> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/panther-audit-logs.md).

# Panther 감사 로그

## 개요

Panther 감사 로그는 Panther 배포 내 활동의 읽기 전용 기록을 제공합니다. Panther 감사 로그가 로그 소스로 활성화되면, Panther가 수집한 다른 보안 이벤트와 동일한 방식으로 감사 로그에 대한 탐지 규칙을 작성하거나 데이터 레이크를 쿼리할 수 있습니다. 자세한 내용은 [Panther 감사 로그에 대한 쿼리 및 탐지 규칙 작성](/ko/data-onboarding/supported-logs/panther-audit-logs/querying-and-writing-detections-for-panther-audit-logs.md).

### 감사 로그에 기록되는 작업

현재 감사 로깅에는 Panther 내의 모든 활동에 대한 완전한 목록(예: 특정 로그 소스, 클라우드 계정 및 대상에 대한 참조)은 포함되지 않습니다. 감사 로그에 기록되는 모든 작업은 [Panther 감사 로그 작업](/ko/data-onboarding/supported-logs/panther-audit-logs/panther-audit-log-actions.md).

를 사용하여 수행된 작업은 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md) 인증이 다음을 사용하여 수행된 경우에만 감사 로그를 생성합니다 [API 토큰](/ko/panther/detections-repo/pat/install-configure-and-authenticate-with-pat.md#authenticating-with-an-api-token). IAM 역할과 같은 레거시 방법을 사용해 인증하는 PAT 작업은 감사 로그를 생성하지 않습니다.

에서 수행된 작업은 [Slack Bot 알러트](/ko/alerts/alert-management/slack.md) 가 감사 로그에 포함됩니다.

### 보존 기간

감사 로그는 기본적으로 AWS S3에 5년 동안 보관됩니다.

## 감사 로그를 로그 소스로 활성화하기

감사 로그는 자동으로 생성되지만, 해당 로그에 탐지 규칙을 작성하려면 로그 소스로 활성화해야 합니다. 감사 로그를 활성화하는 작업 자체는 다음으로 캡처됩니다 `CREATE_LOG_SOURCE` 감사 로그로 캡처되며, 새 로그 소스가 생성됩니다. 다음 권한이 있는 사용자만 **설정 및 SAML 기본 설정 편집** 감사 로그를 활성화할 수 있습니다.

{% hint style="warning" %}
감사 로그를 비활성화해도 감사 로그는 생성되지 않습니다.
{% endhint %}

다른 로그 소스와 달리,  [로그 드롭오프 알람](/ko/system-configuration/notifications/system-errors.md#log-drop-off-alerts) 을 Panther 감사 로그에 구성할 수 없습니다.

감사 로그를 로그 소스로 활성화하려면:

1. Panther Console의 오른쪽 상단 모서리에서 톱니바퀴 아이콘을 클릭하여 Settings를 연 다음 **일반 설정** > **주요 정보 및 환경 설정**.
2. 다음 아래에서 **기본 설정**, 오른쪽에서 **Panther 감사 로그 활성화**, 토글을 클릭하세요 `ON`.
3. 클릭하세요 **변경 사항 저장**.

## Panther 관리 탐지 규칙

다음을 참조하세요: [Panther 관리](https://docs.panther.com/detections/panther-managed) Panther 감사 로그에 대한 규칙은 다음에서 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules/panther_audit_rules).

## 감사 로그 참조

### 스키마

감사 로그의 필드는 아래에 필드 유형 및 필수 필드 여부와 함께 나열되어 있습니다.

<table><thead><tr><th width="193">속성</th><th width="285">설명</th><th width="167.55223880597015"></th><th>필수</th></tr></thead><tbody><tr><td><code>actionName</code></td><td>시도된 작업입니다.</td><td>문자열</td><td>true</td></tr><tr><td><code>actionDescription</code></td><td>시도된 작업에 대한 선택적 간단한 설명입니다.</td><td>문자열</td><td>false</td></tr><tr><td><code>actionResult</code></td><td>시도된 작업의 결과입니다.</td><td>문자열 - <code>성공</code>, <code>실패</code>, 또는 <code>부분적으로 실패</code></td><td>true</td></tr><tr><td><code>actionParams</code></td><td>시도되는 작업과 관련된 제공된 매개변수입니다. 값은 다음 아래에 그룹화됩니다 <code>동적</code> 및 <code>정적</code> 작업에 제공된 방식에 따라 결정되는 키</td><td>딕트</td><td>false</td></tr><tr><td><code>actionDetails</code></td><td>시도된 작업에 대한 추가 메타데이터 및/또는 세부 정보입니다.</td><td>딕트</td><td>false</td></tr><tr><td><code>actor</code></td><td>실행자에 대한 식별 정보입니다.</td><td>딕트</td><td>true</td></tr><tr><td><code>actor.id</code></td><td>작업을 시도한 실행자의 ID입니다.</td><td>문자열</td><td>true</td></tr><tr><td><code>actor.type</code></td><td>실행자 유형(사용자/토큰)입니다.</td><td>문자열 -<code>USER</code> 또는 <code>TOKEN</code></td><td>true</td></tr><tr><td><code>actor.name</code></td><td>작업을 시도한 실행자의 이름입니다.</td><td>문자열</td><td>false</td></tr><tr><td><code>actor.attributes</code></td><td>작업을 시도한 실행자의 속성입니다.</td><td>딕트</td><td>false</td></tr><tr><td><code>errors</code></td><td>작업을 수행하는 동안 발생한 오류입니다.</td><td>목록</td><td>false</td></tr><tr><td><code>errors.message</code></td><td>발생한 오류에 대한 오류 메시지입니다.</td><td>문자열</td><td>false</td></tr><tr><td><code>sourceIP</code></td><td>요청이 시작된 IP 주소입니다.</td><td>문자열</td><td>false</td></tr><tr><td><code>XForwardedFor</code></td><td>X-Forwarded-Header에 포함된 모든 IP 주소입니다.</td><td>목록</td><td>false</td></tr><tr><td><code>userAgent</code></td><td>실행자의 브라우저에 대한 정보, 또는 <code>slackbot</code> 해당 작업이 다음을 통해 시작된 경우 <a href="/pages/7c061e1897584342ad125031c695a97594cd3e36#managing-alerts-in-slack">Slack Bot</a>.</td><td>문자열</td><td>false</td></tr><tr><td><code>timestamp</code></td><td>작업이 시도된 날짜/시간입니다.</td><td>문자열</td><td>true</td></tr><tr><td><code>pantherVersion</code></td><td>작업이 시도된 시점의 이 Panther 인스턴스 버전입니다.</td><td>문자열</td><td>true</td></tr></tbody></table>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/panther-audit-logs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.