transports/aws/s3.md). ## Panther가 만든 탐지 Panther의 미리 작성된 AWS 규칙은 다음에서 확인하세요: [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## 지원되는 AWS Transit Gateway 로그 ### AWS.TransitGatewayFlow TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. \ Panther가 TransitGatewayFlow 로그를 올바르게 수집하려면, 로그가 헤더가 있는 CSV 형식으로 S3에서 직접 제공되어야 합니다. 자세한 내용은 다음을 참조하세요 [AWS의 Transit Gateway Flow Logs 문서](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html). ```yaml schema: AWS.TransitGatewayFlow 파서: native: name: AWS.TransitGatewayFlow description: TransitGatewayFlow 로그를 사용하면 트랜짓 게이트웨이로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. referenceURL: https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html fields: - 이름: version description: Transit Gateway Flow Logs 버전입니다. 기본 형식을 사용하는 경우 버전은 2입니다. type: bigint - name: resourceType description: 구독이 생성된 위치로, TransitGateway 또는 TransitGatewayAttachment입니다. type: string - 이름: accountId description: 트랜짓 게이트웨이의 소유 AWS 계정 ID입니다. type: string 표시자: - aws_account_id - name: tgwId required: true description: 트래픽이 기록되는 트랜짓 게이트웨이의 ID입니다. type: string - name: tgwAttachmentId description: 트래픽이 기록되는 트랜짓 게이트웨이 첨부의 ID입니다. type: string - name: tgwPairAttachmentId description: 흐름 방향에 따라 이 값은 흐름의 송신(eegress) 또는 수신(ingress) 첨부 ID입니다. type: string - 이름: protocol description: 트래픽의 IANA 프로토콜 번호입니다. type: bigint - name: packets description: 흐름 동안 전송된 패킷 수입니다. type: bigint - 이름: bytes description: 흐름 동안 전송된 바이트 수입니다. type: bigint - name: start required: true description: 흐름 시작 시간(UTC)입니다. type: timestamp timeFormats: - unix isEventTime: true - name: end description: 흐름 종료 시간(UTC)입니다. type: timestamp timeFormats: - unix - name: logStatus description: '흐름 로그의 로깅 상태입니다. OK: 데이터가 선택한 대상에 정상적으로 기록되고 있습니다. NODATA: 집계 간격 동안 네트워크 인터페이스로 들어오거나 나가는 네트워크 트래픽이 없었습니다. SKIPDATA: 집계 간격 동안 일부 흐름 로그 레코드가 건너뛰어졌습니다. 이는 내부 용량 제약 또는 내부 오류 때문일 수 있습니다.' type: string - 이름: type description: '트래픽 유형: IPv4, IPv6 또는 EFA입니다.' type: string - name: packetsLostNoRoute description: 경로가 지정되지 않아 손실된 패킷 수입니다. type: bigint - name: packetsLostBlackhole description: 블랙홀로 인해 손실된 패킷 수입니다. type: bigint - name: packetsLostMtuExceeded description: MTU 초과 크기로 인해 손실된 패킷 수입니다. type: bigint - name: packetsLostTtlExpired description: TTL 만료로 인해 손실된 패킷 수입니다. type: bigint - name: tcpFlags description: '다음 TCP 플래그의 비트마스크 값입니다. FIN: 1, SYN: 2, RST: 4, PSH: 8, ACK: 16, SYN-ACK: 18, URG: 32. 흐름 로그 항목이 ACK 패킷만으로 구성된 경우 플래그 값은 16이 아니라 0입니다. TCP 플래그는 집계 간격 동안 OR 연산될 수 있습니다. 짧은 연결의 경우 플래그가 흐름 로그 레코드의 동일한 행에 설정될 수 있습니다. 예를 들어 SYN-ACK와 FIN의 경우 19, SYN과 FIN의 경우 3입니다.' type: bigint - 이름: region description: 트래픽이 기록되는 트랜짓 게이트웨이가 포함된 리전입니다. type: string - name: flowDirection description: '트래픽이 캡처되는 인터페이스를 기준으로 한 흐름 방향입니다. 가능한 값은 ingress | egress입니다.' type: string - name: tgwSrcVpcAccountId description: 소스 VPC 트래픽에 대한 AWS 계정 ID입니다. type: string 표시자: - aws_account_id - name: tgwSrcVpcId description: 트랜짓 게이트웨이의 소스 VPC ID입니다. type: string - name: tgwSrcSubnetId description: 트랜짓 게이트웨이 소스 트래픽의 서브넷 ID입니다. type: string - name: tgwSrcEni description: 흐름의 소스 트랜짓 게이트웨이 첨부 ENI ID입니다. type: string - name: tgwSrcAzId description: 트래픽이 기록되는 소스 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다. 트래픽이 하위 위치에서 온 경우 이 필드에는 '-' 기호가 표시됩니다. type: string - name: srcAddr description: 들어오는 트래픽의 소스 주소 또는 트랜짓 게이트웨이에서 나가는 트래픽에 대한 트랜짓 게이트웨이의 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다. type: string 표시자: - ip - name: srcPort description: 트래픽의 소스 포트입니다. type: bigint - name: pktSrcAwsService description: '소스 IP 주소가 AWS 서비스인 경우 srcaddr에 대한 IP 주소 범위 하위 집합의 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string - name: tgwDstVpcAccountId description: 대상 VPC 트래픽에 대한 AWS 계정 ID입니다. type: string 표시자: - aws_account_id - name: tgwDstVpcId description: 트랜짓 게이트웨이의 대상 VPC ID입니다. type: string - name: tgwDstSubnetId description: 트랜짓 게이트웨이 대상 트래픽의 서브넷 ID입니다. type: string - name: tgwDstEni description: 흐름의 대상 트랜짓 게이트웨이 첨부 ENI ID입니다. type: string - name: tgwDstAzId description: 트래픽이 기록되는 대상 트랜짓 게이트웨이가 포함된 가용 영역의 ID입니다. type: string - name: dstAddr description: 나가는 트래픽의 대상 주소 또는 트랜짓 게이트웨이에서 들어오는 트래픽에 대한 트랜짓 게이트웨이의 IPv4 또는 IPv6 주소입니다. 트랜짓 게이트웨이의 IPv4 주소는 항상 프라이빗 IPv4 주소입니다. type: string 표시자: - ip - name: dstPort description: 트래픽의 대상 포트입니다. type: bigint - name: pktDstAwsService description: '대상 IP 주소가 AWS 서비스인 경우 dstaddr 필드에 대한 IP 주소 범위 하위 집합의 이름입니다. 가능한 값은 다음과 같습니다: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.' type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/transit-gateway.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.