> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/zeek.md). # Zeek 로그 ## 개요 Panther는 일반적인 방법을 통해 Zeek 로그 수집을 지원합니다 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: Amazon Web Services(AWS) S3 및 SQS. ## Panther에 Zeek 로그를 온보딩하는 방법 이 로그를 Panther로 가져오려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음, 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: 1. [AWS SQS](/ko/data-onboarding/data-transports/aws/sqs.md) 2. [AWS S3 버킷](/ko/data-onboarding/data-transports/aws/s3.md) 5. Zeek가 로그를 Data Transport 소스로 전송하도록 구성합니다. * 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Zeek 문서를 참조하세요. ## 지원되는 로그 유형 ### Zeek.CaptureLoss Zeek CaptureLoss 로그는 패킷 캡처 프로세스가 측정 손실을 겪는 정도에 관한 증거를 기록합니다. 참조: [Capture Loss](https://docs.zeek.org/en/master/scripts/policy/misc/capture-loss.zeek.html) ```yaml 스키마: Zeek.CaptureLoss 설명: Zeek CaptureLoss. 패킷 캡처 프로세스가 측정 손실을 겪는 정도에 관한 증거를 기록합니다 참조 URL: https://docs.zeek.org/en/master/scripts/policy/misc/capture-loss.zeek.html fields: - 이름: acks required: true type: bigint - 이름: gaps required: true type: bigint - 이름: peer required: true type: string - 이름: percent_lost required: true type: float - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: ts_delta required: true type: float ``` ### Zeek.Conn 참조: [conn.log](https://docs.zeek.org/en/master/logs/conn.html) ```yaml 스키마: Zeek.Conn 설명: Zeek Conn 참조 URL: https://docs.zeek.org/en/master/logs/conn.html fields: - 이름: service type: string - 이름: duration type: float - 이름: orig_bytes type: bigint - 이름: resp_bytes type: bigint - 이름: history type: string - 이름: conn_state required: true type: string - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: local_orig required: true 유형: boolean - 이름: local_resp required: true 유형: boolean - 이름: missed_bytes required: true type: bigint - 이름: orig_ip_bytes required: true type: bigint - 이름: orig_pkts required: true type: bigint - 이름: proto required: true type: string - 이름: resp_ip_bytes required: true type: bigint - 이름: resp_pkts required: true type: bigint - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id - 이름: uid2 type: string 표시자: - trace_id ``` ### Zeek.DHCP 참조: [dhcp.log](https://docs.zeek.org/en/master/logs/dhcp.html) ```yaml 스키마: Zeek.DHCP 설명: Zeek DHCP 참조 URL: https://docs.zeek.org/en/master/logs/dhcp.html fields: - 이름: host_name type: string 표시자: - domain - 이름: requested_addr type: string 표시자: - ip - 이름: duration required: true type: float - 이름: mac required: true type: string 표시자: - mac - 이름: msg_types required: true type: array element: type: string - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uids required: true type: array element: type: string 표시자: - trace_id ``` ### Zeek.DNS Zeek DNS 활동 참조: [Zeek 문서 - DNS::info](https://docs.zeek.org/en/current/scripts/base/protocols/dns/main.zeek.html#type-DNS::Info) ```yaml 스키마: Zeek.DNS 설명: Zeek DNS 활동 참조 URL: https://docs.zeek.org/en/current/scripts/base/protocols/dns/main.zeek.html#type-DNS::Info fields: - 이름: ts required: true 설명: 연결된 연결에서 DNS 프로토콜 메시지가 관찰된 가장 이른 시각. type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true 설명: DNS 메시지가 전송되는 연결의 고유 식별자. type: string - 이름: id.orig_h required: true 설명: 발신자의 IP 주소. type: string 표시자: - ip - 이름: id.orig_p required: true 설명: 발신자의 포트 번호. 유형: int - 이름: id.resp_h required: true 설명: 응답자의 IP 주소. type: string 표시자: - ip - 이름: id.resp_p required: true 설명: 응답자의 포트 번호. 유형: int - 이름: proto required: true 설명: 연결의 전송 계층 프로토콜. type: string - 이름: trans_id 설명: DNS 쿼리를 생성한 프로그램이 할당한 16비트 식별자입니다. 또한 응답에서 미처리된 쿼리와 답변을 맞추는 데 사용됩니다. 유형: int - 이름: query 설명: DNS 쿼리의 대상인 도메인 이름. type: string 표시자: - domain - 이름: qclass 설명: 쿼리의 클래스를 지정하는 QCLASS 값. type: bigint - 이름: qclass_name 설명: 쿼리 클래스의 설명 이름. type: string - 이름: qtype 설명: 쿼리의 유형을 지정하는 QTYPE 값. type: bigint - 이름: qtype_name 설명: 쿼리 유형의 설명 이름. type: string - 이름: rcode 설명: DNS 응답 메시지의 응답 코드 값. type: bigint - 이름: rcode_name 설명: 응답 코드 값의 설명 이름. type: string - 이름: AA 설명: 응답 메시지의 Authoritative Answer 비트는 응답하는 이름 서버가 질문 섹션의 도메인 이름에 대한 권한이 있음을 지정합니다. 유형: boolean - 이름: TC 설명: Truncation 비트는 메시지가 잘렸음을 지정합니다. 유형: boolean - 이름: RD 설명: 요청 메시지의 Recursion Desired 비트는 클라이언트가 이 쿼리에 대해 재귀 서비스를 원함을 나타냅니다. 유형: boolean - 이름: RA 설명: 응답 메시지의 Recursion Available 비트는 이름 서버가 재귀 쿼리를 지원함을 나타냅니다. 유형: boolean - 이름: Z 설명: 쿼리와 응답에서 보통 0인 예약 필드입니다. type: bigint - 이름: answers 설명: 쿼리 응답의 리소스 설명 집합. type: array element: type: string 표시자: - 호스트 이름 - 이름: TTLs 설명: answers 필드에 설명된 관련 RR의 캐싱 간격(초 단위). type: array element: type: float - 이름: rejected 설명: DNS 쿼리가 서버에 의해 거부되었습니다. 유형: boolean ``` ### Zeek.DPD Zeek 동적 프로토콜 디택션. 참조: [dpd.log](https://docs.zeek.org/en/master/logs/dpd.html) ```yaml 스키마: Zeek.DPD 설명: Zeek 동적 프로토콜 디택션 참조 URL: https://docs.zeek.org/en/master/logs/dpd.html fields: - 이름: analyzer required: true type: string - 이름: failure_reason required: true type: string - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: proto required: true type: string - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id ``` ### Zeek.Files 참조: [files.log](https://docs.zeek.org/en/master/logs/files.html) ```yaml 스키마: Zeek.Files 설명: Zeek Files 참조 URL: https://docs.zeek.org/en/master/logs/files.html fields: - 이름: analyzers required: true type: array element: type: string - 이름: conn_uids required: true type: array element: type: string 표시자: - trace_id - 이름: depth required: true type: bigint - 이름: duration required: true type: float - 이름: fuid required: true type: string 표시자: - trace_id - 이름: is_orig required: true 유형: boolean - 이름: local_orig required: true 유형: boolean - 이름: md5 required: true type: string 표시자: - md5 - 이름: mime_type type: string - 이름: missing_bytes required: true type: bigint - 이름: overflow_bytes required: true type: bigint - 이름: rx_hosts required: true type: array element: type: string 표시자: - ip - 이름: seen_bytes required: true type: bigint - 이름: sha1 required: true type: string 표시자: - sha1 - 이름: source required: true type: string - 이름: timedout required: true 유형: boolean - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: tx_hosts required: true type: array element: type: string 표시자: - ip ``` ### Zeek.HTTP 참조: [http.log](https://docs.zeek.org/en/master/logs/http.html) ```yaml 스키마: Zeek.HTTP 설명: Zeek HTTP 활동 참조 URL: https://docs.zeek.org/en/master/scripts/base/protocols/http/main.zeek.html#type-HTTP::Info fields: - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: trans_depth required: true type: bigint - 이름: method type: string - 이름: host type: string 표시자: - domain - 이름: uri type: string - 이름: referrer type: string - 이름: version type: string - 이름: user_agent type: string - name: origin type: string - 이름: request_body_len type: bigint - 이름: response_body_len type: bigint - 이름: status_code type: bigint - 이름: status_msg type: string - 이름: info_code type: bigint - 이름: info_msg type: string - 이름: tags required: true 유형: json - 이름: username type: string - 이름: password type: string - 이름: capture_password 유형: boolean - 이름: proxied type: array element: type: string - 이름: range_request 유형: boolean - 이름: orig_fuids type: array element: type: string 표시자: - trace_id - 이름: orig_filenames type: array element: type: string - 이름: orig_mime_types type: array element: type: string - 이름: resp_fuids type: array element: type: string 표시자: - trace_id - 이름: resp_filenames type: array element: type: string - 이름: resp_mime_types type: array element: type: string - 이름: current_entity 유형: json - 이름: orig_mime_depth type: bigint - 이름: resp_mime_depth type: bigint - 이름: client_header_names type: array element: type: string - 이름: server_header_names type: array element: type: string - 이름: omniture 유형: boolean - 이름: flash_version type: string - 이름: cookie_vars type: array element: type: string - 이름: uri_vars type: array element: type: string ``` ### Zeek.KnownHosts Zeek Known Hosts - TCP 연결을 완료한 호스트를 추적합니다. 참조: [known-hosts.log](https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-hosts.zeek.html) ```yaml 스키마: Zeek.KnownHosts 설명: Zeek Known Hosts - TCP 연결을 완료한 호스트를 추적합니다 참조 URL: https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-hosts.zeek.html fields: - 이름: ts required: true 설명: 호스트가 감지된 시각의 타임스탬프. type: timestamp timeFormats: - unix isEventTime: true - 이름: host required: true 설명: TCP 연결에서 발신 또는 응답으로 감지된 주소. type: string 표시자: - ip ``` ### Zeek.KnownServices known-services 로그의 열 필드를 포함하는 레코드 유형입니다. 참조: [known-services.log](https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-services.zeek.html) ```yaml 스키마: Zeek.KnownServices 설명: known-services 로그의 열 필드를 포함하는 레코드 유형입니다 참조 URL: https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-services.zeek.html fields: - 이름: ts required: true 설명: 서비스가 관찰된 시각 type: timestamp timeFormats: - unix isEventTime: true - 이름: host required: true 설명: 서비스를 제공하는 시스템의 IP 주소 type: string 표시자: - ip - 이름: port_num required: true 설명: 서비스가 실행 중인 포트 번호 type: bigint - 이름: port_proto required: true 설명: 서비스가 사용하는 전송 계층 프로토콜 type: string - 이름: service required: true 설명: 서비스의 연결 페이로드와 일치하는 프로토콜 집합 type: array element: type: string ``` ### Zeek.Notice 참조: [notice.log](https://docs.zeek.org/en/master/frameworks/notice.html) ```yaml 스키마: Zeek.Notice 설명: Zeek Notice 활동 참조 URL: https://docs.zeek.org/en/master/frameworks/notice.html fields: - 이름: actions required: true type: array element: type: string - 이름: email_dest type: array element: type: string - 이름: dst type: string 표시자: - ip - 이름: fuid type: string 표시자: - trace_id - 이름: id.orig_h type: string 표시자: - ip - 이름: id.orig_p type: bigint - 이름: id.resp_h type: string 표시자: - ip - 이름: id.resp_p type: bigint - 이름: msg required: true type: string - 이름: note required: true type: string - 이름: p type: bigint - 이름: proto type: string - 이름: src type: string 표시자: - ip - 이름: sub type: string - 이름: suppress_for required: true type: float - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid type: string 표시자: - trace_id ``` ### Zeek.NTP 참조: [ntp.log](ttps://docs.zeek.org/en/master/logs/ntp.html) ```yaml 스키마: Zeek.NTP 설명: Zeek 네트워크 시간 프로토콜 활동 참조 URL: https://docs.zeek.org/en/master/logs/ntp.html fields: - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: mode required: true type: bigint - 이름: num_exts required: true type: bigint - 이름: org_time required: true type: float - 이름: poll required: true type: float - 이름: precision required: true type: float - 이름: rec_time required: true type: float - 이름: ref_id required: true type: string - 이름: ref_time required: true type: float - 이름: root_delay required: true type: float - 이름: root_disp required: true type: float - 이름: stratum required: true type: bigint - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id - 이름: version required: true type: bigint - 이름: xmt_time required: true type: float ``` ### Zeek.OCSP 참조: [ocsp.log](https://docs.zeek.org/en/master/scripts/base/files/x509/log-ocsp.zeek.html) ```yaml 스키마: Zeek.OCSP 설명: Zeek Online Certificate Status Protocol 활동 참조 URL: https://docs.zeek.org/en/v4.0.0/scripts/policy/files/x509/log-ocsp.zeek.html fields: - 이름: certStatus required: true type: string - 이름: hashAlgorithm required: true type: string - 이름: id required: true type: string - 이름: issuerKeyHash required: true type: string - 이름: issuerNameHash required: true type: string - 이름: nextUpdate required: true type: timestamp timeFormats: - unix - 이름: serialNumber required: true type: string - 이름: revoketime type: timestamp timeFormats: - unix - 이름: revokereason type: string - 이름: thisUpdate required: true type: timestamp timeFormats: - unix - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true ``` ### Zeek.Reporter Zeek 내부 경고 및 오류. 참조: [reporter.log](https://docs.zeek.org/en/master/logs/capture-loss-and-reporter.html) ```yaml 스키마: Zeek.Reporter 설명: Zeek 내부 경고 및 오류 참조 URL: https://docs.zeek.org/en/master/logs/capture-loss-and-reporter.html fields: - 이름: level required: true type: string - 이름: location required: true type: string - name: message required: true type: string - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true ``` ### Zeek.SIP 이 스키마는 Zeek SIP 분석 로그를 나타냅니다. 참조: [sip.log](https://docs.zeek.org/en/master/scripts/base/protocols/sip/main.zeek.html#id2) ```yaml 스키마: Zeek.SIP 설명: Zeek SIP 분석 참조 URL: https://docs.zeek.org/en/master/scripts/base/protocols/sip/main.zeek.html#id2 fields: - 이름: ts required: true type: timestamp timeFormats: - unix - 이름: uid required: true type: string 표시자: - trace_id - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: trans_depth required: true type: bigint - 이름: method type: string - 이름: uri type: string - name: date type: string - 이름: request_from type: string - 이름: request_to type: string - 이름: response_from type: string - 이름: response_to type: string - 이름: reply_to type: string - 이름: call_id type: string - 이름: seq type: string - 이름: subject type: string - 이름: request_path type: array element: type: string - 이름: response_path type: array element: type: string - 이름: user_agent type: string - 이름: status_code type: bigint - 이름: status_msg type: string - 이름: warning type: string - 이름: request_body_len type: bigint - 이름: response_body_len type: bigint - 이름: content_type type: string ``` ### Zeek.Software 참조: [software.log](https://docs.zeek.org/en/master/logs/known-and-software.html#software-log) ```yaml 스키마: Zeek.Software 설명: Zeek Software 활동 참조 URL: https://docs.zeek.org/en/master/logs/known-and-software.html#software-log fields: - 이름: host_p 설명: host_p type: bigint - 이름: version.addl 설명: version.addl type: string - 이름: version.minor2 설명: version.minor2 type: string - 이름: version.minor3 설명: version.minor3 type: string - 이름: version.minor 설명: version.minor type: string - 이름: host required: true 설명: host type: string 표시자: - ip - 이름: name required: true 설명: name type: string - 이름: software_type required: true 설명: software_type type: string - 이름: ts required: true 설명: ts type: timestamp 시간 형식: unix isEventTime: true - 이름: unparsed_version required: true 설명: unparsed_version type: string - 이름: version.major 설명: version.major type: bigint ``` ### Zeek.SSH 참조: [ssh.log](https://docs.zeek.org/en/master/logs/ssh.html) ```yaml 스키마: Zeek.Ssh 설명: Zeek ssh 활동 참조 URL: https://docs.zeek.org/en/current/scripts/base/protocols/ssh/main.zeek.html#type-SSH::Info fields: - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: version type: string - 이름: auth_success 유형: boolean - 이름: auth_attempts type: bigint - name: direction type: string - 이름: client type: string - 이름: server type: string - 이름: cipher_alg type: string - 이름: mac_alg type: string - 이름: compression_alg type: string - 이름: kex_alg type: string - 이름: host_key_alg type: string - 이름: host_key type: string ``` ### Zeek.SSL 참조: [ssl.log](https://docs.zeek.org/en/master/logs/ssl.html) ````yaml 스키마: Zeek.Ssl 설명: Zeek SSL 활동 참조 URL: https://docs.zeek.org/en/master/logs/ssl.html fields: - 이름: next_protocol type: string - 이름: cert_chain_fps type: array element: type: string - 이름: sni_matches_cert 유형: boolean - 이름: validation_status type: string - 이름: curve type: string - 이름: cipher type: string - 이름: established required: true 유형: boolean - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: resumed required: true 유형: boolean - 이름: server_name type: string 표시자: - domain - 이름: ssl_history required: true type: string - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id - 이름: version type: string ``` ```` ### Zeek.Stats 참조: [stats.log](https://docs.zeek.org/en/master/scripts/policy/misc/stats.zeek.html) ```yaml 스키마: Zeek.Stats 설명: Zeek 로그 메모리/패킷/지연 통계. 참조 URL: https://docs.zeek.org/en/master/scripts/policy/misc/stats.zeek.html fields: - 이름: active_dns_requests required: true type: bigint - 이름: active_files required: true type: bigint - 이름: active_icmp_conns required: true type: bigint - 이름: active_tcp_conns required: true type: bigint - 이름: active_timers required: true type: bigint - 이름: active_udp_conns required: true type: bigint - 이름: bytes_recv required: true type: bigint - 이름: dns_requests required: true type: bigint - 이름: events_proc required: true type: bigint - 이름: events_queued required: true type: bigint - 이름: files required: true type: bigint - 이름: icmp_conns required: true type: bigint - 이름: mem required: true type: bigint - 이름: peer required: true type: string - 이름: pkt_lag required: true type: float - 이름: pkts_dropped required: true type: bigint - 이름: pkts_link required: true type: bigint - 이름: pkts_proc required: true type: bigint - 이름: reassem_file_size required: true type: bigint - 이름: reassem_frag_size required: true type: bigint - 이름: reassem_tcp_size required: true type: bigint - 이름: reassem_unknown_size required: true type: bigint - 이름: tcp_conns required: true type: bigint - 이름: timers required: true type: bigint - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: udp_conns required: true type: bigint ``` ### Zeek.Telemetry 카운터 및 게이지 메트릭을 기록하는 데 사용되는 레코드 유형. 참조: [telemetry.log](https://docs.zeek.org/en/master/scripts/policy/frameworks/telemetry/log.zeek.html) ```yaml 스키마: Zeek.Telemetry 설명: 카운터 및 게이지 메트릭을 기록하는 데 사용되는 레코드 유형 참조 URL: https://docs.zeek.org/en/master/scripts/policy/frameworks/telemetry/log.zeek.html fields: - 이름: ts required: true 설명: 보고 시각 type: timestamp timeFormats: - unix isEventTime: true - 이름: peer required: true 설명: 이 로그를 생성한 피어(메트릭이 발생한 클러스터 노드를 식별함) type: string - 이름: metric_type required: true 설명: 기본 메트릭 유형에 따라 "counter" 또는 "gauge" 값을 포함함 type: string - 이름: name required: true 설명: 메트릭의 이름 type: string - 이름: labels required: true 설명: 개별 레이블의 이름 type: array element: type: string - 이름: label_values required: true 설명: labels에 나열된 레이블의 값 type: array element: type: string - 이름: value required: true 설명: 이 메트릭의 값 type: float ``` ### Zeek.Tunnel Zeek의 tunnel.log의 목적은 캡슐화된 트래픽을 식별하는 것입니다. 참조: [tunnel.log](https://docs.zeek.org/en/master/logs/tunnel.html) ```yaml 스키마: Zeek.Tunnel 설명: Zeek의 tunnel.log의 목적은 캡슐화된 트래픽을 식별하는 것입니다. 참조 URL: https://docs.zeek.org/en/master/logs/tunnel.html fields: - 이름: action required: true type: string - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: tunnel_type required: true type: string ``` ### Zeek.Weird 참조: [weird.log](https://docs.zeek.org/en/master/logs/weird-and-notice.html) ```yaml 스키마: Zeek.Weird 설명: Zeek Weird 활동 참조 URL: https://docs.zeek.org/en/master/logs/weird-and-notice.html fields: - 이름: source type: string - 이름: id.orig_h required: true type: string 표시자: - ip - 이름: id.orig_p required: true type: bigint - 이름: id.resp_h required: true type: string 표시자: - ip - 이름: id.resp_p required: true type: bigint - 이름: name required: true type: string - 이름: notice required: true 유형: boolean - 이름: peer required: true type: string - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 표시자: - trace_id ``` ### Zeek.X509 참조: [x509.log](https://docs.zeek.org/en/master/logs/x509.html) ```yaml 스키마: Zeek.X509 설명: Zeek X509 참조 URL: https://docs.zeek.org/en/master/logs/x509.html fields: - 이름: certificate.curve type: string - 이름: certificate.exponent type: bigint - 이름: basic_constraints.ca required: true 유형: boolean - 이름: certificate.issuer required: true type: string - 이름: certificate.key_alg required: true type: string - 이름: certificate.key_length required: true type: bigint - 이름: certificate.key_type required: true type: string - 이름: certificate.not_valid_after required: true type: timestamp timeFormats: - unix - 이름: certificate.not_valid_before required: true type: timestamp timeFormats: - unix - 이름: certificate.serial required: true type: string - 이름: certificate.sig_alg required: true type: string - 이름: certificate.subject required: true type: string - 이름: certificate.version required: true type: string - 이름: client_cert required: true 유형: boolean - 이름: fingerprint required: true type: string - 이름: host_cert required: true 유형: boolean - 이름: san.dns required: true type: array element: type: string - 이름: ts required: true type: timestamp timeFormats: - unix isEventTime: true ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/zeek.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.