# Jamf Pro 로그 ## 개요 Panther는 Amazon Web Services(AWS) S3를 통해 Jamf Pro 로그를 수집하는 것을 지원합니다. [데이터 전송](/ko/data-onboarding/data-transports.md). {% hint style="info" %} A [Jamf Premium Cloud 애드온](https://www.jamf.com/resources/product-documentation/jamf-premium-cloud/) 이 필요합니다. Jamf Pro 로그를 Panther에 연결하려면 {% endhint %} ## Jamf Pro 로그를 Panther에 온보딩하는 방법 이러한 로그를 Panther에 연결하려면: 1. Panther Console의 왼쪽 탐색 모음에서 **Configure > Log Sources**. 2. 을 클릭합니다 **Create New**. 3. 를 클릭합니다. “Jamf Pro”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드아웃 패널에서 오른쪽 상단의 **전송 메커니즘** 드롭다운은 미리 채워져 있으며 **AWS S3 Bucket** 옵션이 선택되어 있습니다. 4. 을 클릭합니다 **설정 시작**. 5. 다음을 따르세요 [S3 소스를 구성하기 위한 Panther의 문서](/ko/data-onboarding/data-transports/aws/s3.md). 6. JAMF Pro를 구성하여 로그를 Data Transport 소스로 푸시합니다. * 참조 [JAMF의 문서](https://learn.jamf.com/bundle/technical-articles/page/Jamf_Cloud_Overview_and_FAQ.html) 를 통해 Panther가 읽을 수 있는 S3 버킷으로 로그를 푸시하는 방법을 확인하세요. ## 지원되는 로그 유형 ### Jamfpro.Login Jamf Pro 자체의 로그인 이벤트입니다. 참조: [이벤트 로그에 대한 Jamf 문서](https://docs.jamf.com/10.35.0/jamf-pro/documentation/Event_Logs.html). ```yaml 필드: - name: ipAddress type: string description: 요청을 시작한 IP 주소 지표: - ip - name: username required: true description: 계정의 사용자 이름 지표: - username type: string - name: status required: true type: string description: 로그인 요청의 상태 - name: entryPoint required: true type: string description: 로그인에 사용된 방법. Single Sign On, Universal API 또는 Unknown 중 하나 - name: timestamp required: true type: timestamp description: 로그인 타임스탬프 isEventTime: true timeFormat: '%Y-%m-%dT%H:%M:%S,%f' ``` ### Jamfpro.ComplianceReporter 이것은 Jamf Compliance Reporter 모니터링 도구의 이벤트 로그입니다. 자세한 내용은 [Jamf Compliance Reporter 문서](https://learn.jamf.com/bundle/compliance-reporter-documentation/page/Log_Data_Examples.html). ```yaml 필드: - name: _event_score required: true description: 이벤트의 점수. type: bigint - name: app_metric_info description: 애플리케이션 메트릭 정보입니다. App metric 이벤트에만 존재합니다. type: object 필드: - name: cpu_percentage description: 애플리케이션이 사용한 CPU 비율입니다. type: float - name: cpu_time_seconds description: 애플리케이션이 사용한 CPU 시간입니다. type: float - name: interrupt_wakeups description: 인터럽트 wakeup 수입니다. type: bigint - name: platform_idle_wakeups description: 플랫폼 유휴 wakeup 수입니다. type: bigint - name: resident_memory_size_mb description: 상주 메모리 크기(MB)입니다. type: float - name: virtual_memory_size_mb description: 가상 메모리 크기(MB)입니다. type: float - name: arguments description: 이벤트에 전달된 인수입니다. type: json - name: attributes description: 이벤트와 관련된 속성 또는 메타데이터 type: json - name: audio_video_device_info type: object 필드: - name: audio_device_creator description: 오디오 장치의 생성자입니다. type: string - name: audio_device_hog_mode description: 오디오 장치가 hog 모드인지 여부입니다. type: bigint - name: audio_device_id description: 오디오 장치의 ID입니다. type: string - name: audio_device_manufacturer description: 오디오 장치의 제조업체입니다. type: string - name: audio_device_running description: 오디오 장치가 실행 중인지 여부입니다. type: bigint - name: audio_device_uuid description: 오디오 장치의 UUID입니다. type: string - name: device_status description: 장치의 상태입니다. "On" 또는 "Off". type: string - name: audit_class_verification_info description: 감사 클래스 검증 정보입니다. AUDIT_CLASS_VERIFICATION_EVENT 이벤트에만 존재합니다. type: object 필드: - name: contents description: 파일의 내용입니다. type: string - name: osversion description: 운영 체제 버전입니다. type: string - name: restored_default description: 파일이 기본값으로 복원되었는지 여부입니다. type: boolean - name: status description: 파일의 상태. type: int - name: status_str description: 파일 상태의 문자열 표현입니다. type: string - name: compliancereporter_license_info description: Compliance Reporter 라이선스 정보입니다. LICENSE_INFO_EVENT 이벤트에만 존재합니다. type: object 필드: - name: email type: string 지표: - email - name: expiration_date type: timestamp timeFormats: - '%M/%d/%Y' - name: status type: string - name: time_seconds_epoch type: timestamp timeFormats: - unix - name: type type: string - name: version type: string - name: event_attributes description: 이벤트와 관련된 추가 속성 또는 메타데이터. type: json - name: exec_args description: 이벤트에 전달된 실행 인수입니다. type: object 필드: - name: args description: 순차적 순서로 나열된 명령줄 인수 값입니다. type: json - name: args_compiled description: 모든 명령줄 인수의 쉼표로 구분된 목록입니다. type: string - name: exec_chain description: 동일한 원본 작업에서 시작된 이벤트 체인입니다. type: json - name: exec_chain_child description: 동일한 원본 작업에서 시작된 이벤트 체인의 하위 이벤트입니다. type: object 필드: - name: parent_path description: 이 이벤트를 직접 발생시킨 바이너리의 경로입니다. type: string - name: parent_pid description: 이 이벤트를 직접 발생시킨 프로세스의 프로세스 ID입니다. type: string - name: parent_uuid description: 실행 체인에서 직접 상위 항목의 GUID입니다. 상위 이벤트의 exec_chain_parent.uuid 필드와 대응합니다. type: string - name: exec_chain_parent description: 동일한 원본 작업에서 시작된 이벤트 체인의 상위 이벤트입니다. type: object 필드: - name: uuid description: 이 이벤트의 직접 상위 항목으로 지정될 하위 프로세스의 GUID입니다. 상위 이벤트의 exec_chain_child.parent.uuid 필드와 대응합니다. type: string - name: exec_env description: 이벤트의 실행 환경입니다. type: object 필드: - name: env description: 이벤트 컨텍스트에 대한 환경 변수의 키와 값 쌍입니다. type: json - name: env_compiled description: 이벤트 컨텍스트에 대한 모든 환경 변수의 쉼표로 구분된 목록입니다. type: string - name: exit description: 이벤트의 종료 정보입니다. AUE_EXIT 이벤트에만 존재합니다. type: object 필드: - name: return_value description: 이벤트의 반환 값입니다. type: bigint - name: status description: 이벤트의 상태입니다. type: bigint - name: file_event_info description: 파일 이벤트 정보입니다. COMPLIANCEREPORTER_TAMPER_EVENT 이벤트에만 존재합니다. type: object 필드: - name: eventid_wrapped description: 이벤트 ID가 래핑되었는지 여부입니다. type: boolean - name: hash description: 파일의 SHA1 해시입니다. type: string 지표: - sha1 - name: history_done description: 기록이 완료되었는지 여부입니다. type: boolean - name: item_change_owner description: 항목의 소유자가 변경되었는지 여부입니다. type: boolean - name: item_cloned description: 항목이 복제되었는지 여부입니다. type: boolean - name: item_created description: 항목이 생성되었는지 여부입니다. type: boolean - name: item_extended_attribute_modified description: 항목의 확장 속성이 수정되었는지 여부입니다. type: boolean - name: item_finder_info_modified description: 항목의 Finder 정보가 수정되었는지 여부입니다. type: boolean - name: item_inode_metadata_modified description: 항목의 inode 메타데이터가 수정되었는지 여부입니다. type: boolean - name: item_is_directory description: 항목이 디렉터리인지 여부입니다. type: boolean - name: item_is_file description: 항목이 파일인지 여부입니다. type: boolean - name: item_is_hard_link description: 항목이 하드 링크인지 여부입니다. type: boolean - name: item_is_last_hard_link description: 항목이 마지막 하드 링크인지 여부입니다. type: boolean - name: item_is_sym_link description: 항목이 심볼릭 링크인지 여부입니다. type: boolean - name: item_removed description: 항목이 제거되었는지 여부입니다. type: boolean - name: item_renamed description: 항목 이름이 변경되었는지 여부입니다. type: boolean - name: item_updated description: 항목이 업데이트되었는지 여부입니다. type: boolean - name: kernel_dropped description: 커널이 이벤트를 드롭했는지 여부입니다. type: boolean - name: mount description: 항목이 마운트되었는지 여부입니다. type: boolean - name: must_scan_sub_dir description: 하위 디렉터리를 스캔해야 하는지 여부입니다. type: boolean - name: none description: 항목이 수정되지 않았는지 여부입니다. type: boolean - name: own_event description: 이벤트가 소유되었는지 여부입니다. type: boolean - name: path description: 파일의 경로입니다. type: string - name: root_changed description: 루트가 변경되었는지 여부입니다. type: boolean - name: unmount description: 항목이 마운트 해제되었는지 여부입니다. type: boolean - name: user_dropped description: 사용자가 이벤트를 드롭했는지 여부입니다. type: boolean - name: hardware_event_info description: 하드웨어 이벤트 정보입니다. HARDWARE_EVENT 이벤트에만 존재합니다. type: object 필드: - name: device_attributes description: 장치의 속성입니다. type: json - name: device_class description: 장치의 클래스입니다. type: string - name: device_name description: 장치의 이름입니다. type: string - name: device_status description: 장치의 상태입니다. type: string - name: header required: true description: 이벤트의 헤더 정보입니다. 이 필드에는 이벤트 이름, 타임스탬프, 버전을 포함한 이벤트의 필수 메타데이터가 포함됩니다. type: object 필드: - name: action description: 이벤트를 발생시킨 동작입니다. PROHIBITED_APP_BLOCKED 이벤트에만 존재합니다. type: string - name: event_id description: 감사 이벤트 유형을 식별하는 ID입니다. type: string - name: event_modifier description: 이벤트의 수정자입니다. 이 필드는 사용되지 않으며 항상 0입니다. type: string - name: event_name required: true description: 감사 이벤트 유형의 이름입니다. type: string - name: time_seconds_epoch required: true description: 이벤트가 발생한 Unix epoch 시간입니다. type: timestamp timeFormat: unix isEventTime: true - name: time_milliseconds_offset description: time_seconds_epoch 필드에 대한 밀리초 오프셋입니다. type: bigint - name: version description: 헤더 형식의 버전입니다. type: string - name: host_info required: true description: 이벤트가 발생한 호스트에 대한 정보입니다. type: object 필드: - name: host_name description: 컴퓨터의 네트워크 호스트 이름입니다. type: string - name: host_uuid description: 로직 보드의 하드웨어 UUID입니다. type: string - name: osversion description: 운영 체제 버전입니다. type: string - name: primary_mac_address description: 보고하는 컴퓨터의 기본 MAC 주소입니다. type: string 지표: - mac - name: serial_number description: 보고하는 컴퓨터의 일련 번호입니다. type: string - name: identity description: 이벤트의 신원 정보입니다. type: object 필드: - name: cd_hash description: 작업을 수행하는 애플리케이션 또는 바이너리의 Cd 번들 해시입니다. type: string 지표: - sha1 - name: signer_id description: 작업을 수행하는 애플리케이션 또는 바이너리의 서명자 ID입니다. type: string - name: signer_id_truncated description: 서명자 ID가 잘렸는지 여부입니다. type: boolean - name: signer_type description: 작업을 수행하는 애플리케이션 또는 바이너리의 서명자 유형입니다. type: int - name: team_id description: 작업을 수행하는 애플리케이션 또는 바이너리의 팀 ID입니다. type: string - name: team_id_truncated description: 팀 ID가 잘렸는지 여부입니다. type: boolean - name: path description: 이벤트와 관련된 파일 경로입니다. type: array element: type: string - name: process description: 작업을 수행한 프로세스에 대한 정보입니다. type: object 필드: - name: audit_id description: auditd가 이벤트를 귀속시키는 사용자 ID입니다. type: string 지표: - actor_id - name: audit_user_name description: auditd가 이벤트를 귀속시키는 사용자의 이름입니다. type: string 지표: - username - name: effective_group_id description: 이벤트가 실행될 때 사용된 그룹 권한의 ID입니다. type: string - name: effective_group_name description: 이벤트가 실행될 때 사용된 그룹 권한의 이름입니다. type: string - name: effective_user_id description: 이벤트가 실행될 때 사용된 사용자 권한의 ID입니다. type: string 지표: - actor_id - name: effective_user_name description: 이벤트가 실행될 때 사용된 사용자 권한의 이름입니다. type: string 지표: - username - name: group_id description: 이 이벤트를 생성한 그룹의 ID입니다. type: string - name: group_name description: 이 이벤트를 생성한 그룹의 이름입니다. type: string - name: process_hash description: 실행된 바이너리 파일의 SHA1 해시입니다. type: string 지표: - sha1 - name: process_id description: 기록된 작업을 수행한 프로세스의 ID입니다. type: string - name: process_name description: 기록된 작업을 수행한 프로세스의 경로입니다. type: string - name: process_information description: 작업을 수행한 프로세스에 대한 정보입니다. type: json - name: responsible_process_id description: 이 이벤트를 생성한 프로세스의 ID입니다. type: string - name: responsible_process_name description: 프로세스 체인의 시작에서 이 이벤트를 생성한 프로세스의 이름입니다. type: string - name: session_id description: 이벤트가 생성된 세션 ID 번호입니다. type: string 지표: - trace_id - name: terminal_id description: 이벤트가 생성된 터미널에 대한 정보입니다. type: object 필드: - name: addr description: 터미널의 네트워크 주소 정보입니다. type: array element: type: bigint - name: ip_address description: 제어 컴퓨터의 IP 주소입니다. type: string 지표: - ip - name: port description: 프로세스가 연결하는 포트 번호입니다. type: bigint - name: type description: 연결 유형(4 = IPv4, 6 = IPv6). type: bigint - name: user_id description: 이 이벤트를 생성한 사용자의 ID입니다. type: string 지표: - actor_id - name: user_name description: 이 이벤트를 생성한 사용자의 이름입니다. type: string 지표: - username - name: return description: 이벤트 출력 정보입니다. type: object 필드: - name: description description: 이벤트 출력의 설명입니다. type: string - name: error description: 이벤트 결과 오류 코드입니다. type: int - name: return_value description: 반환된 이벤트 결과 값(있는 경우)입니다. type: int - name: signal_event_info description: 시그널 이벤트 정보입니다. SIGNAL_EVENT 이벤트에만 존재합니다. type: object 필드: - name: signal description: 시그널 번호입니다. type: int - name: socket_inet description: 인터넷 소켓 정보입니다. type: object 필드: - name: addr description: 소켓의 네트워크 주소 정보입니다. type: array element: type: bigint - name: family description: 소켓의 주소 패밀리입니다. type: string - name: id description: 소켓의 ID입니다. type: string - name: ip_address description: 소켓의 IP 주소입니다. type: string 지표: - ip - name: port description: 프로세스가 연결하는 포트 번호입니다. type: bigint - name: socket_unix description: Unix 소켓 정보입니다. type: object 필드: - name: family description: 소켓의 주소 패밀리입니다. type: string - name: path description: 소켓의 경로입니다. type: string - name: subject description: 이벤트의 주체 정보입니다. type: object 필드: - name: audit_id description: auditd가 이벤트를 귀속시키는 사용자 ID입니다. type: string 지표: - actor_id - name: audit_user_name description: auditd가 이벤트를 귀속시키는 사용자의 이름입니다. type: string 지표: - username - name: effective_group_id description: 이벤트가 실행될 때 사용된 그룹 권한의 ID입니다. type: string - name: effective_group_name description: 이벤트가 실행될 때 사용된 그룹 권한의 이름입니다. type: string - name: effective_user_id description: 이벤트가 실행될 때 사용된 사용자 권한의 ID입니다. type: string 지표: - actor_id - name: effective_user_name description: 이벤트가 실행될 때 사용된 사용자 권한의 이름입니다. type: string 지표: - username - name: group_id description: 이 이벤트를 생성한 그룹의 ID입니다. type: string - name: group_name description: 이 이벤트를 생성한 그룹의 이름입니다. type: string - name: process_hash description: 실행된 바이너리 파일의 SHA1 해시입니다. type: string 지표: - sha1 - name: process_id description: 기록된 작업을 수행한 프로세스의 ID입니다. type: string - name: process_name description: 기록된 작업을 수행한 프로세스의 경로입니다. type: string - name: process_information description: 작업을 수행한 프로세스에 대한 정보입니다. type: json - name: responsible_process_id description: 이 이벤트를 생성한 프로세스의 ID입니다. type: string - name: responsible_process_name description: 프로세스 체인의 시작에서 이 이벤트를 생성한 프로세스의 이름입니다. type: string - name: session_id description: 이벤트가 생성된 세션 ID 번호입니다. type: string 지표: - trace_id - name: terminal_id description: 이벤트가 생성된 터미널에 대한 정보입니다. type: object 필드: - name: addr description: 터미널의 네트워크 주소 정보입니다. type: array element: type: bigint - name: ip_address description: 제어 컴퓨터의 IP 주소입니다. type: string 지표: - ip - name: port description: 프로세스가 연결하는 포트 번호입니다. type: bigint - name: type description: 연결 유형(4 = IPv4, 6 = IPv6). type: bigint - name: user_id description: 이 이벤트를 생성한 사용자의 ID입니다. type: string 지표: - actor_id - name: user_name description: 이 이벤트를 생성한 사용자의 이름입니다. type: string 지표: - username - name: texts description: 이벤트에 대한 설명입니다. type: array element: type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/jamfpro.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.