Juniper 로그를 Panther 콘솔에 연결하기
마지막 업데이트
도움이 되었나요?
도움이 되었나요?
스키마: Juniper.Access
설명: 박스로 들어오고 나가는 모든 트래픽에 대한 Juniper.Access 로그입니다.
참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-access-log.html
필드:
- 이름: timestamp
required: true
설명: 로그 항목 타임스탬프
type: timestamp
timeFormats:
- '%b %d %H:%M:%S'
isEventTime: true
- 이름: hostname
설명: 어플라이언스의 호스트명
type: string
지표:
- hostname
- 이름: log_level
설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다.
type: string
- 이름: thread
설명: 요청 또는 응답을 처리하는 특정 스레드입니다.
type: string
- 이름: unique_request_key
설명: 요청을 고유하게 식별하는 데 사용되는 키입니다.
type: string
- 이름: type
설명: HTTP 패킷이 클라이언트 요청인지 서버 응답인지 여부 (REQUEST,RESPONSE).
type: string
- 이름: stage
설명: HTTP 패킷이 보안 엔진이 처리하기 전인지 후인지(그리고 잠재적으로 조작했는지) 여부입니다.
type: string
- 이름: proxy_client_ip
설명: 들어오는 클라이언트 IP. WebApp Secure가 Nginx 프록시를 우회하여 작동하기 때문에 클라이언트 IP는 대부분 '127.0.0.1'일 것입니다.
type: string
지표:
- ip
- name: url
설명: 전체 요청 또는 응답 URL.
type: string
지표:
- 도메인스키마: Juniper.Audit
설명: Juniper.Audit 감사 로그에는 WebApp Secure에서 수행된 멱등이 아닌(상태 변경) 동작을 나타내는 로그 항목이 포함됩니다.
참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html
필드:
- 이름: timestamp
required: true
설명: 로그 항목 타임스탬프
type: timestamp
timeFormats:
- '%b %d %H:%M:%S'
isEventTime: true
- 이름: hostname
설명: 어플라이언스의 호스트명
type: string
지표:
- hostname
- 이름: log_level
설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다.
type: string
- name: message
설명: 메시지. 이전에 언급된 동작 중 어느 것이든 나타낼 수 있습니다.
type: string
- 이름: api_key
설명: 메시지에 설명된 동작을 수행하는 데 사용된 키입니다.
type: string
- 이름: login_ip
설명: 사용자가 로그인한 IP 주소
type: string
지표:
- ip
- 이름: username
설명: 로그인을 수행한 사용자
type: string
지표:
- username스키마: Juniper.Firewall
설명: Juniper.Firewall은 iptables 방화벽에서 차단된 패킷에 대한 정보를 저장합니다.
참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html
필드:
- 이름: timestamp
required: true
설명: 로그 타임스탬프
type: timestamp
timeFormats:
- '%b %d %H:%M:%S'
isEventTime: true
- 이름: hostname
설명: 호스트명
type: string
지표:
- hostname
- name: event
설명: 이벤트 이름
type: string
- 이름: DST
description: 목적지 IP 주소
type: string
지표:
- ip
- 이름: DPT
description: 목적지 포트
유형: int
- 이름: SRC
description: 출발지 IP 주소
type: string
지표:
- ip
- 이름: SPT
설명: 소스 포트
유형: int
- 이름: TTL
설명: IP TTL(밀리초)
type: bigint
- 이름: ID
설명: 패킷 ID
type: bigint
- 이름: MAC
설명: MAC 주소
type: string
지표:
- mac
- 이름: LEN
설명: 패킷 길이
유형: int
- 이름: TOS
설명: 패킷의 서비스 유형 필드
type: string
- 이름: PREC
설명: 패킷 우선순위 비트
type: string
- 이름: RES
설명: 예약된 비트
type: string
- 이름: RST
설명: 패킷이 RST임
유형: boolean
- 이름: SYN
설명: 패킷이 SYN임
유형: boolean
- 이름: DF
설명: 패킷에 단편 금지 플래그가 있음
유형: boolean
- 이름: IN
설명: 입력 인터페이스
type: string
- 이름: OUT
설명: 출력 인터페이스
type: string
- 이름: PROTO
설명: 프로토콜
type: string
- 이름: WINDOW
설명: 전송 윈도우
유형: int스키마: Juniper.MWS
설명: Juniper.MWS는 대부분의 WebApp Secure 로깅 요구를 위한 주요 로그 파일입니다. 특정 로그 위치가 없는 모든 메시지는 기본적으로 mws.log로 전송됩니다.
참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-mws-log.html
필드:
- 이름: timestamp
설명: 로그 항목의 날짜(UTC 기준).
type: timestamp
timeFormats:
- '%b %d %H:%M:%S'
isEventTime: true
- 이름: hostname
설명: 어플라이언스 호스트명.
type: string
지표:
- hostname
- 이름: log_level
설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다.
type: string
- 이름: service_name
설명: 로그 항목을 생성한 WebApp Secure 서비스.
type: string
- 이름: service_component
설명: 로그 메시지를 발행하는 특정 구성 요소.
type: string
- 이름: log_message
설명: 메시지. 무엇이든 될 수 있지만 보통 문제를 좁히거나 특정 이벤트가 정상적으로 발생했는지 확인하는 데 도움이 되는 정보를 포함합니다.
type: string스키마: Juniper.Postgres
설명: Juniper.Postgres에는 WebApp Secure가 사용하는 데이터베이스의 스키마에 대한 조작 로그와 데이터베이스 작업 중 발생한 오류가 포함됩니다.
참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-postgres-log.html
필드:
- 이름: timestamp
required: true
설명: 로그 항목 타임스탬프
type: timestamp
timeFormats:
- '%b %d %H:%M:%S'
isEventTime: true
- 이름: hostname
설명: 머신의 호스트명
type: string
- name: pid
설명: postgres 인스턴스의 프로세스 ID.
유형: int
- 이름: group_id_major
설명: 그룹 ID 메이저 번호
유형: int
- 이름: group_id_minor
설명: 그룹 ID 마이너 번호
유형: int
- 이름: sql_error_code
설명: SQL 오류 코드.
type: string
- 이름: session_id
설명: 로그에서 특정 라인을 검색하는 데 사용할 수 있는 다소 고유한 세션 식별자.
type: string
지표:
- trace_id
- 이름: message_type
설명: 메시지 유형. LOG, WARNING, ERROR 또는 STATEMENT일 수 있습니다.
type: string
- name: message
설명: 메시지.
type: string스키마: Juniper.Security
설명: |-
Juniper.Security Webapp Secure는 보안 사고를 mws-security.log에 기록하도록 구성되어 있습니다.
모든 보안 알러트는 security.log(이전 이름: security-alert.log)로 전송되어야 합니다.
이 로그에는 새로운 프로파일, 보안 사고, 새로운 카운터 응답 등 여러 유형의 보안 사고가 포함됩니다.
참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-log-format.html
필드:
- 이름: timestamp
required: true
설명: 로그 항목 타임스탬프
type: timestamp
timeFormats:
- '%b %d %H:%M:%S'
isEventTime: true
- 이름: hostname
설명: 어플라이언스의 호스트명
type: string
지표:
- hostname
- 이름: log_level
설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다.
type: string
- 이름: service
설명: 보안 로그 항목을 트리거한 WebApp Secure 서비스.
type: string
- name: category
설명: 로그 항목 카테고리
type: string
- 이름: profile_id
설명: 보안 알러트를 유발한 프로파일에 할당된 숫자 ID 또는 응답을 받은 프로파일 ID.
type: string
- 이름: profile_name
설명: 보안 알러트를 유발한 프로파일이나 응답을 받은 프로파일에 할당된 친숙한 이름.
type: string
- 이름: pubkey
설명: Support_Processor와 함께 프로파일을 차단 해제하는 데 사용할 수 있는 공개 ID.
type: string
- 이름: incident
설명: 이 보안 알러트를 트리거한 사고의 이름.
type: string
- 이름: severity
설명: 이 보안 알러트를 트리거한 사고의 숫자 심각도. 0부터 4까지의 숫자일 수 있습니다.
유형: smallint
- 이름: source_ip
설명: 이 알러트를 생성한 요청이 시작된 IP.
type: string
지표:
- ip
- name: user_agent
설명: 이 알러트를 생성한 클라이언트의 유저 에이전트 문자열.
type: string
- name: url
설명: 이 알러트를 생성한 요청 URL.
type: string
지표:
- url
- 이름: count
설명: 프로파일이 이 사고를 유발한 횟수. 이는 특정 사고에 대해 프로파일을 승격하거나 프로파일의 응답을 증가시킬지 결정하는 데 사용됩니다.
유형: int
- 이름: fake_response
설명: 클라이언트에게 반환된 응답이 WebApp Secure가 생성한 가짜 응답인지 여부(참 또는 거짓).
유형: boolean
- name: response_code
설명: 발행된 응답의 숫자 코드.
type: string
- 이름: response_name
설명: 알러트에 표시된 프로파일에 대해 발행된 응답의 친숙한 이름.
type: string
- 이름: created_date
설명: 응답이 생성된 날짜 및 시간.
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S.%f'
- 이름: delay_date
설명: 응답이 지연되도록 설정된 날짜 및 시간.
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S.%f'
- 이름: expiration_date
설명: 응답이 만료되도록 설정된 날짜 및 시간.
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S.%f'
- 이름: response_config
설명: 이 응답에 사용된 구성. XML과 유사한 노드로 표시됩니다.
type: string
- 이름: silent_running
설명: 이 카운터 응답이 활성화 시 Silent Running 서비스로 조용히 실행되도록 설정되었는지 여부.
유형: boolean