# Juniper 로그 ## 개요 Panther는 일반적인 방법을 통해 Juniper 로그를 수집하는 것을 지원합니다 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션: Amazon Web Services(AWS) S3 및 SQS를 통한 Fastly 로그 수집을 지원합니다. ## Juniper 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔에 로그인하십시오. 2. 왼쪽 사이드바에서 클릭하세요 **설정 > 로그 소스**. 3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 4. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭하세요. 5. 이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: * [AWS SQS](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs) * [AWS S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) 6. Juniper를 구성하여 로그를 Data Transport 소스로 푸시하도록 설정합니다. * 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Juniper 문서를 참조하십시오. ## 지원되는 로그 유형 ### Juniper.Access 박스로 들어오고 나가는 모든 트래픽에 대한 Juniper.Access 로그입니다. 참고: [Access 로그 형식에 대한 Juniper 문서.](https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-access-log.html) ```yaml 스키마: Juniper.Access 설명: 박스로 들어오고 나가는 모든 트래픽에 대한 Juniper.Access 로그입니다. 참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-access-log.html 필드: - 이름: timestamp required: true 설명: 로그 항목 타임스탬프 type: timestamp timeFormats: - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 어플라이언스의 호스트명 type: string 지표: - hostname - 이름: log_level 설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다. type: string - 이름: thread 설명: 요청 또는 응답을 처리하는 특정 스레드입니다. type: string - 이름: unique_request_key 설명: 요청을 고유하게 식별하는 데 사용되는 키입니다. type: string - 이름: type 설명: HTTP 패킷이 클라이언트 요청인지 서버 응답인지 여부 (REQUEST,RESPONSE). type: string - 이름: stage 설명: HTTP 패킷이 보안 엔진이 처리하기 전인지 후인지(그리고 잠재적으로 조작했는지) 여부입니다. type: string - 이름: proxy_client_ip 설명: 들어오는 클라이언트 IP. WebApp Secure가 Nginx 프록시를 우회하여 작동하기 때문에 클라이언트 IP는 대부분 '127.0.0.1'일 것입니다. type: string 지표: - ip - name: url 설명: 전체 요청 또는 응답 URL. type: string 지표: - 도메인 ``` ### Juniper.Audit 감사 로그에는 WebApp Secure에서 수행된 멱등이 아닌(상태 변경) 동작을 나타내는 로그 항목이 포함됩니다. 참고: [감사 로그 형식에 대한 Juniper 문서.](https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html) ```yaml 스키마: Juniper.Audit 설명: Juniper.Audit 감사 로그에는 WebApp Secure에서 수행된 멱등이 아닌(상태 변경) 동작을 나타내는 로그 항목이 포함됩니다. 참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html 필드: - 이름: timestamp required: true 설명: 로그 항목 타임스탬프 type: timestamp timeFormats: - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 어플라이언스의 호스트명 type: string 지표: - hostname - 이름: log_level 설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다. type: string - name: message 설명: 메시지. 이전에 언급된 동작 중 어느 것이든 나타낼 수 있습니다. type: string - 이름: api_key 설명: 메시지에 설명된 동작을 수행하는 데 사용된 키입니다. type: string - 이름: login_ip 설명: 사용자가 로그인한 IP 주소 type: string 지표: - ip - 이름: username 설명: 로그인을 수행한 사용자 type: string 지표: - username ``` ### Juniper.Firewall Juniper.Firewall은 iptables 방화벽에서 차단된 패킷에 대한 정보를 저장합니다. 참고: [방화벽 로그 형식에 대한 Juniper 문서.](https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-profile-log-format.html) ```yaml 스키마: Juniper.Firewall 설명: Juniper.Firewall은 iptables 방화벽에서 차단된 패킷에 대한 정보를 저장합니다. 참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-incident-log-format.html 필드: - 이름: timestamp required: true 설명: 로그 타임스탬프 type: timestamp timeFormats: - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 호스트명 type: string 지표: - hostname - name: event 설명: 이벤트 이름 type: string - 이름: DST description: 목적지 IP 주소 type: string 지표: - ip - 이름: DPT description: 목적지 포트 유형: int - 이름: SRC description: 출발지 IP 주소 type: string 지표: - ip - 이름: SPT 설명: 소스 포트 유형: int - 이름: TTL 설명: IP TTL(밀리초) type: bigint - 이름: ID 설명: 패킷 ID type: bigint - 이름: MAC 설명: MAC 주소 type: string 지표: - mac - 이름: LEN 설명: 패킷 길이 유형: int - 이름: TOS 설명: 패킷의 서비스 유형 필드 type: string - 이름: PREC 설명: 패킷 우선순위 비트 type: string - 이름: RES 설명: 예약된 비트 type: string - 이름: RST 설명: 패킷이 RST임 유형: boolean - 이름: SYN 설명: 패킷이 SYN임 유형: boolean - 이름: DF 설명: 패킷에 단편 금지 플래그가 있음 유형: boolean - 이름: IN 설명: 입력 인터페이스 type: string - 이름: OUT 설명: 출력 인터페이스 type: string - 이름: PROTO 설명: 프로토콜 type: string - 이름: WINDOW 설명: 전송 윈도우 유형: int ``` ### Juniper.MWS Juniper.MWS는 대부분의 WebApp Secure 로깅 요구를 위한 주요 로그 파일입니다. 특정 로그 위치가 없는 모든 메시지는 기본적으로 mws.log로 전송됩니다. 참고: [MWS 로그 형식에 대한 Juniper 문서.](https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-mws-log.html) ```yaml 스키마: Juniper.MWS 설명: Juniper.MWS는 대부분의 WebApp Secure 로깅 요구를 위한 주요 로그 파일입니다. 특정 로그 위치가 없는 모든 메시지는 기본적으로 mws.log로 전송됩니다. 참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-mws-log.html 필드: - 이름: timestamp 설명: 로그 항목의 날짜(UTC 기준). type: timestamp timeFormats: - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 어플라이언스 호스트명. type: string 지표: - hostname - 이름: log_level 설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다. type: string - 이름: service_name 설명: 로그 항목을 생성한 WebApp Secure 서비스. type: string - 이름: service_component 설명: 로그 메시지를 발행하는 특정 구성 요소. type: string - 이름: log_message 설명: 메시지. 무엇이든 될 수 있지만 보통 문제를 좁히거나 특정 이벤트가 정상적으로 발생했는지 확인하는 데 도움이 되는 정보를 포함합니다. type: string ``` ### Juniper.Postgres Juniper.Postgres에는 WebApp Secure가 사용하는 데이터베이스의 스키마에 대한 조작 로그와 데이터베이스 작업 중 발생한 오류가 포함됩니다. 참고: [Postgres 로그 형식에 대한 Juniper 문서.](https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-postgres-log.html) ```yaml 스키마: Juniper.Postgres 설명: Juniper.Postgres에는 WebApp Secure가 사용하는 데이터베이스의 스키마에 대한 조작 로그와 데이터베이스 작업 중 발생한 오류가 포함됩니다. 참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-postgres-log.html 필드: - 이름: timestamp required: true 설명: 로그 항목 타임스탬프 type: timestamp timeFormats: - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 머신의 호스트명 type: string - name: pid 설명: postgres 인스턴스의 프로세스 ID. 유형: int - 이름: group_id_major 설명: 그룹 ID 메이저 번호 유형: int - 이름: group_id_minor 설명: 그룹 ID 마이너 번호 유형: int - 이름: sql_error_code 설명: SQL 오류 코드. type: string - 이름: session_id 설명: 로그에서 특정 라인을 검색하는 데 사용할 수 있는 다소 고유한 세션 식별자. type: string 지표: - trace_id - 이름: message_type 설명: 메시지 유형. LOG, WARNING, ERROR 또는 STATEMENT일 수 있습니다. type: string - name: message 설명: 메시지. type: string ``` ### Juniper.Security Juniper.Security Webapp Secure는 보안 사고를 mws-security.log에 기록하도록 구성되어 있습니다. 모든 보안 알러트는 security.log(이전 이름: security-alert.log)로 전송되어야 합니다. 이 로그에는 새로운 프로파일, 보안 사고, 새로운 카운터 응답 등 여러 유형의 보안 사고가 포함됩니다. 참고: [보안 로그 형식에 대한 Juniper 문서.](https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-log-format.html) ```yaml 스키마: Juniper.Security 설명: |- Juniper.Security Webapp Secure는 보안 사고를 mws-security.log에 기록하도록 구성되어 있습니다. 모든 보안 알러트는 security.log(이전 이름: security-alert.log)로 전송되어야 합니다. 이 로그에는 새로운 프로파일, 보안 사고, 새로운 카운터 응답 등 여러 유형의 보안 사고가 포함됩니다. 참조URL: https://www.juniper.net/documentation/en_US/webapp5.6/topics/reference/w-a-s-log-format.html 필드: - 이름: timestamp required: true 설명: 로그 항목 타임스탬프 type: timestamp timeFormats: - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 어플라이언스의 호스트명 type: string 지표: - hostname - 이름: log_level 설명: 로그 항목의 중요도 수준입니다. TRACE, DEBUG, INFO, WARN 또는 ERROR일 수 있습니다. type: string - 이름: service 설명: 보안 로그 항목을 트리거한 WebApp Secure 서비스. type: string - name: category 설명: 로그 항목 카테고리 type: string - 이름: profile_id 설명: 보안 알러트를 유발한 프로파일에 할당된 숫자 ID 또는 응답을 받은 프로파일 ID. type: string - 이름: profile_name 설명: 보안 알러트를 유발한 프로파일이나 응답을 받은 프로파일에 할당된 친숙한 이름. type: string - 이름: pubkey 설명: Support_Processor와 함께 프로파일을 차단 해제하는 데 사용할 수 있는 공개 ID. type: string - 이름: incident 설명: 이 보안 알러트를 트리거한 사고의 이름. type: string - 이름: severity 설명: 이 보안 알러트를 트리거한 사고의 숫자 심각도. 0부터 4까지의 숫자일 수 있습니다. 유형: smallint - 이름: source_ip 설명: 이 알러트를 생성한 요청이 시작된 IP. type: string 지표: - ip - name: user_agent 설명: 이 알러트를 생성한 클라이언트의 유저 에이전트 문자열. type: string - name: url 설명: 이 알러트를 생성한 요청 URL. type: string 지표: - url - 이름: count 설명: 프로파일이 이 사고를 유발한 횟수. 이는 특정 사고에 대해 프로파일을 승격하거나 프로파일의 응답을 증가시킬지 결정하는 데 사용됩니다. 유형: int - 이름: fake_response 설명: 클라이언트에게 반환된 응답이 WebApp Secure가 생성한 가짜 응답인지 여부(참 또는 거짓). 유형: boolean - name: response_code 설명: 발행된 응답의 숫자 코드. type: string - 이름: response_name 설명: 알러트에 표시된 프로파일에 대해 발행된 응답의 친숙한 이름. type: string - 이름: created_date 설명: 응답이 생성된 날짜 및 시간. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S.%f' - 이름: delay_date 설명: 응답이 지연되도록 설정된 날짜 및 시간. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S.%f' - 이름: expiration_date 설명: 응답이 만료되도록 설정된 날짜 및 시간. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S.%f' - 이름: response_config 설명: 이 응답에 사용된 구성. XML과 유사한 노드로 표시됩니다. type: string - 이름: silent_running 설명: 이 카운터 응답이 활성화 시 Silent Running 서비스로 조용히 실행되도록 설정되었는지 여부. 유형: boolean ```