Panther는 Cloudflare의 Logpush 서비스를 통해 Cloudflare 로그를 수집하는 것을 지원합니다. 이 서비스는 로그를 Amazon Web Services(AWS) S3, Google Cloud Storage(GCS) 또는 Azure Blob Storage로 직접 스트리밍합니다.
Cloudflare의 Logpush는 Cloudflare 엔터프라이즈 고객에게만 제공된다는 점을 참고하세요. 이 페이지의 일부 Cloudflare 로그 유형(예: 감사 로그)은 Logpush 없이 가져올 수 있지만, Panther가 지원하는 스키마는 Logpush로 전달될 때의 데이터 구조에 의존합니다.
Panther는 Cloudflare에서 제공되는 30개 이상의 로그 유형 중 네 가지를 기본적으로 지원합니다. Cloudflare 데이터셋에 지원되지 않는 로그 유형이 포함되어 있다면 대신 S3 데이터 전송 소스.
# Panther에 의해 생성됨; 편집 금지. (@generated)
스키마: Cloudflare.Audit
파서:
네이티브:
이름: Cloudflare.Audit
설명: 감사 로그는 Cloudflare 계정 내에서 이루어진 변경 사항의 이력을 요약합니다. 감사 로그에는 로그인/로그아웃과 같은 계정 수준 작업 및 존 구성 변경이 포함됩니다.
참고 URL: https://developers.cloudflare.com/logs/reference/log-fields/account/audit_logs
필드:
- 이름: ActionResult
설명: 해당 작업이 성공했는지 여부
유형: 불리언
- 이름: ActionType
설명: 수행된 작업의 유형
유형: 문자열
- 이름: ActorEmail
설명: 행위자의 이메일
유형: 문자열
지표:
- 이메일
- 이름: ActorID
설명: Cloudflare 시스템에서 행위자의 고유 식별자
유형: 문자열
지표:
- 사용자 이름
- 이름: ActorIP
설명: 행위자의 물리적 네트워크 주소
유형: 문자열
지표:
- IP
- 이름: ActorType
설명: 감사 추적을 시작한 사용자 유형
유형: 문자열
- 이름: ID
required: true
설명: 감사 로그의 고유 식별자
유형: 문자열
- 이름: Interface
설명: 감사 로그의 진입점 또는 인터페이스
유형: 문자열
- 이름: Metadata
설명: 추가적인 감사 로그 전용 정보. 메타데이터는 키:값 쌍으로 구성됩니다. 키와 값의 형식은 ResourceType에 따라 달라질 수 있습니다.
유형: json
- 이름: NewValue
설명: 감사된 항목의 새 값을 포함
유형: json
- 이름: OldValue
설명: 감사된 항목의 이전 값을 포함
유형: json
- 이름: OwnerID
설명: 작업을 수행했거나 대표로 수행된 사용자의 식별자. 사용자가 스스로 작업을 수행한 경우 이 값은 ActorID와 동일합니다.
유형: 문자열
지표:
- 사용자 이름
- 이름: ResourceID
설명: Cloudflare 시스템 내 자원의 고유 식별자
유형: 문자열
- 이름: ResourceType
required: true
설명: 변경된 자원의 유형
유형: 문자열
- 이름: When
required: true
설명: 변경이 발생한 시점
유형: 타임스탬프
시간 형식:
- cloudflare
isEventTime: true
스키마: Cloudflare.Firewall
설명: Cloudflare 방화벽 로그. Cloudflare UI에서 이벤트 필드를 선택할 때 "Datetime" 필드를 포함했는지 확인하세요. Panther에서 요구됩니다.
참고 URL: https://developers.cloudflare.com/logs/log-fields#firewall-events
필드:
- 이름: Action
설명: Cloudflare 방화벽이 이 요청에 대해 취한 일차 조치의 코드
유형: 문자열
- 이름: ClientASN
설명: 방문자의 ASN 번호
유형: bigint
- 이름: ClientASNDescription
설명: 방문자의 ASN을 문자열로 표현한 것
유형: 문자열
- 이름: ClientCountry
설명: 요청이 발생한 국가
유형: 문자열
- 이름: ClientIP
설명: 방문자의 IP 주소(IPv4 또는 IPv6)
유형: 문자열
지표:
- IP
- 이름: ClientIPClass
설명: '방문자 IP 주소의 분류, 가능한 값: unknown | clean | badHost | searchEngine | whitelist | greylist | monitoringService | securityScanner | noRecord | scan | backupService | mobilePlatform | tor'
유형: 문자열
- 이름: ClientRefererHost
설명: 리퍼러 호스트
유형: 문자열
지표:
- 호스트 이름
- 이름: ClientRefererPath
설명: 방문자가 요청한 리퍼러 경로
유형: 문자열
- 이름: ClientRefererQuery
설명: 방문자가 요청한 리퍼러 쿼리 문자열
유형: 문자열
- 이름: ClientRefererScheme
설명: 방문자가 요청한 리퍼러 URL 스킴
유형: 문자열
- 이름: ClientRequestHost
설명: 방문자가 요청한 HTTP 호스트 이름
유형: 문자열
지표:
- 호스트 이름
- 이름: ClientRequestMethod
설명: 방문자가 사용한 HTTP 메서드
유형: 문자열
- 이름: ClientRequestPath
설명: 방문자가 요청한 경로
유형: 문자열
- 이름: ClientRequestProtocol
설명: 방문자가 요청한 HTTP 프로토콜 버전
유형: 문자열
- 이름: ClientRequestQuery
설명: 방문자가 요청한 쿼리 문자열
유형: 문자열
- 이름: ClientRequestScheme
설명: 방문자가 요청한 URL 스킴
유형: 문자열
- 이름: ClientRequestUserAgent
설명: 방문자의 유저 에이전트 문자열
유형: 문자열
- 이름: Datetime
required: true
설명: 엣지에서 이벤트가 발생한 날짜 및 시간
유형: 타임스탬프
시간 형식:
- cloudflare
isEventTime: true
- 이름: Description
설명: 이 이벤트에 대한 규칙 설명
유형: 문자열
- 이름: EdgeColoCode
설명: 이 요청을 처리한 Cloudflare 데이터센터의 공항 코드
유형: 문자열
- 이름: EdgeResponseStatus
설명: 브라우저에 반환된 HTTP 응답 상태 코드
유형: smallint
- 이름: Kind
설명: '이벤트의 종류, 현재 가능한 값은: firewall'
유형: 문자열
- 이름: MatchIndex
설명: 체인에서 규칙의 일치 인덱스
유형: bigint
- 이름: Metadata
설명: 추가적인 제품 특정 정보. 메타데이터는 키:값 쌍으로 구성됩니다. 키와 값 형식은 Cloudflare 보안 제품에 따라 달라질 수 있으며 시간이 지남에 따라 변경될 수 있습니다
유형: json
- 이름: OriginResponseStatus
설명: 브라우저에 반환된 원본(origin) HTTP 응답 상태 코드
유형: smallint
- 이름: OriginatorRayID
설명: 챌린지/jschallenge를 발생시킨 요청의 RayID
유형: 문자열
지표:
- trace_id
- 이름: RayID
설명: 요청의 RayID
유형: 문자열
지표:
- trace_id
- 이름: Ref
설명: 이 이벤트에 대한 사용자 정의 규칙 참조
유형: 문자열
- 이름: RuleID
설명: 이 요청에 의해 트리거된 Cloudflare 보안 제품 특정 RuleID
유형: 문자열
- 이름: Source
설명: 이 요청을 트리거한 Cloudflare 보안 제품
유형: 문자열
스키마: Cloudflare.HttpRequest
설명: Cloudflare HTTP 요청 로그. Cloudflare UI에서 이벤트 필드를 선택할 때 "EdgeStartTimestamp" 필드를 포함했는지 확인하세요. Panther에서 요구됩니다.
참고 URL: https://developers.cloudflare.com/logs/log-fields#http-requests
필드:
- 이름: BotDetectionIDs
설명: 요청에 대해 수행된 봇 관리 휴리스틱 탐지와 연관된 ID 목록. Logpush v2에서만 제공됩니다.
유형: 배열
요소:
유형: bigint
- 이름: BotScore
설명: Cloudflare 봇 점수(봇 관리 고객에 한해 제공; 활성화를 위해 계정 팀에 문의하세요)
유형: bigint
- 이름: BotScoreSrc
설명: 봇 점수가 계산된 근본 탐지 엔진 또는 출처. 가능한 값: Not Computed | Heuristics | Machine Learning | Behavioral Analysis | Verified Bot
유형: 문자열
- 이름: BotTags
설명: 봇 트래픽 유형(가능한 경우). 가능한 값 목록은 Bot Tags를 참조하세요. Logpush v2에서만 제공됩니다.
유형: 배열
요소:
유형: 문자열
- 이름: CacheCacheStatus
설명: unknown | miss | expired | updating | stale | hit | ignored | bypass | revalidated
유형: 문자열
- 이름: CacheReserveUsed
설명: 이 요청을 제공하기 위해 Cache Reserve가 사용되었음. Logpush v2에서만 제공됩니다.
유형: 불리언
- 이름: CacheResponseBytes
설명: 캐시가 반환한 바이트 수
유형: bigint
- 이름: CacheResponseStatus
설명: 엣지로 반환된 캐시의 HTTP 상태 코드; 모든 요청(캐시 불가 요청 포함)은 캐시를 통과함; CacheStatus 필드도 참조하세요
유형: smallint
- 이름: CacheTieredFill
설명: 이 요청을 제공하기 위해 계층화 캐시(Tiered Cache)가 사용되었음
유형: 불리언
- 이름: ClientASN
설명: 클라이언트 AS 번호
유형: bigint
- 이름: ClientCountry
설명: 클라이언트 IP 주소의 국가
유형: 문자열
- 이름: ClientDeviceType
설명: 클라이언트 장치 유형
유형: 문자열
- 이름: ClientIP
설명: 클라이언트의 IP 주소
유형: 문자열
지표:
- IP
- 이름: ClientIPClass
설명: unknown | clean | badHost | searchEngine | whitelist | greylist | monitoringService | securityScanner | noRecord | scan | backupService | mobilePlatform | tor
유형: 문자열
- 이름: ClientMTLSAuthCertFingerprint
설명: mTLS 인증 중 클라이언트가 제시한 인증서의 SHA256 지문. mTLS 연결의 첫 번째 요청에서만 채워짐. Logpush v2에서만 제공됩니다.
유형: 문자열
지표:
- sha256
- 이름: ClientMTLSAuthStatus
설명: mTLS 인증의 상태. mTLS 연결의 첫 번째 요청에서만 채워짐. Logpush v2에서만 제공됩니다. 가능한 값: unknown | ok | absent | untrusted | notyetvalid | expired
유형: 문자열
- 이름: ClientRegionCode
설명: 클라이언트 IP 주소의 ISO-3166-2 지역 코드.
유형: 문자열
- 이름: ClientRequestBytes
설명: 클라이언트 요청의 바이트 수
유형: bigint
- 이름: ClientRequestHost
설명: 클라이언트가 요청한 호스트
유형: 문자열
지표:
- 호스트 이름
- 이름: ClientRequestMethod
설명: 클라이언트 요청의 HTTP 메서드
유형: 문자열
- 이름: ClientRequestPath
설명: 클라이언트가 요청한 URI 경로
유형: 문자열
- 이름: ClientRequestProtocol
설명: 클라이언트 요청의 HTTP 프로토콜
유형: 문자열
- 이름: ClientRequestReferer
설명: HTTP 요청의 리퍼러
유형: 문자열
지표:
- 호스트 이름
- 이름: ClientRequestScheme
설명: 방문자가 요청한 URL 스킴. Logpush v2에서만 제공됩니다.
유형: 문자열
지표:
- 호스트 이름
- 이름: ClientRequestSource
설명: 요청이 외부 출처에서 왔는지 또는 Cloudflare 내의 다른 서비스에서 왔는지 식별. 가능한 값 목록은 ClientRequestSource 필드를 참조. Logpush v2에서만 제공됩니다.
유형: 문자열
지표:
- 호스트 이름
- 이름: ClientRequestURI
설명: 클라이언트가 요청한 URI
유형: 문자열
- 이름: ClientRequestUserAgent
설명: 클라이언트가 보고한 유저 에이전트
유형: 문자열
- 이름: ClientSrcPort
설명: 클라이언트 소스 포트
유형: int
- 이름: ClientSSLCipher
설명: 클라이언트 SSL 암호화 방식
유형: 문자열
- 이름: ClientSSLProtocol
설명: 클라이언트 SSL(TLS) 프로토콜
유형: 문자열
- 이름: ClientTCPRTTMs
설명: TCP 왕복 시간의 평활화된 평균(SRTT). 연결의 초기 요청에 대해서는 연결 설정 중에만 측정됩니다. 동일한 연결의 후속 요청에 대해서는 해당 요청이 수신될 때까지의 전체 연결 수명 동안 측정됩니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: ClientXRequestedWith
설명: X-Requested-With HTTP 헤더
유형: 문자열
- 이름: ContentScanObjResults
설명: 콘텐츠 스캔 결과 목록.
유형: 배열
요소:
유형: 문자열
- 이름: ContentScanObjTypes
설명: 콘텐츠 유형 목록.
유형: 배열
요소:
유형: 문자열
- 이름: Cookies
설명: 쿠키에 대한 문자열 키-값 쌍.
유형: json
- 이름: EdgeCFConnectingO2O
설명: 요청이 Cloudflare 엣지에서 여러 존을 거쳤다면 true. 이는 오렌지-투-오렌지(o2o) 요청으로 간주됩니다. Logpush v2에서만 제공됩니다.
유형: 불리언
- 이름: EdgeColoCode
설명: 요청을 수신한 데이터센터의 IATA 공항 코드
유형: 문자열
- 이름: EdgeColoID
설명: Cloudflare 엣지 콜로 ID
유형: bigint
- 이름: EdgeEndTimestamp
설명: 엣지가 클라이언트에게 응답 전송을 완료한 타임스탬프
유형: 타임스탬프
시간 형식:
- cloudflare
- 이름: EdgePathingOp
설명: 이 요청에 대해 어떤 유형의 응답이 발행되었는지 표시(unknown = 특정 동작 없음)
유형: 문자열
- 이름: EdgePathingSrc
설명: 보안 검사에 따라 요청이 어떻게 분류되었는지 상세히 표시(unknown = 특정 분류 없음)
유형: 문자열
- 이름: EdgePathingStatus
설명: 이 요청의 처리 방식을 결정하는 데 어떤 데이터가 사용되었는지 표시(unknown = 데이터 없음)
유형: 문자열
- 이름: EdgeRateLimitAction
설명: 차단 규칙에 의해 취해진 조치; 조치가 없다면 빈 값
유형: 문자열
- 이름: EdgeRateLimitID
설명: 차단(금지) 또는 시뮬레이트 동작을 트리거한 속도 제한 규칙의 내부 규칙 ID. 조치가 없으면 0
유형: 문자열
- 이름: EdgeRequestHost
설명: 엣지에서 오리진으로 보내는 요청의 Host 헤더
유형: 문자열
지표:
- 호스트 이름
- 이름: EdgeResponseBodyBytes
설명: 클라이언트에게 반환된 HTTP 응답 본문의 크기. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: EdgeResponseBytes
설명: 엣지가 클라이언트에게 반환한 바이트 수
유형: bigint
- 이름: EdgeResponseCompressionRatio
설명: 엣지 응답 압축 비율
유형: 실수
- 이름: EdgeResponseContentType
설명: 엣지 응답의 Content-Type 헤더 값
유형: 문자열
- 이름: EdgeResponseStatus
설명: Cloudflare가 클라이언트에 반환한 HTTP 상태 코드
유형: smallint
- 이름: EdgeServerIP
설명: 오리진에 요청을 보내는 엣지 서버의 IP
유형: 문자열
지표:
- IP
- 이름: EdgeStartTimestamp
required: true
설명: 엣지가 클라이언트로부터 요청을 수신한 타임스탬프
유형: 타임스탬프
시간 형식:
- cloudflare
isEventTime: true
- 이름: EdgeTimeToFirstByteMs
설명: Cloudflare 엣지에서 측정된 Time To First Byte의 전체 보기. TCP 연결이 설정된 후 시작하여 Cloudflare가 응답의 첫 바이트를 반환하기 시작할 때 종료됩니다. TLS 핸드셰이크 시간(새 연결의 경우) 및 오리진 응답 시간을 포함합니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: FirewallMatchesActions
설명: Cloudflare 방화벽 제품들이 이 요청에 대해 수행한 조치 배열. 해당 조치와 연관된 개별 방화벽 제품은 FirewallMatchesSources에서 찾을 수 있고, 해당 제품의 RuleId는 FirewallMatchesRuleIDs에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesSources와 동일합니다. 가능한 조치: allow | log | simulate | drop | challenge | jschallenge | connectionClose | challengeSolved | challengeFailed | challengeBypassed | jschallengeSolved | jschallengeFailed | jschallengeBypassed | bypass
유형: 배열
요소:
유형: 문자열
- 이름: FirewallMatchesRuleIDs
설명: 요청과 일치한 방화벽 제품의 RuleID 배열. RuleID와 관련된 방화벽 제품은 FirewallMatchesSources에서 찾을 수 있습니다. 배열 길이는 FirewallMatchesActions 및 FirewallMatchesSources와 동일합니다.
유형: 배열
요소:
유형: 문자열
- 이름: FirewallMatchesSources
설명: 요청과 일치한 방화벽 제품들. 동일한 제품이 여러 번 나타날 수 있으며 이는 서로 다른 규칙 또는 조치가 활성화되었음을 나타냅니다. RuleID는 FirewallMatchesRuleIDs에서 찾을 수 있고, 조치는 FirewallMatchesActions에서 찾을 수 있습니다. 배열 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesActions와 동일합니다. 가능한 소스: asn | country | ip | ipRange | securityLevel | zoneLockdown | waf | firewallRules | uaBlock | rateLimit | bic | hot | l7ddos | sanitycheck | protect
유형: 배열
요소:
유형: 문자열
- 이름: JA3Hash
설명: SSL/TLS 클라이언트를 프로파일링하는 데 사용되는 JA3 지문(피처)의 MD5 해시. Logpush v2에서만 제공됩니다.
유형: 문자열
지표:
- md5
- 이름: OriginDNSResponseTimeMs
설명: 오리진 이름에 대한 DNS 응답을 받는 데 걸린 시간. 일반적으로 몇 밀리초 걸리지만 CNAME 레코드 사용 시 더 길어질 수 있습니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: OriginIP
설명: 오리진 서버의 IP
유형: 문자열
지표:
- IP
- 이름: OriginRequestHeaderSendDurationMs
설명: 연결을 설정한 후 오리진으로 요청 헤더를 보내는 데 걸린 시간. 일반적으로 이 값은 0입니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: OriginResponseBytes
설명: 오리진 서버가 반환한 바이트 수
유형: bigint
- 이름: OriginResponseDurationMs
설명: 업스트림 응답 시간으로, 요청을 수신한 첫 번째 데이터센터에서 측정됩니다. Argo Smart Routing 및 계층화 캐시(Tiered Cache)에 의해 소요된 시간과 오리진 서버에 연결하고 응답을 받는 시간이 포함됩니다. 이 필드는 OriginResponseTime을 대체합니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: OriginResponseHeaderReceiveDurationMs
설명: Cloudflare가 요청 헤더 전송을 완료한 후 오리진이 응답 헤더를 반환하는 데 걸린 시간. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: OriginResponseHTTPExpires
설명: 오리진 'expires' 헤더의 값(RFC1123 형식)
유형: 타임스탬프
시간 형식:
- '%a, %d %b %Y %H:%M:%S %Z'
- 이름: OriginResponseHTTPLastModified
설명: 오리진 'last-modified' 헤더의 값(RFC1123 형식)
유형: 타임스탬프
시간 형식:
- '%a, %d %b %Y %H:%M:%S %Z'
- 이름: OriginResponseStatus
설명: 오리진 서버가 반환한 상태
유형: smallint
- 이름: OriginResponseTime
설명: 오리진이 응답을 엣지에 반환하는 데 걸린 나노초 단위의 시간
유형: bigint
- 이름: OriginSSLProtocol
설명: 오리진에 연결하는 데 사용된 SSL(TLS) 프로토콜
유형: 문자열
- 이름: OriginTCPHandshakeDurationMs
설명: 오리진과의 TCP 핸드셰이크를 완료하는 데 걸린 시간. 오리진 연결이 재사용된 경우 이 값은 0입니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: OriginTLSHandshakeDurationMs
설명: 오리진과의 TLS 핸드셰이크를 완료하는 데 걸린 시간. 오리진 연결이 재사용된 경우 이 값은 0입니다. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: ParentRayID
설명: 이 요청이 Worker 스크립트를 사용하여 만들어진 경우 상위 요청의 Ray ID
유형: 문자열
지표:
- trace_id
- 이름: RayID
설명: 요청의 ID
유형: 문자열
지표:
- trace_id
- 이름: RequestHeaders
설명: RequestHeaders에 대한 문자열 키-값 쌍
유형: json
- 이름: ResponseHeaders
설명: ResponseHeaders에 대한 문자열 키-값 쌍
유형: json
- 이름: SecurityAction
설명: 종료 조치를 유발한 보안 규칙의 규칙 조치(있는 경우)
유형: 문자열
- 이름: SecurityActions
설명: Cloudflare 보안 제품들이 이 요청에 대해 수행한 조치 배열. 해당 조치와 연관된 개별 보안 제품은 FirewallMatchesSources에서 찾을 수 있고, 해당 제품의 RuleId는 FirewallMatchesRuleIDs에서 찾을 수 있습니다. 배열 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesSources와 동일합니다. 가능한 조치: allow | log | simulate | drop | challenge | jschallenge | connectionClose | challengeSolved | challengeFailed | challengeBypassed | jschallengeSolved | jschallengeFailed | jschallengeBypassed | bypass
유형: 배열
요소:
유형: 문자열
- 이름: SecurityLevel
설명: 이 요청 시점에 구성된 보안 수준. IP 평판 시스템의 민감도를 결정하는 데 사용됩니다
유형: 문자열
- 이름: SecurityRuleDescription
설명: 종료 조치를 유발한 보안 규칙의 규칙 설명(있는 경우)
유형: 문자열
- 이름: SecurityRuleID
설명: 종료 조치를 유발한 보안 규칙의 규칙 ID(있는 경우)
유형: 문자열
- 이름: SecurityRuleIDs
설명: 요청과 일치한 보안 규칙 ID 배열. RuleID와 관련된 방화벽 제품은 FirewallMatchesSources에서 찾을 수 있습니다. 배열 길이는 FirewallMatchesActions 및 FirewallMatchesSources와 동일합니다.
유형: 배열
요소:
유형: 문자열
- 이름: SecuritySources
설명: 요청과 일치한 Cloudflare 보안 제품들의 배열. 동일한 제품이 여러 번 나타날 수 있으며 이는 서로 다른 규칙 또는 조치가 활성화되었음을 나타냅니다. RuleID는 FirewallMatchesRuleIDs에서, 조치는 FirewallMatchesActions에서 찾을 수 있습니다. 배열 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesActions와 동일합니다. 가능한 소스: asn | country | ip | ipRange | securityLevel | zoneLockdown | waf | firewallRules | uaBlock | rateLimit | bic | hot | l7ddos | sanitycheck | protect
유형: 배열
요소:
유형: 문자열
- 이름: SmartRouteColoID
설명: Argo Smart Routing이 사용된 경우 오리진 서버에 연결하는 데 사용된 Cloudflare 데이터센터. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: UpperTierColoID
설명: Tiered Cache가 사용된 경우 캐시된 복사본을 확인한 '상위 계층' 데이터센터. Logpush v2에서만 제공됩니다.
유형: bigint
- 이름: WAFAction
설명: WAF가 트리거된 경우 취한 조치
유형: 문자열
- 이름: WAFAttackScore
설명: WAF 탐지 모듈이 생성한 전체 요청 점수.
유형: bigint
- 이름: WAFFlags
설명: '추가 구성 플래그: simulate (0x1) | null'
유형: 문자열
- 이름: WAFMatchedVar
설명: 가장 최근에 일치한 변수의 전체 이름
유형: 문자열
- 이름: WAFProfile
설명: low | med | high
유형: 문자열
- 이름: WAFRCEAttackScore
설명: RCE 공격에 대한 WAF 점수.
유형: bigint
- 이름: WAFRuleID
설명: 적용된 WAF 규칙의 ID
유형: 문자열
- 이름: WAFRuleMessage
설명: 트리거된 규칙과 관련된 규칙 메시지
유형: 문자열
- 이름: WAFSQLiAttackScore
설명: SQLi 공격에 대한 WAF 점수.
유형: bigint
- 이름: WAFXSSAttackScore
설명: XSS 공격에 대한 WAF 점수.
유형: bigint
- 이름: WorkerCPUTime
설명: 작업(worker)을 실행하는 데 소요된 마이크로초 단위 시간(있는 경우)
유형: bigint
- 이름: WorkerStatus
설명: 워커 데몬에서 반환한 상태
유형: 문자열
- 이름: WorkerSubrequest
설명: 이 요청이 워커 하위 요청인지 여부
유형: 불리언
- 이름: WorkerSubrequestCount
설명: 이 요청을 처리할 때 워커가 생성한 하위 요청 수
유형: bigint
- 이름: WorkerWallTimeUs
설명: 워커 호출 시작과 종료 사이에 경과한 실시간 마이크로초 단위 시간.
유형: bigint
- 이름: ZoneID
설명: 내부 존 ID
유형: bigint
- 이름: ZoneName
설명: 존의 사람이 읽을 수 있는 이름(예: cloudflare.com). Logpush v2에서만 제공됩니다.
유형: 문자열
- 이름: JA4
설명: SSL/TLS 클라이언트를 프로파일링하는 데 사용되는 JA4 지문.
유형: 문자열
- 이름: JA4Signals
설명: 이 JA4 지문에 대해 계산된 요청 간 통계. JA4Signals 필드는 키:값 쌍으로 구성되며 값은 숫자입니다.
유형: json
- 이름: LeakedCredentialCheckResult
설명: 유출된 자격 증명 확인의 결과.
유형: 문자열
스키마: Cloudflare.Spectrum
설명: Cloudflare Spectrum 로그. Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요하므로 "Timestamp" 필드를 포함했는지 확인하세요.
참조URL: https://developers.cloudflare.com/logs/log-fields#spectrum-events
필드:
- name: Application
설명: 이벤트가 발생한 애플리케이션의 고유한 공개 ID
유형: 문자열
- 이름: ClientASN
설명: 클라이언트 AS 번호
유형: bigint
- name: ClientBytes
설명: Spectrum 서비스가 클라이언트로부터 읽은 바이트 수
유형: bigint
- 이름: ClientCountry
설명: 클라이언트 IP 주소의 국가
유형: 문자열
- 이름: ClientIP
설명: 클라이언트의 IP 주소
유형: 문자열
지표:
- IP
- name: ClientMatchedIpFirewall
설명: 연결이 어떤 IP 방화벽 규칙과 일치했는지 여부; UNKNOWN | ALLOW | BLOCK_ERROR | BLOCK_IP | BLOCK_COUNTRY | BLOCK_ASN | WHITELIST_IP |WHITELIST_COUNTRY | WHITELIST_ASN
유형: 문자열
- name: ClientPort
설명: 클라이언트 포트
유형: int
- name: ClientProto
설명: 클라이언트가 사용한 전송 프로토콜; tcp | udp | unix
유형: 문자열
- name: ClientTcpRtt
설명: 클라이언트와 Spectrum 간의 TCP 왕복 시간(나노초)
유형: bigint
- name: ClientTlsCipher
설명: 클라이언트와 Spectrum 간에 협상된 암호(cipher)
유형: 문자열
- name: ClientTlsClientHelloServerName
설명: 클라이언트가 Spectrum으로 보낸 Client Hello 메시지의 서버 이름
유형: 문자열
- name: ClientTlsProtocol
설명: 클라이언트와 Spectrum 간에 협상된 TLS 버전; unknown | none | SSLv3 | TLSv1 | TLSv1.1 | TLSv1.2 | TLSv1.3
유형: 문자열
- name: ClientTlsStatus
설명: 클라이언트에서 Spectrum으로의 TLS 세션 상태를 나타냄; UNKNOWN | OK | INTERNAL_ERROR | INVALID_CONFIG | INVALID_SNI | HANDSHAKE_FAILED | KEYLESS_RPC
유형: 문자열
- name: ColoCode
설명: 요청을 수신한 데이터센터의 IATA 공항 코드
유형: 문자열
- name: ConnectTimestamp
설명: 연결의 양쪽(클라이언트/엣지, 엣지/오리진 또는 넥스트홉)이 설정된 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- cloudflare
- name: DisconnectTimestamp
설명: 연결이 종료된 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- cloudflare
- name: Event
설명: connect | disconnect | clientFiltered | tlsError | resolveOrigin | originError
유형: 문자열
- name: IpFirewall
설명: 연결 시점에 IP 방화벽이 활성화되었는지 여부
유형: 불리언
- name: OriginBytes
설명: Spectrum이 오리진으로부터 읽은 바이트 수
유형: bigint
- 이름: OriginIP
설명: 오리진 IP 주소
유형: 문자열
지표:
- IP
- name: OriginPort
설명: 오리진 포트
유형: int
- name: OriginProto
설명: 오리진이 사용한 전송 프로토콜; tcp | udp | unix
유형: 문자열
- name: OriginTcpRtt
설명: Spectrum과 오리진 간의 TCP 왕복 시간(나노초)
유형: bigint
- name: OriginTlsCipher
설명: Spectrum과 오리진 간에 협상된 암호(cipher)
유형: 문자열
- name: OriginTlsFingerprint
설명: 오리진 인증서의 SHA256 해시
유형: 문자열
- name: OriginTlsMode
설명: 상위 연결이 암호화되는 방식 및 여부; unknown | off | flexible | full | strict
유형: 문자열
- name: OriginTlsProtocol
설명: Spectrum과 오리진 간에 협상된 TLS 버전; unknown | none | SSLv3 | TLSv1 | TLSv1.1 | TLSv1.2 | TLSv1.3
유형: 문자열
- name: OriginTlsStatus
설명: Spectrum에서 오리진으로의 TLS 세션 상태; UNKNOWN | OK | INTERNAL_ERROR | INVALID_CONFIG | INVALID_SNI | HANDSHAKE_FAILED | KEYLESS_RPC
유형: 문자열
- name: ProxyProtocol
설명: 주어진 연결에 적용된 프록시 프로토콜의 형태; off | v1 | v2 | simple
유형: 문자열
- name: Status
설명: 연결 종료 사유를 나타내는 코드
유형: bigint
- name: Timestamp
required: true
설명: 이벤트가 발생한 시점의 타임스탬프
유형: 타임스탬프
시간 형식:
- cloudflare
isEventTime: true
