# Osquery 로그

## 개요

Panther는 일반적인 방식으로 Osquery 로그 수집을 지원합니다 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: HTTP Source, Amazon Web Services(AWS) S3, SQS, 그리고 CloudWatch.

## Osquery 로그를 Panther에 온보딩하는 방법

이 로그를 Panther에 연결하려면:

1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**.
2. 을 클릭한 다음 **새로 만들기**.
3. "Osquery"를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드아웃 패널에서 **전송 메커니즘** 이 통합에 사용할 방식을 선택하세요.
5. 을 클릭한 다음 **설정 시작**.
6. 선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르세요:
   * [HTTP](/ko/data-onboarding/data-transports/http.md)
     * 이 소스로 전송되는 페이로드는 다음의 적용을 받습니다 [모든 HTTP 소스에 대한 페이로드 요구 사항](https://docs.panther.com/data-onboarding/data-transports/http#payload-requirements).
     * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요.
   * [AWS CloudWatch](/ko/data-onboarding/data-transports/aws/cloudwatch.md)
   * [AWS SQS](/ko/data-onboarding/data-transports/aws/sqs.md)
   * [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md)
7. Osquery가 Data Transport source로 로그를 전송하도록 구성합니다.
   * 선택한 Data Transport source로 로그를 전송하는 방법은 Osquery 문서를 참조하세요.

## Panther에서 제작한 탐지 규칙

Panther에 내장된 [Github의 panther-analysis에 있는 Osquery용 규칙을 확인하세요](https://github.com/panther-labs/panther-analysis/tree/master/rules/osquery_rules).

## 지원되는 로그 유형

### Osquery.Batch

Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 들어 있습니다.

참조: [로깅에 대한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Batch format 섹션으로 스크롤)

```yaml
schema: Osquery.Batch
description: Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 들어 있습니다
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: counter
      required: true
      description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다'
      type: bigint
    - name: decorations
      description: 장식
      type: json
    - name: diffResults
      required: true
      description: 계산된 차이.
      type: object
      fields:
        - name: added
          description: 추가된 필드
          type: array
          element:
            type: json
        - name: removed
          description: 제거된 필드
          type: array
          element:
            type: json
    - name: epoch
      required: true
      description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다.
      type: bigint
    - name: hostname
      required: true
      description: 호스트 이름
      type: string
      indicators:
        - hostname
    - 이름: name
      required: true
      description: 이름
      type: string
    - name: unixTime
      required: true
      description: Unix epoch
      type: bigint
```

### Osquery.Differential

Differential에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다.

참조: [로깅에 대한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Differential logs 섹션으로 스크롤)

```yaml
schema: Osquery.Differential
description: Differential에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - 이름: 동작
      required: true
      description: Action은 이벤트의 유형입니다
      type: string
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: columns
      required: true
      description: 열
      type: json
    - name: counter
      description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다'
      type: bigint
    - name: decorations
      description: 장식
      type: json
    - name: epoch
      required: true
      description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다.
      type: bigint
    - name: hostIdentifier
      required: true
      description: HostIdentifier
      type: string
      indicators:
        - hostname
    - name: logType
      description: LogType
      type: string
    - name: log_type
      description: LogUnderscoreType
      type: string
    - 이름: name
      required: true
      description: 이름
      type: string
    - name: unixTime
      required: true
      description: UnixTime
      type: bigint
    - name: logNumericsAsNumbers
      description: LogNumericsAsNumbers
      type: boolean
```

### Osquery.Snapshot

Snapshot에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다.

참조: [로깅에 대한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Snapshot logs 섹션으로 스크롤)

```yaml
schema: Osquery.Snapshot
description: Snapshot에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: unixTime
      required: true
      description: UnixTime
      type: bigint
    - 이름: 동작
      required: true
      description: Action은 이벤트의 유형입니다
      type: string
    - name: counter
      required: true
      description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다'
      type: bigint
    - name: decorations
      description: 장식
      type: json
    - name: epoch
      required: true
      description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다.
      type: bigint
    - name: hostIdentifier
      required: true
      description: HostIdentifier. 기본적으로는 호스트 이름입니다'
      type: string
      indicators:
        - 도메인
    - 이름: name
      required: true
      description: 이름
      type: string
    - name: snapshot
      description: 스냅샷
      type: array
      element:
        type: json
```

### Osquery.Status

Status는 데몬에 대한 진단용 osquery 로그입니다.

참조: [로깅에 대한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Status logs 섹션으로 스크롤)

```yaml
schema: Osquery.Status
description: Status는 데몬에 대한 진단용 osquery 로그입니다.
referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/
fields:
    - name: calendarTime
      required: true
      description: 이벤트의 시간(UTC).
      type: timestamp
      timeFormats:
        - '%a %b %d %H:%M:%S %Y %Z'
        - '%a %b  %d %H:%M:%S %Y %Z'
      isEventTime: true
    - name: decorations
      description: 장식
      type: json
    - name: filename
      required: true
      description: 파일 이름
      type: string
    - name: hostIdentifier
      required: true
      description: HostIdentifier
      type: string
      indicators:
        - 도메인
    - 이름: line
      required: true
      description: 줄
      type: bigint
    - name: logType
      description: LogType
      type: string
    - name: log_type
      description: LogUnderScoreType
      type: string
    - name: message
      description: 메시지
      type: string
    - name: severity
      required: true
      description: 심각도
      type: bigint
    - name: unixTime
      required: true
      description: UnixTime
      type: bigint
    - 이름: version
      required: true
      description: 버전
      type: string
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/osquery.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.