# Syslog 로그 ## 개요 Panther는 일반적인 방식을 통해 Syslog 로그 수집을 지원합니다 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션: Amazon Web Services (AWS) S3, SQS 및 CloudWatch. ## Syslog 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭하세요. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: * [AWS CloudWatch](https://docs.panther.com/ko/data-onboarding/data-transports/aws/cloudwatch) * [AWS SQS](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs) * [AWS S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) 5. Syslog를 구성하여 로그를 Data Transport 소스로 푸시하세요. * 선택한 Data Transport 소스로 로그를 푸시하는 방법에 대해서는 Syslog 문서를 참조하세요. {% hint style="info" %} Syslog 온보딩 구현은 로그 포워더 사용 여부에 따라 결정됩니다. {% endhint %} ## 지원되는 로그 유형 {% hint style="info" %} Fluentd를 통해 수집된 Syslog 로그의 경우, 다음을 참조하세요 [Fluentd Syslog 스키마](https://docs.panther.com/ko/data-onboarding/fluentd#supported-log-types). {% endhint %} ### Syslog.RFC3164 RFC3164 형식(예: BSD-syslog 메시지)에 대한 Syslog 파서 참고: [RFC3164 BSD 프로토콜에 관한 Syslog 문서.](https://datatracker.ietf.org/doc/html/rfc3164) ```yaml schema: Syslog.RFC3164 description: RFC3164 형식(예: BSD-syslog 메시지)에 대한 Syslog 파서 referenceURL: https://tools.ietf.org/html/rfc3164 필드: - 이름: priority required: true 설명: 우선순위는 (Facility * 8 + Severity)로 계산됩니다. 이 값이 낮을수록 로그 메시지의 중요도가 높습니다. 유형: smallint - name: facility required: true description: 'Facility 값은 어떤 프로세스가 메시지를 생성했는지 결정하는 데 도움이 됩니다. 예: 0 = 커널 메시지, 3 = 시스템 데몬.' 유형: smallint - 이름: severity required: true description: 'Severity는 메시지의 심각도를 나타냅니다. 예: 0=Emergency부터 7=Debug.' 유형: smallint - 이름: timestamp 설명: syslog 메시지의 타임스탬프(UTC). type: timestamp timeFormats: - rfc3339 - '%b %d %H:%M:%S' isEventTime: true - 이름: hostname 설명: 호스트명은 원래 syslog 메시지를 보낸 머신을 식별합니다. type: string 지표: - hostname - name: appname 설명: Appname은 syslog 메시지를 생성한 장치 또는 애플리케이션을 식별합니다. type: string - name: procid 설명: ProcID는 종종 프로세스 ID이지만, syslog 보고의 불연속성을 탐지하기 위해 로그 분석기가 사용할 수 있는 임의의 값일 수 있습니다. type: string - 이름: msgid 설명: MsgID는 메시지 유형을 식별합니다. 예를 들어 방화벽은 들어오는 TCP 트래픽에 대해 MsgID 'TCPIN'을 사용할 수 있습니다. type: string - name: message 설명: Message는 이벤트에 대한 정보를 제공하는 자유 형식의 텍스트를 포함합니다. type: string ``` ### Syslog.RFC5424 RFC5424 형식에 대한 Syslog 파서. 참고: [RFC5424 프로토콜에 관한 Syslog 문서.](https://datatracker.ietf.org/doc/html/rfc5424) ```yaml schema: Syslog.RFC5424 description: RFC5424 형식에 대한 Syslog 파서. referenceURL: https://tools.ietf.org/html/rfc5424 필드: - 이름: priority required: true 설명: 우선순위는 (Facility * 8 + Severity)로 계산됩니다. 이 값이 낮을수록 로그 메시지의 중요도가 높습니다. 유형: smallint - name: facility required: true description: 'Facility 값은 어떤 프로세스가 메시지를 생성했는지 결정하는 데 도움이 됩니다. 예: 0 = 커널 메시지, 3 = 시스템 데몬.' 유형: smallint - 이름: severity required: true description: 'Severity는 메시지의 심각도를 나타냅니다. 예: 0=Emergency부터 7=Debug.' 유형: smallint - name: version required: true description: Syslog 메시지 프로토콜의 버전. RFC5424는 버전이 0일 수 없다고 규정하므로, 값이 0이면 버전이 없음을 나타냅니다. 유형: int - 이름: timestamp 설명: syslog 메시지의 타임스탬프(UTC). type: timestamp timeFormats: - rfc3339 isEventTime: true - 이름: hostname 설명: 호스트명은 원래 syslog 메시지를 보낸 머신을 식별합니다. type: string 지표: - hostname - name: appname 설명: Appname은 syslog 메시지를 생성한 장치 또는 애플리케이션을 식별합니다. type: string - name: procid 설명: ProcID는 종종 프로세스 ID이지만, syslog 보고의 불연속성을 탐지하기 위해 로그 분석기가 사용할 수 있는 임의의 값일 수 있습니다. type: string - 이름: msgid 설명: MsgID는 메시지 유형을 식별합니다. 예를 들어 방화벽은 들어오는 TCP 트래픽에 대해 MsgID 'TCPIN'을 사용할 수 있습니다. type: string - name: structured_data description: StructuredData는 정보를 잘 정의되고 쉽게 파싱할 수 있는 형식으로 표현하는 메커니즘을 제공합니다. 유형: json - name: message 설명: Message는 이벤트에 대한 정보를 제공하는 자유 형식의 텍스트를 포함합니다. type: string ```