Teleport 로그를 Panther 콘솔에 연결하기
마지막 업데이트
도움이 되었나요?
도움이 되었나요?
스키마: Gravitational.TeleportAudit
설명: Teleport는 원격 IP 주소, 시간 및 세션 ID와 같은 메타데이터와 함께 성공적인 사용자 로그인과 같은 이벤트를 기록합니다.
참고URL: https://goteleport.com/docs/admin-guide/#audit-log
필드:
- name: event
required: true
description: 이벤트 유형
type: string
- name: code
required: true
description: 이벤트 코드
type: string
- 이름: time
required: true
description: 이벤트 타임스탬프
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: uid
description: 이벤트 고유 ID
type: string
- name: user
description: Teleport 사용자 이름 (이벤트 유형이 'user.login'인 경우)
type: string
- name: user_kind
description: Teleport 사용자 종류
type: bigint
- name: namespace
description: 서버 네임스페이스. 이 필드는 향후 사용을 위해 예약되어 있습니다.
type: string
- name: server_id
description: 고유 서버 ID.
type: string
- name: sid
description: 세션 ID. 세션 재생에 사용할 수 있습니다.
type: string
지표:
- trace_id
- name: ei
description: 이벤트 숫자 ID
type: string
- name: login
description: OS 로그인
type: string
- name: addr_local
description: SSH 노드의 주소
rename:
from: addr.local
type: string
지표:
- net_addr
- name: addr_remote
description: 연결하는 클라이언트(사용자)의 주소
rename:
from: addr.remote
type: string
지표:
- net_addr
- name: size
description: 터미널 크기
type: string
- name: success
description: 인증 성공 (이벤트 유형이 'auth'인 경우)
type: boolean
- name: error
description: 인증 오류 (이벤트 유형이 'auth')
type: string
- name: command
description: 실행된 명령 (이벤트 유형이 'exec')
type: string
- name: exitCode
description: 명령의 종료 코드 (이벤트 유형이 'exec')
type: int
- name: exitError
description: 명령의 종료 오류 (이벤트 유형이 'exec')
type: string
- name: pid
description: 명령의 프로세스 ID
type: bigint
- name: ppid
description: 부모 프로세스의 프로세스 ID
type: bigint
- name: cgroup_id
description: 컨트롤 그룹 ID
type: bigint
- name: return_code
description: 명령의 반환 코드
type: int
- name: program
description: 명령 이름
type: string
- name: argv
description: 명령에 전달된 인수
type: array
element:
type: string
- name: path
description: 실행 파일 경로 또는 SCP 동작 대상 파일 경로 (scp, session.command)
type: string
- name: len
description: SCP 대상 파일 크기 (scp)
type: bigint
- name: action
description: SCP 동작 (scp)
type: string
- name: method
description: 사용된 로그인 방법 (user.login)
type: string
- name: attributes
description: 사용자 로그인 속성 (user.login)
type: json
- name: roles
description: 새 사용자 역할 (user.create)
type: array
element:
type: string
- name: connector
description: 사용자를 생성한 커넥터 (user.create)
type: json
- name: expires
description: 만료 날짜
type: timestamp
timeFormats:
- rfc3339
- name: name
description: 사용자 또는 서비스 이름 (github.created, user.create, user.update)
type: string
- name: tx
description: 전송한 바이트 수
type: bigint
- name: rx
description: 수신한 바이트 수
type: bigint
- name: server_labels
description: 서버 라벨
type: json
- name: server_hostname
description: 서버 호스트명
type: string
지표:
- 호스트명
- name: server_addr
description: 서버 호스트명
type: string
지표:
- net_addr
- name: session_start
description: 세션 시작 타임스탬프
type: timestamp
timeFormats:
- rfc3339
- name: session_stop
description: 세션 종료 타임스탬프
type: timestamp
timeFormats:
- rfc3339
- name: interactive
description: 세션이 대화형인지 여부
type: boolean
- name: enhanced_recording
description: 향상된 녹화가 활성화되었는지 여부
type: boolean
- name: participants
description: 세션에 참여한 사용자
type: array
element:
type: string
- name: dst_addr
description: 목적지 IP 주소
type: string
지표:
- ip
- name: src_addr
description: 출발지 IP 주소
type: string
지표:
- ip
- name: dst_port
description: 목적지 포트
type: int
- name: version
description: 이벤트 버전
type: int
- name: cluster_name
description: Teleport 클러스터 이름
type: string
- name: db_name
description: 데이터베이스/스키마 이름
type: string
- name: db_protocol
description: 데이터베이스 프로토콜
type: string
- name: db_query
description: 쿼리 텍스트
type: string
- name: db_query_parameters
description: 쿼리 매개변수(준비된 문장용)
type: json
- name: db_service
description: 데이터베이스 서비스 이름
type: string
- name: db_uri
description: 데이터베이스 서버 엔드포인트
type: string
지표:
- url
- name: db_user
description: 데이터베이스 계정 이름
type: string
지표:
- 사용자명
- name: desktop_addr
description: 데스크톱 주소
type: string
- name: desktop_name
description: 데스크톱 이름
type: string
- name: desktop_labels
description: 이 이벤트의 데스크톱과 관련된 키/값 쌍
type: json
- name: file_path
description: 공유 디렉터리 루트로부터의 상대 경로
type: string
- name: directory_name
description: 액세스한 디렉터리 이름
type: string
- name: directory_id
description: 액세스한 디렉터리 ID
type: string
- name: lock
description: 잠금 객체
type: json
- name: bot_instance_id
description: 봇 인스턴스 ID
type: string
- name: bot_name
description: 봇 이름
type: string
- name: reviewer
description: 요청의 검토자
type: string
- name: proposed_state
description: 요청의 원하는 상태
type: string
- name: state
description: 요청의 실제 상태
type: string
- name: trusted_device
description: 사용자의 신뢰된 디바이스에 대한 정보. 인증 중 사용하기 위해 등록되고 등록된 디바이스가 필요합니다.
type: json
- name: with_mfa
description: WithMFA는 이 세션을 시작하는 데 사용된 MFA 디바이스의 UUID입니다.
type: string
- name: impersonator
description: Impersonator는 이 사용자를 가장하는 사용자의 사용자 이름입니다
type: string
- name: aws_role_arn
description: AWS 역할 ARN
type: string
지표:
- aws_arn
- name: access_requests
description: 액세스 요청의 ID들
type: json
- name: forwarded_by
description: ForwardedBy는 메타데이터가 노드 자체에 의해 전송되었는지 또는 다른 노드가 대신 전송했는지를 알려줍니다
type: string
- name: proto
description: 캡처된 프로토콜을 지정합니다
type: string
- name: user_agent
description: UserAgent는 이벤트를 시도한 클라이언트 유형을 식별합니다.
type: string
- name: kubernetes_cluster
description: 쿠버네티스 클러스터 이름
type: string
- name: kubernetes_users
description: 쿠버네티스 사용자 이름 목록
type: json
- name: kubernetes_groups
description: 쿠버네티스 그룹 목록
type: json
- name: kubernetes_labels
description: 세션이 발생한 쿠버네티스 클러스터의 라벨(정적 및 동적)
type: json
- name: kubernetes_pod_name
description: 쿠버네티스 파드 이름
type: string
- name: kubernetes_pod_namespace
description: 쿠버네티스 파드 네임스페이스
type: string
- name: kubernetes_container_name
description: 쿠버네티스 파드 내 컨테이너 이름
type: string
- name: kubernetes_container_image
description: 쿠버네티스 파드 내 컨테이너의 이미지
type: string
- name: kubernetes_node_name
description: 쿠버네티스 파드를 실행하는 노드 이름
type: string
- name: initial_command
description: 이 세션을 시작하는 데 사용된 명령
type: json
- name: session_recording
description: 세션 녹화 유형
type: string
- name: ci
description: 청크 인덱스
type: string
- name: bytes
description: 세션에 기록된 바이트 수
type: string
- name: ms
description: 세션 시작부터의 지연(밀리초)
type: string
- name: offset
description: 세션 파일 시작으로부터의 바이트 오프셋
type: string
- name: length
description: 전송/수신된 바이트 수
type: string
- name: reason
description: 이벤트의 이유
type: string
- name: max
description: 최대값
type: string
- name: flags
description: 이 이벤트와 관련하여 전달된 플래그
type: json
- name: operation
description: 수행된 네트워크 작업을 표시합니다
type: json
- name: mfa_device
description: 로그인 중 사용된 MFA 디바이스
type: json
- name: updated_by
description: 리소스를 수정한 사용자를 나타냅니다
type: string
지표:
- 사용자명
- name: ttl
description: 수명(타임투리브)
type: string
- name: id
description: 액세스 요청 ID
type: string
- name: delegator
description: Teleport 플러그인이 신원을 나타내기 위해 사용함
type: string
- name: annotations
description: Annotations는 승인/거부 중 플러그인이 제공하는 선택적 속성 집합입니다
type: json
- name: resource_ids
description: 접근이 요청된 리소스들의 집합
type: json
- name: cluster
description: 클러스터 이름
type: string
- name: kind
description: 리소스 종류
type: string
- name: addr
description: 대상 포트 포워딩 주소
type: string
- name: working_directory
description: 이벤트의 현재 디렉터리
type: string
- name: target_path
description: 파일의 경로
type: string
- name: request_path
description: 원시 요청 URL 경로
type: string
- name: verb
description: HTTP 동사
type: string
- name: resource_api_group
description: 리소스 API 그룹
type: string
- name: resource_namespace
description: 리소스 네임스페이스
type: string
- name: resource_kind
description: 리소스 API 종류
type: string
- name: resource_name
description: 리소스 API 이름
type: string
- name: response_code
description: HTTP 응답 코드
type: string
- name: app_uri
description: 애플리케이션 엔드포인트
type: string
지표:
- url
- name: app_public_addr
description: 구성된 애플리케이션 공개 주소.
type: string
지표:
- url
- name: app_labels
description: 구성된 애플리케이션 라벨.
type: json
- name: app_name
description: 구성된 애플리케이션 이름
type: string
- name: public_addr
description: 공개 주소
type: string
지표:
- url
- name: session_chunk_id
description: 생성된 세션의 ID
type: string
- name: status_code
description: HTTP 응답 코드
type: string
- name: raw_query
description: 인코딩된 쿼리 값
type: string
- name: aws_region
description: 요청된 AWS 리전
type: string
- name: aws_service
description: 요청된 AWS 서비스
type: string
- name: aws_host
description: 요청된 AWS 호스트
type: string
- name: db_labels
description: 데이터베이스 리소스 라벨
type: json
- name: db_aws_region
description: AWS 호스팅 데이터베이스의 AWS 리전
type: string
- name: db_aws_redshift_cluster_id
description: Redshift 데이터베이스의 클러스터 ID
type: string
- name: db_gcp_project_id
description: GCP 호스팅 데이터베이스의 프로젝트 ID
type: string
- name: db_gcp_instance_id
description: GCP 호스팅 데이터베이스의 인스턴스 ID
type: string
- name: statement_name
description: 준비된 문장의 이름
type: string
- name: query
description: 준비된 문장 쿼리
type: string
- name: portal_name
description: 대상 포털 이름
type: string
- name: parameters
description: 매개변수
type: json
- name: function_oid
description: 호출된 함수의 객체 ID
type: string
- name: function_args
description: 형식화된 함수 인자
type: json
- name: windows_desktop_service
description: 서비스 이름
type: string
- name: windows_domain
description: 액티브 디렉터리 도메인
type: string
- name: windows_user
description: Windows 사용자 이름
type: string
- name: mfa_device_name
description: 사용자가 지정한 MFA 디바이스 이름
type: string
- name: mfa_device_uuid
description: MFA 디바이스의 UUID
type: string
- name: mfa_device_type
description: MFA 디바이스 종류
type: string
- name: target
description: 대상
type: json
- name: recorded
description: 세션이 녹화되었는지 여부
type: boolean
- name: cert_type
description: 사용된 인증서 유형
type: string
- name: identity
description: 요청과 연관된 신원
type: json
- name: unknown_event
description: 알 수 없는 이벤트
type: string
- name: unknown_code
description: 알 수 없는 코드
type: string
- name: data
description: 알 수 없는 이벤트의 직렬화된 JSON
type: string
- name: url
description: 이벤트 데이터가 업로드된 세션의 URL
type: string
- name: search_as_roles
description: 검색이 수행된 역할 목록
type: json
- name: resource_type
description: 검색 대상 리소스 유형
type: string
- name: labels
description: 검색에 사용된 라벨 기반 매처
type: json
- name: predicate_expression
description: 검색에 사용된 조건 목록
type: json
- name: search_keywords
description: 리소스 필드 값과 일치시키기 위해 사용된 검색 키워드 목록
type: json
- name: statement_id
description: 준비된 문장의 ID
type: string
- name: parameter_id
description: 매개변수 ID
type: string
- name: data_size
description: 데이터 크기
type: string
- name: rows_count
description: 가져올 행 수
type: string
- name: schema_name
description: 스키마 이름
type: string
- name: process_id
description: 연결의 프로세스 ID
type: string
- name: subcommand
description: 서브커맨드의 문자열 표현
type: string
- name: proc_name
description: RPC SQL Server 프로시저 이름
type: string
- name: category
description: 주어진 요청에서 접근되는 API의 카테고리를 나타냅니다
type: json
- name: upgrade_window_start
description: 업그레이드 윈도우 시간
type: string
- name: kube_labels
description: 구성된 쿠버네티스 클러스터 라벨
type: json
- name: command_id
description: 실행된 SSH 명령의 ID
type: string
- name: instance_id
description: 실행된 EC2 인스턴스의 ID
type: string
- name: exit_code
description: 명령으로 인한 종료 코드
type: string
- name: status
description: 명령의 상태
type: string
- name: account_id
description: 명령을 실행한 AWS 계정의 ID
type: string
지표:
- aws_account_id
- name: region
description: 명령이 실행된 AWS 리전
type: string