# OSSEC 로그 ## 개요 Panther는 수집을 지원합니다 [OSSEC](https://www.ossec.net/) 로그를 일반적인 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: Amazon Web Services(AWS) S3 및 SQS. ## Panther에 OSSEC 로그를 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**. 2. 을 클릭한 다음 **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음, 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: * [AWS SQS](/ko/data-onboarding/data-transports/aws/sqs.md) * [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md) 5. OSSEC를 구성하여 로그를 Data Transport 소스로 전송합니다. * 선택한 Data Transport 소스로 로그를 전송하는 방법은 OSSEC 문서를 참조하세요. ## 지원되는 로그 유형 ### OSSEC.EventInfo OSSEC EventInfo 알러트 파서. JSON 출력이 지원됩니다. 참조: [OSSEC 알러트 로그 샘플에 대한 문서.](https://www.ossec.net/docs/docs/formats/alerts.html) ```yaml schema: OSSEC.EventInfo description: OSSEC EventInfo 알러트 파서. 현재는 JSON 출력만 지원됩니다. referenceURL: https://www.ossec.net/docs/docs/formats/alerts.html fields: - name: id required: true description: 이벤트의 고유 ID. type: string - name: 룰 required: true description: 이벤트를 생성한 룰에 대한 정보. type: object fields: - name: comment required: true description: 룰 설명. type: string - name: level required: true description: 룰의 수준(0~16). 알러트와 응답은 이 값을 사용합니다. type: bigint - name: sidid required: true description: 룰의 ID(100~99999). type: bigint - name: CIS description: 룰과 관련된 인터넷 보안 센터(CIS) 검사 목록. type: array element: type: string - name: cve description: 룰과 관련된 일반 취약점 및 노출(CVE) 식별자. type: string - name: firedtimes description: 룰이 실행된 횟수. type: bigint - name: frequency description: 실행되기 전에 룰이 일치해야 하는 횟수를 지정합니다. type: bigint - name: group description: 그룹은 알러트에 추가되는 선택적 태그입니다. type: string - name: groups description: 그룹은 알러트에 추가되는 선택적 태그입니다. type: array element: type: string - name: info description: 룰에 대한 추가 정보 또는 참고 자료. type: string - name: PCI_DSS description: 룰과 관련된 결제 카드 업계 데이터 보안 표준(PCI DSS) 요구사항 목록. type: array element: type: string - name: TimeStamp required: true description: UTC의 타임스탬프. type: timestamp timeFormats: - unix_ms isEventTime: true - name: location required: true description: 이벤트의 소스(파일 이름, 명령 등). type: string - name: hostname required: true description: 이벤트를 생성한 호스트의 호스트 이름. type: string - name: full_log required: true description: 이벤트의 전체 캡처 로그. type: string - 이름: 동작 description: 이벤트 동작(drop, deny, accept 등). type: string - name: agentip description: 호스트 이름에서 추출된 에이전트의 IP 주소. type: string indicators: - ip - name: agent_name description: 호스트 이름에서 추출된 에이전트의 이름. type: string - 이름: command description: 디코더가 추출한 명령. type: string - 이름: data description: 디코더가 추출한 추가 데이터. 예: 파일 이름. type: string - name: decoder description: 로그를 파싱하는 데 사용된 디코더의 이름. type: string - name: decoder_desc description: 로그를 파싱하는 데 사용된 디코더에 대한 정보. type: object fields: - name: accumulate description: OSSEC가 디코딩된 ID를 기반으로 여러 로그 메시지에 걸쳐 이벤트를 추적하면 True입니다. type: bigint - name: fts description: analysisd 내부의 First Time Seen 옵션. type: bigint - name: ftscomment description: 현재는 사용되지 않음. type: string - 이름: name description: 디코더의 이름. type: string - name: parent description: 중첩된 디코더의 경우, 부모 디코더의 이름. type: string - name: decoder_parent description: 중첩된 디코더의 경우, 부모 디코더의 이름. type: string - name: dstgeoip description: 대상 IP 주소에 대한 GeoIP 위치 정보. type: string - name: dstip description: 대상 IP 주소. type: string indicators: - ip - name: dstport description: 대상 포트. type: string - name: dstuser description: 대상(목표) 사용자 이름. type: string indicators: - username - name: logfile description: 이벤트 생성을 위해 디코딩된 원본 로그 파일. type: string - name: previous_output description: 이전 이벤트의 전체 캡처 로그. type: string - name: program_name description: 룰과 일치시키기 위해 사용된 디코더가 로그에서 추출한 실행 파일 이름. type: string - 이름: protocol description: 디코더가 추출한 프로토콜(ip, tcp, udp 등). type: string - name: srcgeoip description: 소스 IP 주소에 대한 GeoIP 위치 정보. type: string - name: srcip description: 소스 IP 주소. type: string indicators: - ip - name: srcport description: 소스 포트. type: string - name: srcuser description: 소스 사용자 이름. type: string indicators: - username - 이름: status description: 이벤트 상태(success, failure 등). type: string - name: SyscheckFile description: 파일 무결성 검사에 대한 정보. type: object fields: - name: gowner_after description: 수정 후 그룹 소유자. type: string - name: gowner_before description: 수정 전 그룹 소유자. type: string - name: md5_after description: 수정 후 파일의 MD5 해시. type: string indicators: - md5 - name: md5_before description: 수정 전 파일의 MD5 해시. type: string indicators: - md5 - name: owner_after description: 수정 후 파일 소유자. type: string - name: owner_before description: 수정 전 파일 소유자. type: string - 이름: path description: 파일 경로. type: string - name: perm_after description: 수정 후 파일 권한. type: bigint - name: perm_before description: 수정 전 파일 권한. type: bigint - name: sha1_after description: 수정 후 파일의 SHA1 해시. type: string indicators: - sha1 - name: sha1_before description: 수정 전 파일의 SHA1 해시. type: string indicators: - sha1 - name: systemname description: 디코더가 추출한 시스템 이름. type: string - 이름: url description: 이벤트의 URL. type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/ossec.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.