Juniper 로그

Juniper 로그를 Panther 콘솔에 연결하기

개요

Panther는 일반적인 방법으로 Juniper 로그 수집을 지원합니다 데이터 전송 옵션: Amazon Web Services(AWS) S3 및 SQS.

Juniper 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

Panther 콘솔에 로그인하세요.
왼쪽 사이드바에서 구성 > 로그 소스.
클릭 새로 만들기.
온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다.
이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르십시오:
- AWS SQS
- AWS S3 버킷
Juniper을 구성하여 로그를 Data Transport 소스로 푸시하도록 설정합니다.
- 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Juniper 문서를 참조하세요.

지원되는 로그 유형

Juniper.Access

박스로 들어오고 나가는 모든 트래픽에 대한 Juniper.Access 로그입니다.

참조: Access 로그 형식에 대한 Juniper 문서.

스키마: Juniper.Access
설명: 박스로 들어오고 나가는 모든 트래픽에 대한 Juniper.Access 로그입니다.
참고URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-access-log.html
필드:
    - 이름: timestamp
      required: true
      설명: 로그 항목 타임스탬프
      type: timestamp
      timeFormats:
        - '%b %d %H:%M:%S'
      isEventTime: true
    - 이름: hostname
      설명: 어플라이언스의 호스트명
      type: string
      지표:
        - 호스트명
    - 이름: log_level
      설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR가 될 수 있습니다.
      type: string
    - 이름: thread
      설명: 요청 또는 응답을 처리하는 특정 스레드입니다.
      type: string
    - 이름: unique_request_key
      설명: 요청을 고유하게 식별하는 데 사용되는 키입니다.
      type: string
    - 이름: type
      설명: HTTP 패킷이 클라이언트 요청인지 서버 응답인지(REQUEST, RESPONSE).
      type: string
    - 이름: stage
      설명: HTTP 패킷이 Security Engine이 처리하기 전인지 후인지(그리고 잠재적으로 조작하는지)에 따라 로그되는지 여부.
      type: string
    - 이름: proxy_client_ip
      설명: 들어오는 클라이언트 IP입니다. WebApp Secure가 Nginx 프록시를 우회하여 작동하므로 클라이언트 IP는 대부분 '127.0.0.1'일 것입니다.
      type: string
      지표:
        - ip
    - name: url
      설명: 전체 요청 또는 응답 URL.
      type: string
      지표:
        - 도메인

Juniper.Audit

감사 로그에는 WebApp Secure에서 수행된 비멱등성(상태 변경) 작업을 나타내는 로그 항목이 포함됩니다.

참조: 감사 로그 형식에 대한 Juniper 문서.

스키마: Juniper.Audit
설명: Juniper.Audit 감사 로그에는 WebApp Secure에서 수행된 비멱등성(상태 변경) 작업을 나타내는 로그 항목이 포함됩니다.
참고URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html
필드:
    - 이름: timestamp
      required: true
      설명: 로그 항목 타임스탬프
      type: timestamp
      timeFormats:
        - '%b %d %H:%M:%S'
      isEventTime: true
    - 이름: hostname
      설명: 어플라이언스의 호스트명
      type: string
      지표:
        - 호스트명
    - 이름: log_level
      설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR가 될 수 있습니다.
      type: string
    - name: message
      설명: 메시지입니다. 앞서 언급된 작업 중 어느 것이든 나타낼 수 있습니다.
      type: string
    - 이름: api_key
      설명: 메시지에 설명된 작업을 수행하는 데 사용되는 키입니다.
      type: string
    - 이름: login_ip
      설명: 사용자가 로그인한 IP 주소
      type: string
      지표:
        - ip
    - 이름: username
      설명: 로그인을 수행한 사용자
      type: string
      지표:
        - username

Juniper.Firewall

Juniper.Firewall은 iptables 방화벽에서 드롭된 패킷에 대한 정보를 저장합니다.

참조: 방화벽 로그 형식에 대한 Juniper 문서.

스키마: Juniper.Firewall
설명: Juniper.Firewall은 iptables 방화벽에서 드롭된 패킷에 대한 정보를 저장합니다.
참고URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html
필드:
    - 이름: timestamp
      required: true
      설명: 로그 타임스탬프
      type: timestamp
      timeFormats:
        - '%b %d %H:%M:%S'
      isEventTime: true
    - 이름: hostname
      설명: 호스트명
      type: string
      지표:
        - 호스트명
    - name: event
      설명: 이벤트 이름
      type: string
    - 이름: DST
      설명: 목적지 IP 주소
      type: string
      지표:
        - ip
    - 이름: DPT
      설명: 목적지 포트
      유형: int
    - 이름: SRC
      설명: 출발지 IP 주소
      type: string
      지표:
        - ip
    - 이름: SPT
      설명: 소스 포트
      유형: int
    - 이름: TTL
      설명: IP TTL(밀리초)
      type: bigint
    - 이름: ID
      설명: 패킷 ID
      type: bigint
    - 이름: MAC
      설명: MAC 주소
      type: string
      지표:
        - mac
    - 이름: LEN
      설명: 패킷 길이
      유형: int
    - 이름: TOS
      설명: 패킷 서비스 유형 필드
      type: string
    - 이름: PREC
      설명: 패킷 우선순위 비트
      type: string
    - 이름: RES
      설명: 예약된 비트
      type: string
    - 이름: RST
      설명: 패킷이 RST임
      유형: boolean
    - 이름: SYN
      설명: 패킷이 SYN임
      유형: boolean
    - 이름: DF
      설명: 패킷에 단편 금지(Do Not Fragment) 플래그가 있음
      유형: boolean
    - 이름: IN
      설명: 입력 인터페이스
      type: string
    - 이름: OUT
      설명: 출력 인터페이스
      type: string
    - 이름: PROTO
      설명: 프로토콜
      type: string
    - 이름: WINDOW
      설명: 전송 윈도우
      유형: int

Juniper.MWS

Juniper.MWS는 대부분의 WebApp Secure 로깅 요구를 위한 주요 로그 파일입니다. 특정 로그 위치가 없는 모든 메시지는 기본적으로 mws.log로 전송됩니다.

참조: MWS 로그 형식에 대한 Juniper 문서.

스키마: Juniper.MWS
설명: Juniper.MWS는 대부분의 WebApp Secure 로깅 요구를 위한 주요 로그 파일입니다. 특정 로그 위치가 없는 모든 메시지는 기본적으로 mws.log로 전송됩니다.
참고URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-mws-log.html
필드:
    - 이름: timestamp
      설명: 로그 항목의 날짜(UTC 기준).
      type: timestamp
      timeFormats:
        - '%b %d %H:%M:%S'
      isEventTime: true
    - 이름: hostname
      설명: 어플라이언스 호스트명.
      type: string
      지표:
        - 호스트명
    - 이름: log_level
      설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR가 될 수 있습니다.
      type: string
    - 이름: service_name
      설명: 로그 항목을 생성한 WebApp Secure 서비스.
      type: string
    - 이름: service_component
      설명: 로그 메시지를 발행하는 특정 구성요소.
      type: string
    - 이름: log_message
      설명: 메시지입니다. 이는 무엇이든 될 수 있지만 보통 문제를 좁히거나 특정 이벤트가 제대로 발생했는지 확인하는 데 도움이 되는 정보를 포함합니다.
      type: string

Juniper.Postgres

Juniper.Postgres에는 WebApp Secure가 사용하는 데이터베이스 스키마에 대한 조작 로그와 데이터베이스 작업 중 발생한 오류가 포함됩니다.

참조: Postgres 로그 형식에 대한 Juniper 문서.

스키마: Juniper.Postgres
설명: Juniper.Postgres에는 WebApp Secure가 사용하는 데이터베이스 스키마에 대한 조작 로그와 데이터베이스 작업 중 발생한 오류가 포함됩니다.
참고URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-postgres-log.html
필드:
    - 이름: timestamp
      required: true
      설명: 로그 항목 타임스탬프
      type: timestamp
      timeFormats:
        - '%b %d %H:%M:%S'
      isEventTime: true
    - 이름: hostname
      설명: 머신의 호스트명
      type: string
    - name: pid
      설명: postgres 인스턴스의 프로세스 ID.
      유형: int
    - 이름: group_id_major
      설명: 그룹 ID 주요 번호
      유형: int
    - 이름: group_id_minor
      설명: 그룹 ID 보조 번호
      유형: int
    - 이름: sql_error_code
      설명: SQL 오류 코드.
      type: string
    - 이름: session_id
      설명: 로그에서 특정 라인을 검색하는 데 사용할 수 있는 다소 고유한 세션 식별자.
      type: string
      지표:
        - trace_id
    - 이름: message_type
      설명: 메시지 유형입니다. LOG, WARNING, ERROR 또는 STATEMENT가 될 수 있습니다.
      type: string
    - name: message
      설명: 메시지.
      type: string

Juniper.Security

Juniper.Security Webapp Secure는 보안 사고를 mws-security.log에 기록하도록 구성되어 있습니다. 모든 보안 경고는 security.log(이전 이름 security-alert.log)로 전송되어야 합니다. 이 로그에는 새 프로필, 보안 사고, 새로운 카운터 응답과 같은 다양한 유형의 보안 사고가 포함됩니다.

참조: 보안 로그 형식에 대한 Juniper 문서.

스키마: Juniper.Security
설명: |-
    Juniper.Security Webapp Secure는 보안 사고를 mws-security.log에 기록하도록 구성되어 있습니다.
    모든 보안 경고는 security.log(이전 이름 security-alert.log)로 전송되어야 합니다.
    이 로그에는 새 프로필, 보안 사고, 새로운 카운터 응답과 같은 다양한 유형의 보안 사고가 포함됩니다.
참고URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-log-format.html
필드:
    - 이름: timestamp
      required: true
      설명: 로그 항목 타임스탬프
      type: timestamp
      timeFormats:
        - '%b %d %H:%M:%S'
      isEventTime: true
    - 이름: hostname
      설명: 어플라이언스의 호스트명
      type: string
      지표:
        - 호스트명
    - 이름: log_level
      설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR가 될 수 있습니다.
      type: string
    - 이름: service
      설명: 보안 로그 항목을 트리거한 WebApp Secure 서비스.
      type: string
    - name: category
      설명: 로그 항목 카테고리
      type: string
    - 이름: profile_id
      설명: 보안 경고를 발생시킨 프로필에 할당된 숫자 ID 또는 응답을 받은 프로필 ID.
      type: string
    - 이름: profile_name
      설명: 보안 경고를 발생시킨 프로필 또는 응답을 받은 프로필에 할당된 친숙한 이름.
      type: string
    - 이름: pubkey
      설명: Support_Processor와 함께 사용하여 프로필의 차단을 해제하는 데 사용할 수 있는 공개 ID.
      type: string
    - 이름: incident
      설명: 이 보안 경고를 트리거한 사고의 이름.
      type: string
    - 이름: severity
      설명: 이 보안 경고를 트리거한 사고의 숫자 심각도입니다. 0부터 4까지의 숫자일 수 있습니다.
      유형: smallint
    - 이름: source_ip
      설명: 이 경고를 생성한 요청이 시작된 IP.
      type: string
      지표:
        - ip
    - name: user_agent
      설명: 이 경고를 생성한 클라이언트의 사용자 에이전트 문자열.
      type: string
    - name: url
      설명: 이 경고를 생성한 요청 URL.
      type: string
      지표:
        - URL
    - 이름: count
      설명: 프로필이 이 사고를 트리거한 횟수입니다. 이는 특정 사고에서 프로필을 승격하거나 프로필의 응답을 증가시킬지 결정하는 데 사용됩니다.
      유형: int
    - 이름: fake_response
      설명: 클라이언트에 반환된 응답이 WebApp Secure에 의해 생성된 가짜 응답인지 여부(참 또는 거짓).
      유형: boolean
    - name: response_code
      설명: 발행된 응답의 숫자 코드.
      type: string
    - 이름: response_name
      설명: 경고에 표시된 프로필에서 발행된 응답의 친숙한 이름.
      type: string
    - 이름: created_date
      설명: 응답이 생성된 날짜 및 시간.
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S.%f'
    - 이름: delay_date
      설명: 응답이 지연되도록 설정된 날짜 및 시간.
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S.%f'
    - 이름: expiration_date
      설명: 응답이 만료되도록 설정된 날짜 및 시간.
      type: timestamp
      timeFormats:
        - '%Y-%m-%d %H:%M:%S.%f'
    - 이름: response_config
      설명: 이 응답에 사용된 구성입니다. XML과 유사한 노드로 표시됩니다.
      type: string
    - 이름: silent_running
      설명: 이 카운터 응답이 활성화 시 Silent Running 서비스로 조용히 설정되었는지 여부.
      유형: boolean

PreviousJamf Pro 로그 NextLacework 로그

Last updated 1 year ago

Was this helpful?

hashtag개요

hashtagJuniper 로그를 Panther에 온보딩하는 방법

hashtag지원되는 로그 유형

hashtagJuniper.Access

hashtagJuniper.Audit

hashtagJuniper.Firewall

hashtagJuniper.MWS

hashtagJuniper.Postgres

hashtagJuniper.Security

개요