# Panther 감사 로그 ## 개요 Panther 감사 로그는 Panther 배포 내 활동의 읽기 전용 기록을 제공합니다. Panther 감사 로그가 로그 소스로 활성화되면, Panther가 수집한 다른 보안 이벤트와 동일한 방식으로 감사 로그에 대한 탐지 규칙을 작성하거나 데이터 레이크를 쿼리할 수 있습니다. 자세한 내용은 [Panther 감사 로그에 대한 쿼리 및 탐지 규칙 작성](/ko/data-onboarding/supported-logs/panther-audit-logs/querying-and-writing-detections-for-panther-audit-logs.md). ### 감사 로그에 기록되는 작업 현재 감사 로깅에는 Panther 내 모든 활동의 포괄적 목록(예: 특정 로그 소스, 클라우드 계정, 목적지에 대한 참조)은 포함되지 않습니다. 감사 로그에 의해 기록되는 모든 작업은 다음에서 확인하세요. [Panther 감사 로그 작업](/ko/data-onboarding/supported-logs/panther-audit-logs/panther-audit-log-actions.md). 다음을 사용하여 수행한 작업은 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md) 인증이 다음을 사용하여 수행되는 경우에만 감사 로그를 생성합니다. [API 토큰](/ko/panther/detections-repo/pat/install-configure-and-authenticate-with-pat.md#authenticating-with-an-api-token). IAM 역할과 같은 레거시 방법으로 인증하는 PAT 작업은 감사 로그를 생성하지 않습니다. 다음에서 수행한 작업은 [Slack Bot 알러트](/ko/alerts/alert-management/slack.md) 는 감사 로그에 포함됩니다. ### 보존 감사 로그는 기본적으로 AWS S3에 5년 동안 보존됩니다. ## 감사 로그를 로그 소스로 활성화하기 감사 로그는 자동으로 생성되지만, 이에 대한 탐지 규칙을 작성하려면 로그 소스로 활성화해야 합니다. 감사 로그를 활성화하는 작업 자체는 다음으로 캡처됩니다. `CREATE_LOG_SOURCE` 감사 로그가 생성되고 새 로그 소스가 만들어집니다. 다음 권한이 있는 사용자만 **설정 편집 및 SAML 기본 설정** 권한으로 감사 로그를 활성화할 수 있습니다. {% hint style="warning" %} 감사 로그를 비활성화해도 감사 로그는 생성되지 않습니다. {% endhint %} 다른 로그 소스와 달리 [로그 중단 알람](/ko/system-configuration/notifications/system-errors.md#log-drop-off-alerts) 은 Panther 감사 로그에 대해 구성할 수 없습니다. 감사 로그를 로그 소스로 활성화하려면: 1. Panther Console의 오른쪽 상단 모서리에서 톱니바퀴 아이콘을 클릭한 다음 **General**. 2. 다음 항목에서 **기본 정보** 탭, 의 오른쪽에서 **Panther 감사 로그 활성화**의 토글을 클릭합니다 `ON`. 3. 다음을 클릭하세요. **변경 사항 저장**.

The "Main Information" tab of the General settings in the Panther Console is shown. There are various fields, and an arrow pointing to the Enable Panther Audit Logs one.

## Panther 관리형 디택션 다음을 참조하세요 [Panther 관리형](https://docs.panther.com/detections/panther-managed) Panther 감사 로그에 대한 규칙은 다음에 있습니다. [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/master/rules/panther_audit_rules). ## 감사 로그 참조 ### 스키마 감사 로그의 필드는 아래에 필드 유형 정보와 필수 필드 여부와 함께 나열되어 있습니다.

속성	설명		필수
`actionName`	시도된 작업입니다.	문자열	true
`actionDescription`	시도된 작업에 대한 선택적 간단한 설명입니다.	문자열	false
`actionResult`	시도된 작업의 결과입니다.	문자열 - `성공`, `실패`, 또는 `부분 실패`	true
`actionParams`	시도 중인 작업과 관련된 제공된 매개변수입니다. 값은 제공 방식에 따라 다음 아래에 그룹화됩니다. `동적` 및 `정적` 작업에 제공된 방식에 따른 키	딕셔너리	false
`actionDetails`	시도된 작업에 대한 추가 메타데이터 및/또는 세부 정보입니다.	딕셔너리	false
`행위자`	작업 주체에 대한 식별 정보입니다.	딕셔너리	true
`actor.id`	작업을 시도한 주체의 ID입니다.	문자열	true
`actor.type`	주체의 유형(user/token)입니다.	문자열 -`USER` 또는 `TOKEN`	true
`actor.name`	작업을 시도한 주체의 이름입니다.	문자열	false
`actor.attributes`	작업을 시도한 주체의 속성입니다.	딕셔너리	false
`errors`	작업 수행 중 발생한 오류입니다.	목록	false
`errors.message`	발생한 오류에 대한 오류 메시지입니다.	문자열	false
`sourceIP`	요청이 시작된 IP 주소입니다.	문자열	false
`XForwardedFor`	X-Forwarded-Header에 포함된 모든 IP 주소입니다.	목록	false
`userAgent`	주체의 브라우저에 대한 정보 또는 `slackbot` 작업이 다음을 통해 시작된 경우 Slack Bot.	문자열	false
`타임스탬프`	작업이 시도된 날짜/시간입니다.	문자열	true
`pantherVersion`	작업이 시도된 시점의 이 Panther 인스턴스 버전입니다.	문자열	true

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/panther-audit-logs.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.