Panther는 Cloudflare의 Logpush 서비스를 통해 Cloudflare 로그를 수집할 수 있으며, 이 서비스는 로그를 Amazon Web Services(AWS) S3, Google Cloud Storage(GCS) 또는 Azure Blob Storage로 직접 스트리밍합니다.
Cloudflare의 Logpush는 Cloudflare Enterprise 고객에게만 제공됩니다. 이 페이지의 일부 Cloudflare 로그 유형(예: 감사 로그)는 Logpush 없이 가져올 수 있지만, Panther에서 지원하는 스키마는 Logpush로 전달될 때의 데이터 구조에 의존합니다.
Panther는 Cloudflare에서 제공되는 30개 이상의 로그 유형 중 4개를 기본적으로 지원합니다. Cloudflare 데이터세트에 지원되지 않는 로그 유형이 포함되어 있다면, 대신 다음을 생성하는 것이 좋습니다. S3 Data Transport 소스.
# Panther가 생성함; 수정하지 마세요. (@generated)
schema: Cloudflare.Audit
parser:
native:
name: Cloudflare.Audit
description: 감사 로그는 Cloudflare 계정 내에서 수행된 변경 내역을 요약합니다. 감사 로그에는 로그인 및 로그아웃과 같은 계정 수준 작업뿐 아니라 영역 구성 변경도 포함됩니다.
referenceURL: https://developers.cloudflare.com/logs/reference/log-fields/account/audit_logs
fields:
- name: ActionResult
description: 작업이 성공했는지 여부
type: boolean
- name: ActionType
description: 수행된 작업 유형
type: string
- name: ActorEmail
description: 행위자의 이메일
type: string
indicators:
- 이메일
- name: ActorID
description: Cloudflare 시스템에서 행위자의 고유 식별자
type: string
indicators:
- username
- name: ActorIP
description: 행위자의 물리적 네트워크 주소
type: string
indicators:
- ip
- name: ActorType
description: 감사 추적을 시작한 사용자의 유형
type: string
- 이름: ID
required: true
description: 감사 로그의 고유 식별자
type: string
- name: Interface
description: 감사 로그의 진입점 또는 인터페이스
type: string
- name: Metadata
description: 추가 감사 로그 관련 정보입니다. Metadata는 key:value 쌍으로 구성됩니다. Key와 Value 형식은 ResourceType에 따라 달라질 수 있습니다.
type: json
- name: NewValue
description: 감사 대상 항목의 새 값을 포함합니다.
type: json
- name: OldValue
description: 감사 대상 항목의 이전 값을 포함합니다.
type: json
- name: OwnerID
description: 작업을 수행한 사용자 또는 대신 수행된 사용자의 식별자입니다. 사용자가 직접 작업한 경우 이 값은 ActorID와 동일합니다.
type: string
indicators:
- username
- name: ResourceID
description: Cloudflare 시스템 내 리소스의 고유 식별자
type: string
- name: ResourceType
required: true
description: 변경된 리소스의 유형
type: string
- name: When
required: true
description: 변경이 발생한 시점
type: timestamp
timeFormats:
- cloudflare
isEventTime: true
schema: Cloudflare.Firewall
description: Cloudflare Firewall 로그입니다. Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요로 하는 "Datetime" 필드를 반드시 포함하세요.
referenceURL: https://developers.cloudflare.com/logs/log-fields#firewall-events
fields:
- name: Action
description: Cloudflare Firewall이 이 요청에 대해 수행한 최상위 작업의 코드
type: string
- name: ClientASN
description: 방문자의 ASN 번호
type: bigint
- name: ClientASNDescription
description: 문자열로 된 방문자의 ASN
type: string
- name: ClientCountry
description: 요청이 발생한 국가
type: string
- name: ClientIP
description: 방문자의 IP 주소(IPv4 또는 IPv6)
type: string
indicators:
- ip
- name: ClientIPClass
description: '방문자 IP 주소의 분류. 가능한 값: unknown | clean | badHost | searchEngine | whitelist | greylist | monitoringService |securityScanner | noRecord | scan | backupService | mobilePlatform | tor'
type: string
- name: ClientRefererHost
description: 리퍼러 호스트
type: string
indicators:
- hostname
- name: ClientRefererPath
description: 방문자가 요청한 리퍼러 경로
type: string
- name: ClientRefererQuery
description: 방문자가 요청한 리퍼러 쿼리 문자열
type: string
- name: ClientRefererScheme
description: 방문자가 요청한 리퍼러 URL 스킴
type: string
- name: ClientRequestHost
description: 방문자가 요청한 HTTP 호스트 이름
type: string
indicators:
- hostname
- name: ClientRequestMethod
description: 방문자가 사용한 HTTP 메서드
type: string
- name: ClientRequestPath
description: 방문자가 요청한 경로
type: string
- name: ClientRequestProtocol
description: 방문자가 요청한 HTTP 프로토콜 버전
type: string
- name: ClientRequestQuery
description: 방문자가 요청한 쿼리 문자열
type: string
- name: ClientRequestScheme
description: 방문자가 요청한 URL 스킴
type: string
- name: ClientRequestUserAgent
description: 방문자의 사용자 에이전트 문자열
type: string
- name: Datetime
required: true
description: 이벤트가 엣지에서 발생한 날짜와 시간
type: timestamp
timeFormats:
- cloudflare
isEventTime: true
- name: Description
description: 이 이벤트에 대한 룰 설명
type: string
- name: EdgeColoCode
description: 이 요청을 처리한 Cloudflare 데이터 센터의 공항 코드
type: string
- name: EdgeResponseStatus
description: 브라우저에 반환된 HTTP 응답 상태 코드
type: smallint
- name: Kind
description: '이벤트의 종류. 현재 가능한 값은 firewall뿐입니다.'
type: string
- name: MatchIndex
description: 체인 내 룰 일치 인덱스
type: bigint
- name: Metadata
description: 추가 제품별 정보입니다. Metadata는 key:value 쌍으로 구성됩니다. Key와 Value 형식은 Cloudflare 보안 제품에 따라 다를 수 있으며 시간이 지나며 변경될 수 있습니다.
type: json
- name: OriginResponseStatus
description: 브라우저에 반환된 HTTP 원본 응답 상태 코드
type: smallint
- name: OriginatorRayID
description: challenge/jschallenge를 발행한 요청의 RayID
type: string
indicators:
- trace_id
- name: RayID
description: 요청의 RayID
type: string
indicators:
- trace_id
- name: Ref
description: 이 이벤트에 대한 사용자 정의 룰 참조
type: string
- name: RuleID
description: 이 요청에 의해 트리거된 Cloudflare 보안 제품별 RuleID
type: string
- name: Source
description: 이 요청에 의해 트리거된 Cloudflare 보안 제품
type: string
schema: Cloudflare.HttpRequest
description: Cloudflare HTTP 요청 로그입니다. Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요로 하는 "EdgeStartTimestamp" 필드를 반드시 포함하세요.
referenceURL: https://developers.cloudflare.com/logs/log-fields#http-requests
fields:
- name: BotDetectionIDs
description: 요청에 대해 수행된 Bot Management 휴리스틱 디택션과 연관된 ID 목록입니다. Logpush v2에서만 제공됩니다.
type: array
element:
type: bigint
- name: BotScore
description: Cloudflare Bot Score(Bot Management 고객에게 제공되며, 활성화를 위해 계정 팀에 문의하세요)
type: bigint
- name: BotScoreSrc
description: Bot Score가 계산된 기반 디택션 엔진 또는 소스. 가능한 값: Not Computed | Heuristics | Machine Learning | Behavioral Analysis | Verified Bot
type: string
- name: BotTags
description: 봇 트래픽 유형(사용 가능한 경우). 가능한 값 목록은 Bot Tags를 참조하세요. Logpush v2에서만 제공됩니다.
type: array
element:
type: string
- name: CacheCacheStatus
description: unknown | miss | expired | updating | stale | hit | ignored | bypass | revalidated
type: string
- name: CacheReserveUsed
description: 이 요청을 제공하는 데 Cache Reserve가 사용되었습니다. Logpush v2에서만 제공됩니다.
type: boolean
- name: CacheResponseBytes
description: 캐시가 반환한 바이트 수
type: bigint
- name: CacheResponseStatus
description: 캐시가 엣지에 반환한 HTTP 상태 코드; 모든 요청(캐시 불가능한 요청 포함)은 캐시를 거칩니다. CacheStatus 필드도 참조하세요.
type: smallint
- name: CacheTieredFill
description: 이 요청을 제공하는 데 Tiered Cache가 사용되었습니다
type: boolean
- name: ClientASN
description: 클라이언트 AS 번호
type: bigint
- name: ClientCountry
description: 클라이언트 IP 주소의 국가
type: string
- name: ClientDeviceType
description: 클라이언트 장치 유형
type: string
- name: ClientIP
description: 클라이언트의 IP 주소
type: string
indicators:
- ip
- name: ClientIPClass
description: unknown | clean | badHost | searchEngine | whitelist | greylist | monitoringService | securityScanner | noRecord | scan |backupService | mobilePlatform | tor
type: string
- name: ClientMTLSAuthCertFingerprint
description: mTLS 인증 중 클라이언트가 제시한 인증서의 SHA256 핑거프린트입니다. mTLS 연결의 첫 번째 요청에만 채워집니다. Logpush v2에서만 제공됩니다.
type: string
indicators:
- sha256
- name: ClientMTLSAuthStatus
description: mTLS 인증 상태입니다. mTLS 연결의 첫 번째 요청에만 채워집니다. Logpush v2에서만 제공됩니다. 가능한 값: unknown | ok | absent | untrusted | notyetvalid | expired
type: string
- name: ClientRegionCode
description: 클라이언트 IP 주소의 ISO-3166-2 지역 코드
type: string
- name: ClientRequestBytes
description: 클라이언트 요청의 바이트 수
type: bigint
- name: ClientRequestHost
description: 클라이언트가 요청한 호스트
type: string
indicators:
- hostname
- name: ClientRequestMethod
description: 클라이언트 요청의 HTTP 메서드
type: string
- name: ClientRequestPath
description: 클라이언트가 요청한 URI 경로
type: string
- name: ClientRequestProtocol
description: 클라이언트 요청의 HTTP 프로토콜
type: string
- name: ClientRequestReferer
description: HTTP 요청 리퍼러
type: string
indicators:
- hostname
- name: ClientRequestScheme
description: 방문자가 요청한 URL 스킴입니다. Logpush v2에서만 제공됩니다.
type: string
indicators:
- hostname
- name: ClientRequestSource
description: 요청이 외부 소스 또는 Cloudflare 내부의 다른 서비스에서 온 것인지 식별합니다. 가능한 값 목록은 ClientRequestSource 필드를 참조하세요. Logpush v2에서만 제공됩니다.
type: string
indicators:
- hostname
- name: ClientRequestURI
description: 클라이언트가 요청한 URI
type: string
- name: ClientRequestUserAgent
description: 클라이언트가 보고한 사용자 에이전트
type: string
- name: ClientSrcPort
description: 클라이언트 소스 포트
유형: int
- name: ClientSSLCipher
description: 클라이언트 SSL 암호화 스위트
type: string
- name: ClientSSLProtocol
description: 클라이언트 SSL(TLS) 프로토콜
type: string
- name: ClientTCPRTTMs
description: TCP 왕복 시간(SRTT)의 평활화된 평균값입니다. 연결의 초기 요청에서는 연결 설정 중에만 측정됩니다. 동일한 연결의 후속 요청에서는 해당 요청이 수신될 때까지의 전체 연결 수명 동안 측정됩니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: ClientXRequestedWith
description: X-Requested-With HTTP 헤더
type: string
- name: ContentScanObjResults
description: 콘텐츠 검사 결과 목록.
type: array
element:
type: string
- name: ContentScanObjTypes
description: 콘텐츠 유형 목록.
type: array
element:
type: string
- name: Cookies
description: Cookies의 문자열 key-value 쌍.
type: json
- name: EdgeCFConnectingO2O
description: 요청이 Cloudflare 엣지의 여러 영역을 거쳐 루프된 경우 True입니다. 이는 orange to orange(o2o) 요청으로 간주됩니다. Logpush v2에서만 제공됩니다.
type: boolean
- name: EdgeColoCode
description: 요청을 수신한 데이터 센터의 IATA 공항 코드
type: string
- name: EdgeColoID
description: Cloudflare 엣지 colo ID
type: bigint
- name: EdgeEndTimestamp
description: 엣지가 클라이언트에 대한 응답 전송을 완료한 시각의 타임스탬프
type: timestamp
timeFormats:
- cloudflare
- name: EdgePathingOp
description: 이 요청에 대해 어떤 유형의 응답이 발행되었는지 나타냅니다(unknown = 특정 작업 없음)
type: string
- name: EdgePathingSrc
description: 보안 검사에 따라 요청이 어떻게 분류되었는지 자세히 설명합니다(unknown = 특정 분류 없음)
type: string
- name: EdgePathingStatus
description: 이 요청 처리 방식을 결정하는 데 어떤 데이터가 사용되었는지 나타냅니다(unknown = 데이터 없음)
type: string
- name: EdgeRateLimitAction
description: 차단 룰이 수행한 작업입니다. 수행한 작업이 없으면 비어 있습니다.
type: string
- name: EdgeRateLimitID
description: 차단(금지) 또는 시뮬레이션 작업을 트리거한 rate-limiting 룰의 내부 룰 ID입니다. 작업이 없으면 0입니다.
type: string
- name: EdgeRequestHost
description: 엣지에서 원본으로 보내는 요청의 Host 헤더
type: string
indicators:
- hostname
- name: EdgeResponseBodyBytes
description: 클라이언트에 반환된 HTTP 응답 본문의 크기입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: EdgeResponseBytes
description: 엣지가 클라이언트에 반환한 바이트 수
type: bigint
- name: EdgeResponseCompressionRatio
description: 엣지 응답 압축 비율
type: float
- name: EdgeResponseContentType
description: 엣지 응답 Content-Type 헤더 값
type: string
- name: EdgeResponseStatus
description: Cloudflare가 클라이언트에 반환한 HTTP 상태 코드
type: smallint
- name: EdgeServerIP
description: 원본에 요청을 보내는 엣지 서버의 IP
type: string
indicators:
- ip
- name: EdgeStartTimestamp
required: true
description: 엣지가 클라이언트로부터 요청을 받은 시각의 타임스탬프
type: timestamp
timeFormats:
- cloudflare
isEventTime: true
- name: EdgeTimeToFirstByteMs
description: Cloudflare 엣지에서 측정한 TTFB(Time To First Byte)의 전체 관점입니다. TCP 연결이 설정된 후 시작되며 Cloudflare가 응답의 첫 바이트를 사용자에게 반환하기 시작할 때 끝납니다. TLS 핸드셰이크 시간(새 연결의 경우)과 원본 응답 시간을 포함합니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: FirewallMatchesActions
description: Cloudflare 방화벽 제품이 이 요청에 대해 수행한 작업 배열입니다. 이 작업과 관련된 개별 방화벽 제품은 FirewallMatchesSources에서 찾을 수 있으며, 해당 RuleId는 FirewallMatchesRuleIDs에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesSources와 동일합니다. 가능한 작업: allow | log | simulate | drop | challenge | jschallenge | connectionClose | challengeSolved | challengeFailed | challengeBypassed | jschallengeSolved | jschallengeFailed | jschallengeBypassed | bypass
type: array
element:
type: string
- name: FirewallMatchesRuleIDs
description: 요청과 일치한 방화벽 제품의 RuleIDs 배열입니다. RuleID와 연관된 방화벽 제품은 FirewallMatchesSources에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesActions 및 FirewallMatchesSources와 동일합니다.
type: array
element:
type: string
- name: FirewallMatchesSources
description: 요청과 일치한 방화벽 제품입니다. 동일한 제품이 여러 번 나타날 수 있으며, 이는 서로 다른 룰 또는 작업이 활성화되었음을 의미합니다. RuleIDs는 FirewallMatchesRuleIDs에서, 작업은 FirewallMatchesActions에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesActions와 동일합니다. 가능한 소스: asn | country | ip | ipRange | securityLevel | zoneLockdown | waf | firewallRules | uaBlock | rateLimit |bic | hot | l7ddos | sanitycheck | protect
type: array
element:
type: string
- name: JA3Hash
description: SSL/TLS 클라이언트를 프로파일링하는 데 사용되는 JA3 핑거프린트의 MD5 해시입니다. Logpush v2에서만 제공됩니다.
type: string
indicators:
- md5
- name: OriginDNSResponseTimeMs
description: 원본 이름에 대한 DNS 응답을 수신하는 데 걸린 시간입니다. 보통 몇 밀리초가 걸리지만 CNAME 레코드를 사용하면 더 길어질 수 있습니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: OriginIP
description: 원본 서버의 IP
type: string
indicators:
- ip
- name: OriginRequestHeaderSendDurationMs
description: 연결을 설정한 후 원본에 요청 헤더를 보내는 데 걸린 시간입니다. 이 값은 일반적으로 0입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: OriginResponseBytes
description: 원본 서버가 반환한 바이트 수
type: bigint
- name: OriginResponseDurationMs
description: 업스트림 응답 시간으로, 요청을 수신한 첫 번째 데이터 센터에서 측정됩니다. Argo Smart Routing과 Tiered Cache에 걸린 시간, 그리고 원본 서버에 연결하고 응답을 받는 데 걸린 시간을 포함합니다. 이 필드는 OriginResponseTime을 대체합니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: OriginResponseHeaderReceiveDurationMs
description: Cloudflare가 요청 헤더 전송을 완료한 후 원본이 응답 헤더를 반환하는 데 걸린 시간입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: OriginResponseHTTPExpires
description: RFC1123 형식의 원본 'expires' 헤더 값
type: timestamp
timeFormats:
- '%a, %d %b %Y %H:%M:%S %Z'
- name: OriginResponseHTTPLastModified
description: RFC1123 형식의 원본 'last-modified' 헤더 값
type: timestamp
timeFormats:
- '%a, %d %b %Y %H:%M:%S %Z'
- name: OriginResponseStatus
description: 원본 서버가 반환한 상태
type: smallint
- name: OriginResponseTime
description: 원본이 응답을 엣지로 반환하는 데 걸린 나노초 수
type: bigint
- name: OriginSSLProtocol
description: 원본에 연결할 때 사용된 SSL(TLS) 프로토콜
type: string
- name: OriginTCPHandshakeDurationMs
description: 원본과 TCP 핸드셰이크를 완료하는 데 걸린 시간입니다. 원본 연결이 재사용되면 0입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: OriginTLSHandshakeDurationMs
description: 원본과 TLS 핸드셰이크를 완료하는 데 걸린 시간입니다. 원본 연결이 재사용되면 0입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: ParentRayID
description: 이 요청이 Worker 스크립트를 사용해 이루어진 경우 상위 요청의 Ray ID
type: string
indicators:
- trace_id
- name: RayID
description: 요청의 ID
type: string
indicators:
- trace_id
- name: RequestHeaders
description: RequestHeaders의 문자열 key-value 쌍
type: json
- name: ResponseHeaders
description: ResponseHeaders의 문자열 key-value 쌍
type: json
- name: SecurityAction
description: 종료 작업을 트리거한 보안 룰의 룰 작업입니다(있는 경우).
type: string
- name: SecurityActions
description: Cloudflare 보안 제품이 이 요청에 대해 수행한 작업 배열입니다. 이 작업과 관련된 개별 보안 제품은 FirewallMatchesSources에서 찾을 수 있으며, 해당 RuleIds는 FirewallMatchesRuleIDs에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesSources와 동일합니다. 가능한 작업: allow | log | simulate | drop | challenge | jschallenge | connectionClose | challengeSolved | challengeFailed | challengeBypassed | jschallengeSolved | jschallengeFailed | jschallengeBypassed | bypass
type: array
element:
type: string
- name: SecurityLevel
description: 이 요청 시점에 구성된 보안 수준입니다. IP Reputation 시스템의 민감도를 결정하는 데 사용됩니다.
type: string
- name: SecurityRuleDescription
description: 종료 작업을 트리거한 보안 룰의 룰 설명(있는 경우)
type: string
- name: SecurityRuleID
description: 종료 작업을 트리거한 보안 룰의 룰 ID(있는 경우)
type: string
- name: SecurityRuleIDs
description: 요청과 일치한 보안 룰 ID 배열입니다. RuleID와 연관된 방화벽 제품은 FirewallMatchesSources에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesActions 및 FirewallMatchesSources와 동일합니다.
type: array
element:
type: string
- name: SecuritySources
description: 요청과 일치한 Cloudflare 보안 제품 배열입니다. 동일한 제품이 여러 번 나타날 수 있으며, 이는 서로 다른 룰 또는 작업이 활성화되었음을 의미합니다. RuleIDs는 FirewallMatchesRuleIDs에서, 작업은 FirewallMatchesActions에서 찾을 수 있습니다. 배열의 길이는 FirewallMatchesRuleIDs 및 FirewallMatchesActions와 동일합니다. 가능한 소스: asn | country | ip | ipRange | securityLevel | zoneLockdown | waf | firewallRules | uaBlock | rateLimit |bic | hot | l7ddos | sanitycheck | protect
type: array
element:
type: string
- name: SmartRouteColoID
description: Argo Smart Routing을 사용하는 경우 원본 서버에 연결하는 데 사용된 Cloudflare 데이터 센터입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: UpperTierColoID
description: Tiered Cache를 사용하는 경우 캐시된 복사본이 있는지 확인한 “상위 계층” 데이터 센터입니다. Logpush v2에서만 제공됩니다.
type: bigint
- name: WAFAction
description: 트리거된 경우 WAF가 취한 작업
type: string
- name: WAFAttackScore
description: WAF 디택션 모듈이 생성한 전체 요청 점수.
type: bigint
- name: WAFFlags
description: '추가 구성 플래그: simulate (0x1) | null'
type: string
- name: WAFMatchedVar
description: 가장 최근에 일치한 변수의 전체 이름
type: string
- name: WAFProfile
description: low | med | high
type: string
- name: WAFRCEAttackScore
description: RCE 공격에 대한 WAF 점수.
type: bigint
- name: WAFRuleID
description: 적용된 WAF 룰의 ID
type: string
- name: WAFRuleMessage
description: 트리거된 룰과 연관된 룰 메시지
type: string
- name: WAFSQLiAttackScore
description: SQLi 공격에 대한 WAF 점수.
type: bigint
- name: WAFXSSAttackScore
description: XSS 공격에 대한 WAF 점수.
type: bigint
- name: WorkerCPUTime
description: Worker 실행에 소요된 시간(마이크로초)입니다. 해당하는 경우입니다.
type: bigint
- name: WorkerStatus
description: Worker 데몬에서 반환된 상태
type: string
- name: WorkerSubrequest
description: 이 요청이 Worker 하위 요청인지 여부
type: boolean
- name: WorkerSubrequestCount
description: 이 요청을 처리할 때 Worker가 발행한 하위 요청 수
type: bigint
- name: WorkerWallTimeUs
description: Worker 호출 시작과 종료 사이에 경과한 실제 시간(마이크로초).
type: bigint
- name: ZoneID
description: 내부 영역 ID
type: bigint
- name: ZoneName
description: 영역의 사람이 읽을 수 있는 이름(예: cloudflare.com). Logpush v2에서만 제공됩니다.
type: string
- name: JA4
description: SSL/TLS 클라이언트를 프로파일링하는 데 사용되는 JA4 핑거프린트.
type: string
- name: JA4Signals
description: 이 JA4 핑거프린트에 대해 계산된 요청 간 통계입니다. JA4Signals 필드는 key:value 쌍으로 구성되며, 값은 숫자입니다.
type: json
- name: LeakedCredentialCheckResult
description: 유출된 자격 증명 검사 결과.
type: string
schema: Cloudflare.Spectrum
description: Cloudflare Spectrum 로그입니다. Cloudflare UI에서 이벤트 필드를 선택할 때 Panther에서 필요로 하는 "Timestamp" 필드를 반드시 포함하세요.
referenceURL: https://developers.cloudflare.com/logs/log-fields#spectrum-events
fields:
- name: Application
description: 이벤트가 발생한 애플리케이션의 고유 공개 ID
type: string
- name: ClientASN
description: 클라이언트 AS 번호
type: bigint
- name: ClientBytes
description: Spectrum 서비스가 클라이언트로부터 읽은 바이트 수
type: bigint
- name: ClientCountry
description: 클라이언트 IP 주소의 국가
type: string
- name: ClientIP
description: 클라이언트의 IP 주소
type: string
indicators:
- ip
- name: ClientMatchedIpFirewall
description: 연결이 어떤 IP Firewall 룰과 일치했는지 여부; UNKNOWN | ALLOW | BLOCK_ERROR | BLOCK_IP | BLOCK_COUNTRY | BLOCK_ASN | WHITELIST_IP |WHITELIST_COUNTRY | WHITELIST_ASN
type: string
- name: ClientPort
description: 클라이언트 포트
유형: int
- name: ClientProto
description: 클라이언트가 사용한 전송 프로토콜; tcp | udp | unix
type: string
- name: ClientTcpRtt
description: 클라이언트와 Spectrum 사이의 TCP 왕복 시간(나노초)
type: bigint
- name: ClientTlsCipher
description: 클라이언트와 Spectrum 사이에 협상된 암호화 스위트
type: string
- name: ClientTlsClientHelloServerName
description: 클라이언트에서 Spectrum으로 보낸 Client Hello 메시지의 서버 이름
type: string
- name: ClientTlsProtocol
description: 클라이언트와 Spectrum 사이에 협상된 TLS 버전; unknown | none | SSLv3 | TLSv1 | TLSv1.1 | TLSv1.2 | TLSv1.3
type: string
- name: ClientTlsStatus
description: 클라이언트에서 Spectrum으로의 TLS 세션 상태를 나타냅니다; UNKNOWN | OK | INTERNAL_ERROR | INVALID_CONFIG | INVALID_SNI | HANDSHAKE_FAILED | KEYLESS_RPC
type: string
- name: ColoCode
description: 요청을 수신한 데이터 센터의 IATA 공항 코드
type: string
- name: ConnectTimestamp
description: 연결의 양쪽 구간(client/edge, edge/origin 또는 nexthop)이 모두 설정된 시각의 타임스탬프
type: timestamp
timeFormats:
- cloudflare
- name: DisconnectTimestamp
description: 연결이 종료된 시각의 타임스탬프
type: timestamp
timeFormats:
- cloudflare
- name: Event
description: connect | disconnect | clientFiltered | tlsError | resolveOrigin | originError
type: string
- name: IpFirewall
description: 연결 시점에 IP Firewall이 활성화되어 있었는지 여부
type: boolean
- name: OriginBytes
description: Spectrum이 원본에서 읽은 바이트 수
type: bigint
- name: OriginIP
description: 원본 IP 주소
type: string
indicators:
- ip
- name: OriginPort
description: 원본 포트
유형: int
- name: OriginProto
description: 원본이 사용한 전송 프로토콜; tcp | udp | unix
type: string
- name: OriginTcpRtt
description: Spectrum과 원본 사이의 TCP 왕복 시간(나노초)
type: bigint
- name: OriginTlsCipher
description: Spectrum과 원본 사이에 협상된 암호화 스위트
type: string
- name: OriginTlsFingerprint
description: 원본 인증서의 SHA256 해시
type: string
- name: OriginTlsMode
description: 업스트림 연결이 암호화되는지 여부와 방식; unknown | off | flexible | full | strict
type: string
- name: OriginTlsProtocol
description: Spectrum과 원본 사이에 협상된 TLS 버전; unknown | none | SSLv3 | TLSv1 | TLSv1.1 | TLSv1.2 | TLSv1.3
type: string
- name: OriginTlsStatus
설명: Spectrum에서 origin으로의 TLS 세션 상태; UNKNOWN | OK | INTERNAL_ERROR | INVALID_CONFIG | INVALID_SNI | HANDSHAKE_FAILED | KEYLESS_RPC
type: string
- 이름: ProxyProtocol
설명: 주어진 연결에 적용되는 프록시 프로토콜의 형식; off | v1 | v2 | simple
type: string
- 이름: Status
설명: 연결 종료 사유를 나타내는 코드
type: bigint
- 이름: Timestamp
required: true
설명: 이벤트가 발생한 시각의 타임스탬프
type: timestamp
timeFormats:
- cloudflare
isEventTime: true
