> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/jamfpro.md). # Jamf Pro 로그 ## 개요 Panther는 Amazon Web Services(AWS) S3를 통해 Jamf Pro 로그를 수집하는 것을 지원합니다. [데이터 전송](/ko/data-onboarding/data-transports.md). {% hint style="info" %} A [Jamf Premium Cloud 추가 기능](https://www.jamf.com/resources/product-documentation/jamf-premium-cloud/) Jamf Pro 로그를 Panther에 연결하려면 필요합니다. {% endhint %} ## Panther에 Jamf Pro 로그를 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성 > 로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. “Jamf Pro”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **AWS S3 버킷** 옵션. 4. 다음을 클릭합니다: **설정 시작**. 5. 다음을 따르세요 [S3 Source 구성에 대한 Panther 문서](/ko/data-onboarding/data-transports/aws/s3.md). 6. JAMF Pro가 로그를 Data Transport 소스로 푸시하도록 구성합니다. * 참조 [JAMF 문서](https://learn.jamf.com/bundle/technical-articles/page/Jamf_Cloud_Overview_and_FAQ.html) Panther가 읽을 수 있는 S3 버킷으로 로그를 푸시하는 방법에 대한 지침을 확인하세요. ## 지원되는 로그 유형 ### Jamfpro.Login Jamf Pro 자체의 로그인 이벤트. 참조: [이벤트 로그에 대한 Jamf 문서](https://docs.jamf.com/10.35.0/jamf-pro/documentation/Event_Logs.html). ```yaml fields: - 이름: ipAddress type: string 설명: 요청을 시작한 IP 주소 표시자: - ip - 이름: username required: true 설명: 계정의 사용자 이름 표시자: - 사용자명 type: string - 이름: status required: true type: string 설명: 로그인 요청의 상태 - 이름: entryPoint required: true type: string 설명: 로그인에 사용된 방법. Single Sign On, Universal API 또는 Unknown 중 하나입니다. - 이름: timestamp required: true type: timestamp 설명: 로그인 타임스탬프 isEventTime: true 시간 형식: '%Y-%m-%dT%H:%M:%S,%f' ``` ### Jamfpro.ComplianceReporter 이것은 Jamf Compliance Reporter 모니터링 도구의 이벤트 로그입니다. 자세한 내용은 다음을 참조하세요. [Jamf Compliance Reporter 문서](https://learn.jamf.com/bundle/compliance-reporter-documentation/page/Log_Data_Examples.html). ```yaml fields: - 이름: _event_score required: true 설명: 이벤트의 점수. type: bigint - 이름: app_metric_info 설명: 애플리케이션 메트릭 정보. App metric 이벤트에만 존재합니다. type: object fields: - 이름: cpu_percentage 설명: 애플리케이션이 사용한 CPU 비율. type: float - 이름: cpu_time_seconds 설명: 애플리케이션이 사용한 CPU 시간. type: float - 이름: interrupt_wakeups 설명: 인터럽트 깨우기의 수. type: bigint - 이름: platform_idle_wakeups 설명: 플랫폼 유휴 깨우기의 수. type: bigint - 이름: resident_memory_size_mb 설명: 상주 메모리 크기(MB). type: float - 이름: virtual_memory_size_mb 설명: 가상 메모리 크기(MB). type: float - 이름: arguments 설명: 이벤트에 전달된 인수. 유형: json - 이름: attributes 설명: 이벤트와 관련된 속성 또는 메타데이터 유형: json - 이름: audio_video_device_info type: object fields: - 이름: audio_device_creator 설명: 오디오 장치의 생성자. type: string - 이름: audio_device_hog_mode 설명: 오디오 장치가 hog 모드인지 여부. type: bigint - 이름: audio_device_id 설명: 오디오 장치의 ID. type: string - 이름: audio_device_manufacturer 설명: 오디오 장치의 제조업체. type: string - 이름: audio_device_running 설명: 오디오 장치가 실행 중인지 여부. type: bigint - 이름: audio_device_uuid 설명: 오디오 장치의 UUID. type: string - 이름: device_status 설명: 장치의 상태. "켜짐" 또는 "꺼짐". type: string - 이름: audit_class_verification_info 설명: 감사 클래스 검증 정보. AUDIT_CLASS_VERIFICATION_EVENT 이벤트에만 존재합니다. type: object fields: - 이름: contents 설명: 파일의 내용. type: string - 이름: osversion 설명: 운영 체제의 버전. type: string - 이름: restored_default 설명: 파일이 기본값으로 복원되었는지 여부. 유형: boolean - 이름: status 설명: 파일의 상태. 유형: int - 이름: status_str 설명: 파일 상태의 문자열 표현. type: string - 이름: compliancereporter_license_info 설명: Compliance Reporter 라이선스 정보. LICENSE_INFO_EVENT 이벤트에만 존재합니다. type: object fields: - 이름: email type: string 표시자: - 이메일 - 이름: expiration_date type: timestamp timeFormats: - '%M/%d/%Y' - 이름: status type: string - 이름: time_seconds_epoch type: timestamp timeFormats: - unix - 이름: type type: string - 이름: version type: string - 이름: event_attributes 설명: 이벤트와 관련된 추가 속성 또는 메타데이터. 유형: json - 이름: exec_args 설명: 이벤트에 전달된 실행 인수. type: object fields: - 이름: args 설명: 순차적 순서로 나열된 명령줄 인수 값. 유형: json - 이름: args_compiled 설명: 모든 명령줄 인수의 쉼표로 구분된 목록. type: string - 이름: exec_chain 설명: 동일한 원래 작업에서 시작된 이벤트 체인. 유형: json - 이름: exec_chain_child 설명: 동일한 원래 작업에서 시작된 이벤트 체인의 자식 이벤트. type: object fields: - 이름: parent_path 설명: 이 이벤트를 직접 유발한 바이너리의 경로. type: string - 이름: parent_pid 설명: 이 이벤트를 직접 유발한 프로세스의 프로세스 ID. type: string - 이름: parent_uuid 설명: 실행 체인에서 직접 상위 항목의 GUID. 상위 이벤트의 exec_chain_parent.uuid 필드와 대응됩니다. type: string - 이름: exec_chain_parent 설명: 동일한 원래 작업에서 시작된 이벤트 체인의 상위 이벤트. type: object fields: - name: uuid 설명: 이 이벤트를 직접 상위로 주장할 자식 프로세스의 GUID. 상위 이벤트의 exec_chain_child.parent.uuid 필드와 대응됩니다. type: string - 이름: exec_env 설명: 이벤트의 실행 환경. type: object fields: - 이름: env 설명: 이벤트 컨텍스트의 환경 변수에 대한 키-값 쌍. 유형: json - 이름: env_compiled 설명: 이벤트 컨텍스트의 모든 환경 변수를 쉼표로 구분한 목록. type: string - 이름: exit 설명: 이벤트의 종료 정보. AUE_EXIT 이벤트에만 존재합니다. type: object fields: - 이름: return_value 설명: 이벤트의 반환 값. type: bigint - 이름: status 설명: 이벤트의 상태. type: bigint - 이름: file_event_info 설명: 파일 이벤트 정보. COMPLIANCEREPORTER_TAMPER_EVENT 이벤트에만 존재합니다. type: object fields: - 이름: eventid_wrapped 설명: 이벤트 ID가 래핑되었는지 여부. 유형: boolean - name: hash 설명: 파일의 SHA1 해시입니다. type: string 표시자: - sha1 - 이름: history_done 설명: 기록이 완료되었는지 여부. 유형: boolean - 이름: item_change_owner 설명: 항목의 소유자가 변경되었는지 여부. 유형: boolean - 이름: item_cloned 설명: 항목이 복제되었는지 여부. 유형: boolean - 이름: item_created 설명: 항목이 생성되었는지 여부. 유형: boolean - 이름: item_extended_attribute_modified 설명: 항목의 확장 속성이 수정되었는지 여부. 유형: boolean - 이름: item_finder_info_modified 설명: 항목의 Finder 정보가 수정되었는지 여부. 유형: boolean - 이름: item_inode_metadata_modified 설명: 항목의 inode 메타데이터가 수정되었는지 여부. 유형: boolean - 이름: item_is_directory 설명: 항목이 디렉터리인지 여부. 유형: boolean - 이름: item_is_file 설명: 항목이 파일인지 여부. 유형: boolean - 이름: item_is_hard_link 설명: 항목이 하드 링크인지 여부. 유형: boolean - 이름: item_is_last_hard_link 설명: 항목이 마지막 하드 링크인지 여부. 유형: boolean - 이름: item_is_sym_link 설명: 항목이 심볼릭 링크인지 여부. 유형: boolean - 이름: item_removed 설명: 항목이 제거되었는지 여부. 유형: boolean - 이름: item_renamed 설명: 항목 이름이 변경되었는지 여부. 유형: boolean - 이름: item_updated 설명: 항목이 업데이트되었는지 여부. 유형: boolean - 이름: kernel_dropped 설명: 커널이 이벤트를 드롭했는지 여부. 유형: boolean - 이름: mount 설명: 항목이 마운트되었는지 여부. 유형: boolean - 이름: must_scan_sub_dir 설명: 하위 디렉터리를 스캔해야 하는지 여부. 유형: boolean - 이름: none 설명: 항목이 수정되지 않았는지 여부. 유형: boolean - 이름: own_event 설명: 이벤트가 소유되었는지 여부. 유형: boolean - name: path 설명: 파일의 경로. type: string - 이름: root_changed 설명: 루트가 변경되었는지 여부. 유형: boolean - 이름: unmount 설명: 항목이 마운트 해제되었는지 여부. 유형: boolean - 이름: user_dropped 설명: 사용자가 이벤트를 드롭했는지 여부. 유형: boolean - 이름: hardware_event_info 설명: 하드웨어 이벤트 정보. HARDWARE_EVENT 이벤트에만 존재합니다. type: object fields: - 이름: device_attributes 설명: 장치의 속성. 유형: json - 이름: device_class 설명: 장치의 클래스. type: string - name: device_name 설명: 장치의 이름. type: string - 이름: device_status 설명: 장치의 상태. type: string - 이름: header required: true 설명: 이벤트의 헤더 정보. 이 필드에는 이벤트 이름, 타임스탬프, 버전을 포함한 필수 메타데이터가 들어 있습니다. type: object fields: - 이름: action 설명: 이벤트를 유발한 작업. PROHIBITED_APP_BLOCKED 이벤트에만 존재합니다. type: string - 이름: event_id 설명: 감사 이벤트 유형을 식별하는 ID. type: string - 이름: event_modifier 설명: 이벤트의 수정자. 이 필드는 사용되지 않으며 항상 0입니다. type: string - 이름: event_name required: true 설명: 감사 이벤트 유형의 이름. type: string - 이름: time_seconds_epoch required: true 설명: 이벤트가 발생한 Unix 에포크 시간. type: timestamp 시간 형식: unix isEventTime: true - 이름: time_milliseconds_offset 설명: time_seconds_epoch 필드에 대한 밀리초 오프셋. type: bigint - 이름: version 설명: 헤더 형식의 버전. type: string - 이름: host_info required: true 설명: 이벤트가 발생한 호스트에 대한 정보. type: object fields: - 이름: host_name 설명: 컴퓨터의 네트워크 호스트 이름. type: string - 이름: host_uuid 설명: 로직 보드의 하드웨어 UUID. type: string - 이름: osversion 설명: 운영 체제의 버전. type: string - 이름: primary_mac_address 설명: 보고하는 컴퓨터의 기본 MAC 주소. type: string 표시자: - mac - 이름: serial_number 설명: 보고하는 컴퓨터의 일련 번호. type: string - 이름: identity 설명: 이벤트의 식별 정보. type: object fields: - 이름: cd_hash 설명: 작업을 수행한 애플리케이션 또는 바이너리의 Cd 번들 해시. type: string 표시자: - sha1 - 이름: signer_id 설명: 작업을 수행한 애플리케이션 또는 바이너리의 서명자 ID. type: string - 이름: signer_id_truncated 설명: 서명자 ID가 잘렸는지 여부. 유형: boolean - 이름: signer_type 설명: 작업을 수행한 애플리케이션 또는 바이너리의 서명자 유형. 유형: int - 이름: team_id 설명: 작업을 수행한 애플리케이션 또는 바이너리의 팀 ID. type: string - 이름: team_id_truncated 설명: 팀 ID가 잘렸는지 여부. 유형: boolean - name: path 설명: 이벤트와 관련된 파일 경로. type: array element: type: string - 이름: process 설명: 작업을 수행한 프로세스에 대한 정보. type: object fields: - 이름: audit_id 설명: auditd가 이벤트를 귀속시키는 사용자 ID. type: string 표시자: - 행위자 ID - 이름: audit_user_name 설명: auditd가 이벤트를 귀속시키는 사용자 이름. type: string 표시자: - 사용자명 - 이름: effective_group_id 설명: 이벤트가 실행된 그룹 권한의 ID. type: string - 이름: effective_group_name 설명: 이벤트가 실행된 그룹 권한의 이름. type: string - 이름: effective_user_id 설명: 이벤트가 실행된 사용자 권한의 ID. type: string 표시자: - 행위자 ID - 이름: effective_user_name 설명: 이벤트가 실행된 사용자 권한의 이름. type: string 표시자: - 사용자명 - name: group_id 설명: 이 이벤트를 시작한 그룹의 ID. type: string - 이름: group_name 설명: 이 이벤트를 시작한 그룹의 이름. type: string - 이름: process_hash 설명: 실행된 바이너리 파일의 SHA1 해시. type: string 표시자: - sha1 - 이름: process_id 설명: 기록된 작업을 수행하는 프로세스의 ID. type: string - 이름: process_name 설명: 기록된 작업을 수행하는 프로세스의 경로. type: string - 이름: process_information 설명: 작업을 수행한 프로세스에 대한 정보. 유형: json - 이름: responsible_process_id 설명: 이 이벤트를 시작한 프로세스의 ID. type: string - 이름: responsible_process_name 설명: 프로세스 체인의 시작에서 이 이벤트를 시작한 프로세스의 이름. type: string - 이름: session_id 설명: 이벤트가 시작된 세션 ID 번호. type: string 표시자: - trace_id - 이름: terminal_id 설명: 이벤트가 시작된 터미널에 대한 정보. type: object fields: - 이름: addr 설명: 터미널의 네트워크 주소 정보. type: array element: type: bigint - 이름: ip_address 설명: 제어하는 컴퓨터의 IP 주소. type: string 표시자: - ip - 이름: port 설명: 프로세스가 연결 중인 포트 번호. type: bigint - 이름: type 설명: 연결 유형(4 = IPv4, 6 = IPv6). type: bigint - 이름: user_id 설명: 이 이벤트를 시작한 사용자의 ID. type: string 표시자: - 행위자 ID - 이름: user_name 설명: 이 이벤트를 시작한 사용자의 이름. type: string 표시자: - 사용자명 - 이름: return 설명: 이벤트 출력 정보. type: object fields: - 이름: description 설명: 이벤트 출력에 대한 설명. type: string - 이름: 오류 설명: 이벤트 결과 오류 코드. 유형: int - 이름: return_value 설명: 반환된 이벤트 결과 반환 값(있는 경우). 유형: int - 이름: signal_event_info 설명: 신호 이벤트 정보. SIGNAL_EVENT 이벤트에만 존재합니다. type: object fields: - 이름: signal 설명: 신호 번호. 유형: int - 이름: socket_inet 설명: 인터넷 소켓 정보. type: object fields: - 이름: addr 설명: 소켓의 네트워크 주소 정보. type: array element: type: bigint - 이름: family 설명: 소켓의 주소 패밀리. type: string - 이름: id 설명: 소켓의 ID. type: string - 이름: ip_address 설명: 소켓의 IP 주소. type: string 표시자: - ip - 이름: port 설명: 프로세스가 연결 중인 포트 번호. type: bigint - 이름: socket_unix 설명: Unix 소켓 정보. type: object fields: - 이름: family 설명: 소켓의 주소 패밀리. type: string - name: path 설명: 소켓의 경로. type: string - 이름: 제목 설명: 이벤트의 subject 정보. type: object fields: - 이름: audit_id 설명: auditd가 이벤트를 귀속시키는 사용자 ID. type: string 표시자: - 행위자 ID - 이름: audit_user_name 설명: auditd가 이벤트를 귀속시키는 사용자 이름. type: string 표시자: - 사용자명 - 이름: effective_group_id 설명: 이벤트가 실행된 그룹 권한의 ID. type: string - 이름: effective_group_name 설명: 이벤트가 실행된 그룹 권한의 이름. type: string - 이름: effective_user_id 설명: 이벤트가 실행된 사용자 권한의 ID. type: string 표시자: - 행위자 ID - 이름: effective_user_name 설명: 이벤트가 실행된 사용자 권한의 이름. type: string 표시자: - 사용자명 - name: group_id 설명: 이 이벤트를 시작한 그룹의 ID. type: string - 이름: group_name 설명: 이 이벤트를 시작한 그룹의 이름. type: string - 이름: process_hash 설명: 실행된 바이너리 파일의 SHA1 해시. type: string 표시자: - sha1 - 이름: process_id 설명: 기록된 작업을 수행하는 프로세스의 ID. type: string - 이름: process_name 설명: 기록된 작업을 수행하는 프로세스의 경로. type: string - 이름: process_information 설명: 작업을 수행한 프로세스에 대한 정보. 유형: json - 이름: responsible_process_id 설명: 이 이벤트를 시작한 프로세스의 ID. type: string - 이름: responsible_process_name 설명: 프로세스 체인의 시작에서 이 이벤트를 시작한 프로세스의 이름. type: string - 이름: session_id 설명: 이벤트가 시작된 세션 ID 번호. type: string 표시자: - trace_id - 이름: terminal_id 설명: 이벤트가 시작된 터미널에 대한 정보. type: object fields: - 이름: addr 설명: 터미널의 네트워크 주소 정보. type: array element: type: bigint - 이름: ip_address 설명: 제어하는 컴퓨터의 IP 주소. type: string 표시자: - ip - 이름: port 설명: 프로세스가 연결 중인 포트 번호. type: bigint - 이름: type 설명: 연결 유형(4 = IPv4, 6 = IPv6). type: bigint - 이름: user_id 설명: 이 이벤트를 시작한 사용자의 ID. type: string 표시자: - 행위자 ID - 이름: user_name 설명: 이 이벤트를 시작한 사용자의 이름. type: string 표시자: - 사용자명 - 이름: texts 설명: 이벤트에 대한 설명. type: array element: type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/jamfpro.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.