# Sysdig 로그 ## 개요 Panther는 다음을 쿼리하여 Sysdig 감사 로그를 가져올 수 있습니다 [Sysdig 감사 REST API](https://docs.sysdig.com/en/docs/developer-tools/sysdig-rest-api-conventions/). Panther는 특별히 다음을 모니터링합니다 [Sysdig 플랫폼 감사](https://docs.sysdig.com/en/docs/administration/sysdig-platform-audit/) 이벤트를 모니터링하여 Sysdig 플랫폼 자체의 사용을 감사하고 보고합니다. Panther에서 Sysdig를 로그 소스로 설정하려면 Sysdig API 키를 얻어 Panther에 전달하여 API에 대한 접근 권한을 부여해야 합니다. ## Sysdig 로그를 Panther에 온보딩하는 방법 ### 1단계: Sysdig Secure API 키 받기 1. 조직의 Sysdig 계정에 로그인한 다음 설정 페이지로 이동합니다. 2. 왼쪽 사이드바에서 다음을 클릭하세요 **사용자 프로필**. 3. 아래로 스크롤하여 "Sysdig Secure API"를 찾습니다. 토큰 값을 복사하여 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

### 2단계: Panther에서 새 Sysdig 로그 소스 만들기 1. Panther Console의 왼쪽 탐색 모음에서 **구성** > **Log Sources**. 2. 클릭하세요. **새로 만들기**. 3. “Sysdig”를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 다음을 클릭합니다 **설정 시작.** 5. 다음 화면에서 소스의 설명이 포함된 이름을 입력합니다. 예: `내 Sysdig 로그`. 6. 클릭하세요. **설정.** 7. 에서 **자격 증명** 페이지에서 양식을 작성합니다: * **호스트**: Sysdig 계정의 호스팅 리전을 선택합니다. * **API 키**: 앞서 Sysdig 계정에서 복사한 API 키를 붙여넣습니다.

On the Credentials page of the Sysdig source setup flow, there are fields for Host and API Key. Below, there's a Setup button.

8. 클릭하세요. **설정**. 성공 화면으로 이동합니다:\\

The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"

* 선택적으로 하나 이상의 항목을 활성화할 수 있습니다 [디택션 Packs](https://docs.panther.com/detections/panther-managed/packs). * The **이벤트가 처리되지 않으면 알러트를 트리거합니다** 설정의 기본값은 **YES**. 이 옵션을 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지난 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되기 때문입니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\

The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day

## 지원되는 로그 유형 ### Sysdig.Audit ```yaml 스키마: Sysdig.Audit 파서: native: 이름: Sysdig.Audit 설명: 엔드포인트 접근을 추적하는 로그 referenceURL: https://docs.sysdig.com/en/docs/administration/sysdig-platform-audit 버전: 0 필드: - 이름: id required: true 설명: 로그의 고유 식별자 유형: 문자열 - 이름: cursor 설명: 이 이벤트를 가리키는 커서 유형: 문자열 - name: timestamp required: true 설명: 로그의 타임스탬프 유형: 타임스탬프 timeFormat: rfc3339 isEventTime: true - 이름: originator 설명: 이 로그가 생성된 위치 유형: 문자열 - name: customerId required: true 설명: 작업을 수행한 고객 유형: bigint - 이름: category 설명: 로그의 범주 유형: 문자열 - 이름: source 설명: 항상 auditTrail 유형: 문자열 - 이름: name 설명: 로그의 이름 유형: 문자열 - 이름: description 설명: 로그의 설명 유형: 문자열 - 이름: severity 설명: Sysdig가 분류한 심각도 유형: bigint - 이름: content required: true 설명: 작업 자체 유형: 객체 필드: - name: customerId required: true 설명: 작업을 수행한 고객 유형: bigint - 이름: entityId 설명: 작업이 발생한 엔터티의 ID 유형: 문자열 - 이름: entityPayload 설명: 작업의 페이로드 유형: 문자열 - 이름: entityType 설명: 작업이 발생한 엔터티의 유형 유형: 문자열 - 이름: queryString 설명: 요청에 전송된 쿼리 유형: 문자열 - 이름: requestMethod required: true 설명: HTTP 메서드 유형: 문자열 - 이름: requestUri required: true 설명: 접근한 엔드포인트 유형: 문자열 - 이름: responseStatusCode required: true 설명: HTTP 상태 코드 유형: bigint - 이름: teamId 설명: 사용자의 팀 ID 유형: bigint - 이름: timestampNs 설명: 나노초 단위의 로그 타임스탬프 유형: 타임스탬프 timeFormat: unix_ns - name: userId 설명: 사용자의 ID 유형: bigint - 이름: userOriginIP 설명: 사용자의 IP 유형: 문자열 지표: - ip - 이름: labels required: true 설명: 로그에 적용되는 레이블 유형: 객체 필드: - 이름: entityType required: true 설명: 엔터티의 유형 유형: 문자열 ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/sysdig.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.