# Sysdig 로그

## 개요

Panther는 쿼리를 통해 Sysdig 감사 로그를 가져올 수 있는 기능을 제공합니다 [Sysdig 감사 REST API](https://docs.sysdig.com/en/docs/developer-tools/sysdig-rest-api-conventions/).

Panther는 특히 다음을 모니터링합니다 [Sysdig 플랫폼 감사](https://docs.sysdig.com/en/docs/administration/sysdig-platform-audit/) Sysdig 플랫폼 자체의 사용을 감사 및 보고하기 위한 이벤트입니다.

Panther에서 Sysdig를 로그 소스로 설정하려면 Sysdig API 키를 얻어 Panther에 전달하여 API에 대한 액세스를 허용해야 합니다.

## Sysdig 로그를 Panther에 온보딩하는 방법

### 단계 1: Sysdig Secure API 키 얻기

1. 조직의 Sysdig 계정에 로그인하고 설정 페이지로 이동합니다.
2. 왼쪽 사이드바에서 **사용자 프로필**.
3. 아래로 스크롤하여 "Sysdig Secure API"를 찾습니다. 토큰 값을 복사하여 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

<figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-56b6274a78112cdf15a498a352d71f2ef204b46e%2FScreenshot%202022-10-04%20at%205.38.45%20PM.png?alt=media" alt="In Sysdig, the API Token is located under Settings > User Profile."><figcaption></figcaption></figure>

### 단계 2: Panther에서 새 Sysdig 로그 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**.
3. “Sysdig”를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작.**
5. 다음 화면에서 소스에 대한 설명 이름을 입력합니다. 예: `내 Sysdig 로그`.
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **Panther 콘솔에서 필드에 값을 입력하세요:**
7. 페이지에서 **자격 증명(Credentials)** 페이지에서 양식을 작성하세요:

   * **호스트**: Sysdig 계정의 호스팅 지역을 선택합니다.
   * **API 키**: 이전에 Sysdig 계정에서 복사한 API 키를 붙여넣습니다.

   <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-1cf1c7f5b029985010d3d43bd77d6f8460ce820b%2FScreenshot%202023-06-20%20at%204.28.21%20PM.png?alt=media" alt="On the Credentials page of the Sysdig source setup flow, there are fields for Host and API Key. Below, there&#x27;s a Setup button."><figcaption></figcaption></figure>
8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동됩니다:\\

   <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-e55cedf82c6a6adc66ec5c14ebdcb164c3b1dcca%2FScreenshot%202023-08-03%20at%204.33.30%20PM.png?alt=media" alt="The success screen reads, &#x22;Everything looks good! Panther will now automatically pull &#x26; process logs from your account&#x22;" width="281"><figcaption></figcaption></figure>

   * 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs).
   * 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\

     <figure><img src="https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-c48119abd559990173004bde99ff4907fdd2ded2%2FScreenshot%202023-08-03%20at%204.26.54%20PM.png?alt=media" alt="The &#x22;Trigger an alert when no events are processed&#x22; toggle is set to YES. The &#x22;How long should Panther wait before it sends you an alert that no events have been processed&#x22; setting is set to 1 Day" width="320"><figcaption></figcaption></figure>

## 지원되는 로그 유형

### Sysdig.Audit

```yaml
스키마: Sysdig.Audit
파서:
    네이티브:
        이름: Sysdig.Audit
설명: 엔드포인트 액세스를 추적하는 로그
참고 URL: https://docs.sysdig.com/en/docs/administration/sysdig-platform-audit
버전: 0
필드:
    - 이름: id
      required: true
      설명: 로그의 고유 식별자
      type: string
    - 이름: cursor
      설명: 이 이벤트를 가리키는 커서
      type: string
    - 이름: timestamp
      required: true
      설명: 로그의 타임스탬프
      type: timestamp
      시간 형식: rfc3339
      isEventTime: true
    - 이름: originator
      설명: 이 로그가 생성된 위치
      type: string
    - 이름: customerId
      required: true
      설명: 작업을 수행한 고객
      type: bigint
    - name: category
      설명: 로그의 카테고리
      type: string
    - name: source
      설명: 항상 auditTrail
      type: string
    - 이름: name
      설명: 로그의 이름
      type: string
    - 이름: description
      설명: 로그에 대한 설명
      type: string
    - 이름: severity
      설명: Sysdig가 분류한 심각도
      type: bigint
    - 이름: content
      required: true
      설명: 실제 작업(액션) 자체
      type: object
      필드:
        - 이름: customerId
          required: true
          설명: 작업을 수행한 고객
          type: bigint
        - 이름: entityId
          설명: 작업이 발생한 엔터티의 ID
          type: string
        - 이름: entityPayload
          설명: 작업의 페이로드
          type: string
        - 이름: entityType
          설명: 작업이 발생한 엔터티의 유형
          type: string
        - 이름: queryString
          설명: 요청에 전송된 쿼리
          type: string
        - 이름: requestMethod
          required: true
          설명: HTTP 메서드
          type: string
        - 이름: requestUri
          required: true
          설명: 액세스된 엔드포인트
          type: string
        - 이름: responseStatusCode
          required: true
          설명: HTTP 상태 코드
          type: bigint
        - 이름: teamId
          설명: 사용자의 팀 ID
          type: bigint
        - 이름: timestampNs
          설명: 나노초 단위의 로그 타임스탬프
          type: timestamp
          시간 형식: unix_ns
        - name: userId
          설명: 사용자의 ID
          type: bigint
        - 이름: userOriginIP
          설명: 사용자의 IP
          type: string
          지표:
            - ip
    - 이름: labels
      required: true
      설명: 로그에 적용되는 라벨들
      type: object
      필드:
        - 이름: entityType
          required: true
          설명: 엔터티의 유형
          type: string
```