> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/osquery.md). # Osquery 로그 ## 개요 Panther는 Osquery 로그를 일반적인 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션을 통해 수집할 수 있습니다: HTTP Source, Amazon Web Services (AWS) S3, SQS, 및 CloudWatch. ## Panther에 Osquery 로그를 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. "Osquery"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 다음을 선택하세요 **전송 메커니즘** 이 통합에 사용하려는 5. 다음을 클릭합니다: **설정 시작**. 6. 선택한 데이터 전송 방법을 구성하기 위한 Panther의 지침을 따르세요: * [HTTP](/ko/data-onboarding/data-transports/http.md) * 이 소스로 전송되는 페이로드는 [모든 HTTP 소스에 대한 페이로드 요구 사항](https://docs.panther.com/data-onboarding/data-transports/http#payload-requirements). * HTTP 엔드포인트 생성이 완료될 때까지 다음 단계로 진행하지 마세요. * [AWS CloudWatch](/ko/data-onboarding/data-transports/aws/cloudwatch.md) * [AWS SQS](/ko/data-onboarding/data-transports/aws/sqs.md) * [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md) 7. Osquery를 구성하여 로그를 Data Transport 소스로 전송합니다. * 선택한 Data Transport 소스로 로그를 전송하는 방법은 Osquery 문서를 참조하세요. ## Panther가 제공한 탐지 규칙 Panther에 내장된 [Github의 panther-analysis에 있는 Osquery 규칙](https://github.com/panther-labs/panther-analysis/tree/master/rules/osquery_rules). ## 지원되는 로그 유형 ### Osquery.Batch Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 들어 있습니다. 참조: [로깅에 관한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Batch format 섹션으로 스크롤) ```yaml schema: Osquery.Batch description: Batch에는 Osquery 배치 로그에 포함된 모든 데이터가 들어 있습니다 referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/ fields: - name: calendarTime required: true description: 이벤트 시간(UTC). type: timestamp timeFormats: - '%a %b %d %H:%M:%S %Y %Z' - '%a %b %d %H:%M:%S %Y %Z' isEventTime: true - name: counter required: true description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다. type: bigint - name: decorations description: Decorations 유형: json - name: diffResults required: true description: 계산된 차이입니다. type: object fields: - name: added description: 추가된 필드 type: array element: 유형: json - name: removed description: 제거된 필드 type: array element: 유형: json - name: epoch required: true description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다. type: bigint - 이름: hostname required: true description: 호스트 이름 type: string 표시자: - 호스트 이름 - 이름: name required: true description: 이름 type: string - name: unixTime required: true description: Unix epoch type: bigint ``` ### Osquery.Differential Differential에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다. 참조: [로깅에 관한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Differential logs 섹션으로 스크롤) ```yaml schema: Osquery.Differential description: Differential에는 OsQuery 차등 로그에 포함된 모든 데이터가 들어 있습니다 referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/ fields: - 이름: action required: true description: Action은 이벤트 유형입니다 type: string - name: calendarTime required: true description: 이벤트 시간(UTC). type: timestamp timeFormats: - '%a %b %d %H:%M:%S %Y %Z' - '%a %b %d %H:%M:%S %Y %Z' isEventTime: true - name: columns required: true description: Columns 유형: json - name: counter description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다. type: bigint - name: decorations description: Decorations 유형: json - name: epoch required: true description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다. type: bigint - name: hostIdentifier required: true description: HostIdentifier type: string 표시자: - 호스트 이름 - name: logType description: LogType type: string - name: log_type description: LogUnderscoreType type: string - 이름: name required: true description: 이름 type: string - name: unixTime required: true description: UnixTime type: bigint - name: logNumericsAsNumbers description: LogNumericsAsNumbers 유형: boolean ``` ### Osquery.Snapshot Snapshot에는 Osquery 차등 로그에 포함된 모든 데이터가 들어 있습니다. 참조: [로깅에 관한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Snapshot logs 섹션으로 스크롤) ```yaml schema: Osquery.Snapshot description: Snapshot에는 OsQuery 차등 로그에 포함된 모든 데이터가 들어 있습니다 referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/ fields: - name: calendarTime required: true description: 이벤트 시간(UTC). type: timestamp timeFormats: - '%a %b %d %H:%M:%S %Y %Z' - '%a %b %d %H:%M:%S %Y %Z' isEventTime: true - name: unixTime required: true description: UnixTime type: bigint - 이름: action required: true description: Action은 이벤트 유형입니다 type: string - name: counter required: true description: '''counter''는 추가된 레코드가 초기 쿼리의 모든 레코드인지, 아니면 새 레코드인지 식별하는 데 사용할 수 있습니다. 모든 레코드를 포함하는 초기 쿼리 결과의 경우 counter는 ''0''입니다. type: bigint - name: decorations description: Decorations 유형: json - name: epoch required: true description: Epoch. 'epoch'가 변경되면 counter는 다시 0으로 재설정됩니다. type: bigint - name: hostIdentifier required: true description: HostIdentifier. 기본값은 호스트 이름입니다' type: string 표시자: - domain - 이름: name required: true description: 이름 type: string - name: snapshot description: Snapshot type: array element: 유형: json ``` ### Osquery.Status Status는 데몬에 관한 진단용 osquery 로그입니다. 참조: [로깅에 관한 Osquery 문서.](https://osquery.readthedocs.io/en/stable/deployment/logging/) (Status logs 섹션으로 스크롤) ```yaml schema: Osquery.Status description: Status는 데몬에 관한 진단용 osquery 로그입니다. referenceURL: https://osquery.readthedocs.io/en/stable/deployment/logging/ fields: - name: calendarTime required: true description: 이벤트 시간(UTC). type: timestamp timeFormats: - '%a %b %d %H:%M:%S %Y %Z' - '%a %b %d %H:%M:%S %Y %Z' isEventTime: true - name: decorations description: Decorations 유형: json - name: filename required: true description: 파일 이름 type: string - name: hostIdentifier required: true description: HostIdentifier type: string 표시자: - domain - 이름: line required: true description: 줄 type: bigint - name: logType description: LogType type: string - name: log_type description: LogUnderScoreType type: string - name: message description: 메시지 type: string - 이름: severity required: true description: 심각도 type: bigint - name: unixTime required: true description: UnixTime type: bigint - 이름: version required: true description: 버전 type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/osquery.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.