# Zeek 로그 ## 개요 Panther는 일반적인 방식을 통해 Zeek 로그 수집을 지원합니다 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션: Amazon Web Services(AWS) S3 및 SQS를 통한 Fastly 로그 수집을 지원합니다. ## Zeek 로그를 Panther에 온보딩하는 방법 이 로그를 Panther로 가져오려면: 1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**. 2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭하세요. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: 1. [AWS SQS](https://docs.panther.com/ko/data-onboarding/data-transports/aws/sqs) 2. [AWS S3 버킷](https://docs.panther.com/ko/data-onboarding/data-transports/aws/s3) 5. Zeek를 구성하여 로그를 Data Transport 소스로 푸시하십시오. * 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Zeek 문서를 참조하십시오. ## 지원되는 로그 유형 ### Zeek.CaptureLoss Zeek CaptureLoss는 패킷 캡처 프로세스가 측정 손실로부터 어느 정도 영향을 받는지에 대한 증거를 기록합니다. 참고: [캡처 손실](https://docs.zeek.org/en/master/scripts/policy/misc/capture-loss.zeek.html) ```yaml 스키마: Zeek.CaptureLoss 설명: Zeek CaptureLoss. 패킷 캡처 프로세스가 측정 손실로부터 어느 정도 영향을 받는지에 대한 증거를 기록합니다 참조 URL: https://docs.zeek.org/en/master/scripts/policy/misc/capture-loss.zeek.html 필드: - name: acks required: true type: bigint - name: gaps required: true type: bigint - name: peer required: true type: string - name: percent_lost required: true type: float - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - name: ts_delta required: true type: float ``` ### Zeek.Conn 참고: [conn.log](https://docs.zeek.org/en/master/logs/conn.html) ```yaml 스키마: Zeek.Conn 설명: Zeek Conn 참조 URL: https://docs.zeek.org/en/master/logs/conn.html 필드: - 이름: service type: string - name: duration type: float - name: orig_bytes type: bigint - name: resp_bytes type: bigint - name: history type: string - name: conn_state required: true type: string - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: local_orig required: true 유형: boolean - name: local_resp required: true 유형: boolean - name: missed_bytes required: true type: bigint - name: orig_ip_bytes required: true type: bigint - name: orig_pkts required: true type: bigint - name: proto required: true type: string - name: resp_ip_bytes required: true type: bigint - name: resp_pkts required: true type: bigint - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id - name: uid2 type: string 지표: - trace_id ``` ### Zeek.DHCP 참고: [dhcp.log](https://docs.zeek.org/en/master/logs/dhcp.html) ```yaml 스키마: Zeek.DHCP 설명: Zeek DHCP 참조 URL: https://docs.zeek.org/en/master/logs/dhcp.html 필드: - name: host_name type: string 지표: - 도메인 - name: requested_addr type: string 지표: - ip - name: duration required: true type: float - name: mac required: true type: string 지표: - mac - name: msg_types required: true type: array element: type: string - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - name: uids required: true type: array element: type: string 지표: - trace_id ``` ### Zeek.DNS Zeek DNS 활동 참고: [Zeek 문서 - DNS::info](https://docs.zeek.org/en/current/scripts/base/protocols/dns/main.zeek.html#type-DNS::Info) ```yaml 스키마: Zeek.DNS 설명: Zeek DNS 활동 참조 URL: https://docs.zeek.org/en/current/scripts/base/protocols/dns/main.zeek.html#type-DNS::Info 필드: - name: ts required: true 설명: 관련 연결에서 DNS 프로토콜 메시지가 관찰된 가장 이른 시간입니다. type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true 설명: DNS 메시지가 전송되는 연결의 고유 식별자입니다. type: string - name: id.orig_h required: true 설명: 발신자의 IP 주소입니다. type: string 지표: - ip - name: id.orig_p required: true 설명: 발신자의 포트 번호입니다. 유형: int - name: id.resp_h required: true 설명: 응답자의 IP 주소입니다. type: string 지표: - ip - name: id.resp_p required: true 설명: 응답자의 포트 번호입니다. 유형: int - name: proto required: true 설명: 연결의 전송 계층 프로토콜입니다. type: string - name: trans_id 설명: DNS 쿼리를 생성한 프로그램이 할당한 16비트 식별자입니다. 응답에서 대기 중인 쿼리에 대한 응답을 맞추는 데에도 사용됩니다. 유형: int - name: query 설명: DNS 쿼리의 대상이 되는 도메인 이름입니다. type: string 지표: - 도메인 - name: qclass 설명: 쿼리의 클래스를 지정하는 QCLASS 값입니다. type: bigint - name: qclass_name 설명: 쿼리 클래스에 대한 설명적 이름입니다. type: string - name: qtype 설명: 쿼리의 유형을 지정하는 QTYPE 값입니다. type: bigint - name: qtype_name 설명: 쿼리 유형에 대한 설명적 이름입니다. type: string - name: rcode 설명: DNS 응답 메시지의 응답 코드 값입니다. type: bigint - name: rcode_name 설명: 응답 코드 값에 대한 설명적 이름입니다. type: string - name: AA 설명: 응답 메시지의 Authoritative Answer 비트는 응답하는 네임서버가 질문 섹션의 도메인 이름에 대한 권한자임을 지정합니다. 유형: boolean - name: TC 설명: Truncation 비트는 메시지가 잘렸음을 지정합니다. 유형: boolean - name: RD 설명: 요청 메시지의 Recursion Desired 비트는 클라이언트가 이 쿼리에 대해 재귀 서비스를 원함을 나타냅니다. 유형: boolean - name: RA 설명: 응답 메시지의 Recursion Available 비트는 네임서버가 재귀 쿼리를 지원함을 나타냅니다. 유형: boolean - name: Z 설명: 일반적으로 쿼리 및 응답에서 0인 예약된 필드입니다. type: bigint - name: answers 설명: 쿼리 응답에 포함된 리소스 설명들의 집합입니다. type: array element: type: string 지표: - hostname - name: TTLs 설명: answers 필드에 설명된 관련 RR들의 캐싱 간격(초 단위)입니다. type: array element: type: float - name: rejected 설명: DNS 쿼리가 서버에 의해 거부되었습니다. 유형: boolean ``` ### Zeek.DPD Zeek 동적 프로토콜 감지. 참고: [dpd.log](https://docs.zeek.org/en/master/logs/dpd.html) ```yaml 스키마: Zeek.DPD 설명: Zeek 동적 프로토콜 감지 참조 URL: https://docs.zeek.org/en/master/logs/dpd.html 필드: - name: analyzer required: true type: string - name: failure_reason required: true type: string - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: proto required: true type: string - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id ``` ### Zeek.Files 참고: [files.log](https://docs.zeek.org/en/master/logs/files.html) ```yaml 스키마: Zeek.Files 설명: Zeek Files 참조 URL: https://docs.zeek.org/en/master/logs/files.html 필드: - name: analyzers required: true type: array element: type: string - name: conn_uids required: true type: array element: type: string 지표: - trace_id - name: depth required: true type: bigint - name: duration required: true type: float - name: fuid required: true type: string 지표: - trace_id - name: is_orig required: true 유형: boolean - name: local_orig required: true 유형: boolean - name: md5 required: true type: string 지표: - md5 - name: mime_type type: string - name: missing_bytes required: true type: bigint - name: overflow_bytes required: true type: bigint - name: rx_hosts required: true type: array element: type: string 지표: - ip - name: seen_bytes required: true type: bigint - name: sha1 required: true type: string 지표: - sha1 - name: source required: true type: string - name: timedout required: true 유형: boolean - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - name: tx_hosts required: true type: array element: type: string 지표: - ip ``` ### Zeek.HTTP 참고: [http.log](https://docs.zeek.org/en/master/logs/http.html) ```yaml 스키마: Zeek.HTTP 설명: Zeek HTTP 활동 참조 URL: https://docs.zeek.org/en/master/scripts/base/protocols/http/main.zeek.html#type-HTTP::Info 필드: - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: trans_depth required: true type: bigint - name: method type: string - 이름: host type: string 지표: - 도메인 - name: uri type: string - name: referrer type: string - name: version type: string - name: user_agent type: string - name: origin type: string - name: request_body_len type: bigint - name: response_body_len type: bigint - name: status_code type: bigint - name: status_msg type: string - name: info_code type: bigint - name: info_msg type: string - name: tags required: true 유형: json - 이름: username type: string - name: password type: string - name: capture_password 유형: boolean - name: proxied type: array element: type: string - name: range_request 유형: boolean - name: orig_fuids type: array element: type: string 지표: - trace_id - name: orig_filenames type: array element: type: string - name: orig_mime_types type: array element: type: string - name: resp_fuids type: array element: type: string 지표: - trace_id - name: resp_filenames type: array element: type: string - name: resp_mime_types type: array element: type: string - name: current_entity 유형: json - name: orig_mime_depth type: bigint - name: resp_mime_depth type: bigint - name: client_header_names type: array element: type: string - name: server_header_names type: array element: type: string - name: omniture 유형: boolean - 이름: flash_version type: string - name: cookie_vars type: array element: type: string - name: uri_vars type: array element: type: string ``` ### Zeek.KnownHosts Zeek 알려진 호스트 - 완료된 TCP 연결을 추적합니다. 참고: [known-hosts.log](https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-hosts.zeek.html) ```yaml 스키마: Zeek.KnownHosts 설명: Zeek 알려진 호스트 - 완료된 TCP 연결을 추적합니다 참조 URL: https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-hosts.zeek.html 필드: - name: ts required: true 설명: 호스트가 감지된 타임스탬프입니다. type: timestamp timeFormats: - unix isEventTime: true - 이름: host required: true 설명: TCP 연결을 시작하거나 응답한 것으로 감지된 주소입니다. type: string 지표: - ip ``` ### Zeek.KnownServices known-services 로그의 열 필드를 포함하는 레코드 타입입니다. 참고: [known-services.log](https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-services.zeek.html) ```yaml 스키마: Zeek.KnownServices 설명: known-services 로그의 열 필드를 포함하는 레코드 타입입니다 참조 URL: https://docs.zeek.org/en/master/scripts/policy/protocols/conn/known-services.zeek.html 필드: - name: ts required: true 설명: 서비스가 관찰된 타임스탬프입니다 type: timestamp timeFormats: - unix isEventTime: true - 이름: host required: true 설명: 서비스를 제공하는 시스템의 IP 주소입니다 type: string 지표: - ip - name: port_num required: true 설명: 서비스가 실행되는 포트 번호입니다 type: bigint - name: port_proto required: true 설명: 서비스가 사용하는 전송 계층 프로토콜입니다 type: string - 이름: service required: true 설명: 서비스의 연결 페이로드와 일치하는 프로토콜 집합입니다 type: array element: type: string ``` ### Zeek.Notice 참고: [notice.log](https://docs.zeek.org/en/master/frameworks/notice.html) ```yaml 스키마: Zeek.Notice 설명: Zeek Notice 활동 참조 URL: https://docs.zeek.org/en/master/frameworks/notice.html 필드: - name: actions required: true type: array element: type: string - name: email_dest type: array element: type: string - name: dst type: string 지표: - ip - name: fuid type: string 지표: - trace_id - name: id.orig_h type: string 지표: - ip - name: id.orig_p type: bigint - name: id.resp_h type: string 지표: - ip - name: id.resp_p type: bigint - name: msg required: true type: string - name: note required: true type: string - name: p type: bigint - name: proto type: string - name: src type: string 지표: - ip - name: sub type: string - name: suppress_for required: true type: float - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid type: string 지표: - trace_id ``` ### Zeek.NTP 참고: [ntp.log](ttps://docs.zeek.org/en/master/logs/ntp.html) ```yaml 스키마: Zeek.NTP 설명: Zeek 네트워크 시간 프로토콜 활동 참조 URL: https://docs.zeek.org/en/master/logs/ntp.html 필드: - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: mode required: true type: bigint - name: num_exts required: true type: bigint - name: org_time required: true type: float - name: poll required: true type: float - name: precision required: true type: float - name: rec_time required: true type: float - name: ref_id required: true type: string - name: ref_time required: true type: float - name: root_delay required: true type: float - name: root_disp required: true type: float - name: stratum required: true type: bigint - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id - name: version required: true type: bigint - name: xmt_time required: true type: float ``` ### Zeek.OCSP 참고: [ocsp.log](https://docs.zeek.org/en/master/scripts/base/files/x509/log-ocsp.zeek.html) ```yaml 스키마: Zeek.OCSP 설명: Zeek 온라인 인증서 상태 프로토콜 활동 참조 URL: https://docs.zeek.org/en/v4.0.0/scripts/policy/files/x509/log-ocsp.zeek.html 필드: - name: certStatus required: true type: string - name: hashAlgorithm required: true type: string - 이름: id required: true type: string - name: issuerKeyHash required: true type: string - name: issuerNameHash required: true type: string - name: nextUpdate required: true type: timestamp timeFormats: - unix - name: serialNumber required: true type: string - name: revoketime type: timestamp timeFormats: - unix - name: revokereason type: string - name: thisUpdate required: true type: timestamp timeFormats: - unix - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true ``` ### Zeek.Reporter Zeek 내부 경고 및 오류. 참고: [reporter.log](https://docs.zeek.org/en/master/logs/capture-loss-and-reporter.html) ```yaml 스키마: Zeek.Reporter 설명: Zeek 내부 경고 및 오류 참조 URL: https://docs.zeek.org/en/master/logs/capture-loss-and-reporter.html 필드: - 이름: level required: true type: string - 이름: location required: true type: string - name: message required: true type: string - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true ``` ### Zeek.SIP 이 스키마는 Zeek SIP 분석 로그를 나타냅니다. 참고: [sip.log](https://docs.zeek.org/en/master/scripts/base/protocols/sip/main.zeek.html#id2) ```yaml 스키마: Zeek.SIP 설명: Zeek SIP 분석 참조 URL: https://docs.zeek.org/en/master/scripts/base/protocols/sip/main.zeek.html#id2 필드: - name: ts required: true type: timestamp timeFormats: - unix - 이름: uid required: true type: string 지표: - trace_id - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: trans_depth required: true type: bigint - name: method type: string - name: uri type: string 설명: 이 로그가 관련된 앱 id. type: string - name: request_from type: string - name: request_to type: string - name: response_from type: string - name: response_to type: string - name: reply_to type: string - name: call_id type: string - name: seq type: string - name: subject type: string - name: request_path type: array element: type: string - name: response_path type: array element: type: string - name: user_agent type: string - name: status_code type: bigint - name: status_msg type: string - name: warning type: string - name: request_body_len type: bigint - name: response_body_len type: bigint - name: content_type type: string ``` ### Zeek.Software 참고: [software.log](https://docs.zeek.org/en/master/logs/known-and-software.html#software-log) ```yaml 스키마: Zeek.Software 설명: Zeek 소프트웨어 활동 참조 URL: https://docs.zeek.org/en/master/logs/known-and-software.html#software-log 필드: - name: host_p 설명: host_p type: bigint - name: version.addl 설명: version.addl type: string - name: version.minor2 설명: version.minor2 type: string - name: version.minor3 설명: version.minor3 type: string - name: version.minor 설명: version.minor type: string - 이름: host required: true 설명: host type: string 지표: - ip - 이름: name required: true 설명: name type: string - name: software_type required: true 설명: software_type type: string - name: ts required: true 설명: ts type: timestamp 시간형식: unix isEventTime: true - name: unparsed_version required: true 설명: unparsed_version type: string - name: version.major 설명: version.major type: bigint ``` ### Zeek.SSH 참고: [ssh.log](https://docs.zeek.org/en/master/logs/ssh.html) ```yaml 스키마: Zeek.Ssh 설명: Zeek ssh 활동 참조 URL: https://docs.zeek.org/en/current/scripts/base/protocols/ssh/main.zeek.html#type-SSH::Info 필드: - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: version type: string - name: auth_success 유형: boolean - name: auth_attempts type: bigint - 이름: direction type: string - name: client type: string - name: server type: string - name: cipher_alg type: string - name: mac_alg type: string - name: compression_alg type: string - name: kex_alg type: string - name: host_key_alg type: string - name: host_key type: string ``` ### Zeek.SSL 참고: [ssl.log](https://docs.zeek.org/en/master/logs/ssl.html) ````yaml 스키마: Zeek.Ssl 설명: Zeek SSL 활동 참조 URL: https://docs.zeek.org/en/master/logs/ssl.html 필드: - name: next_protocol type: string - name: cert_chain_fps type: array element: type: string - name: sni_matches_cert 유형: boolean - name: validation_status type: string - name: curve type: string - name: cipher type: string - name: established required: true 유형: boolean - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: resumed required: true 유형: boolean - name: server_name type: string 지표: - 도메인 - name: ssl_history required: true type: string - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id - name: version type: string ``` ```` ### Zeek.Stats 참고: [stats.log](https://docs.zeek.org/en/master/scripts/policy/misc/stats.zeek.html) ```yaml 스키마: Zeek.Stats 설명: Zeek 로그 메모리/패킷/지연 통계. 참조 URL: https://docs.zeek.org/en/master/scripts/policy/misc/stats.zeek.html 필드: - name: active_dns_requests required: true type: bigint - name: active_files required: true type: bigint - name: active_icmp_conns required: true type: bigint - name: active_tcp_conns required: true type: bigint - name: active_timers required: true type: bigint - name: active_udp_conns required: true type: bigint - name: bytes_recv required: true type: bigint - name: dns_requests required: true type: bigint - name: events_proc required: true type: bigint - name: events_queued required: true type: bigint - name: files required: true type: bigint - name: icmp_conns required: true type: bigint - name: mem required: true type: bigint - name: peer required: true type: string - name: pkt_lag required: true type: float - name: pkts_dropped required: true type: bigint - name: pkts_link required: true type: bigint - name: pkts_proc required: true type: bigint - name: reassem_file_size required: true type: bigint - name: reassem_frag_size required: true type: bigint - name: reassem_tcp_size required: true type: bigint - name: reassem_unknown_size required: true type: bigint - name: tcp_conns required: true type: bigint - name: timers required: true type: bigint - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - name: udp_conns required: true type: bigint ``` ### Zeek.Telemetry 카운터 및 게이지 메트릭을 기록하는 데 사용되는 레코드 유형입니다. 참고: [telemetry.log](https://docs.zeek.org/en/master/scripts/policy/frameworks/telemetry/log.zeek.html) ```yaml 스키마: Zeek.Telemetry 설명: 카운터 및 게이지 메트릭을 기록하는 데 사용되는 레코드 유형 참조 URL: https://docs.zeek.org/en/master/scripts/policy/frameworks/telemetry/log.zeek.html 필드: - name: ts required: true 설명: 보고 시점의 타임스탬프 type: timestamp timeFormats: - unix isEventTime: true - name: peer required: true 설명: 이 로그를 생성한 피어(메트릭이 기원한 클러스터 노드를 식별) type: string - name: metric_type required: true 설명: 기본 메트릭 유형에 따라 "counter" 또는 "gauge" 값을 포함합니다 type: string - 이름: name required: true 설명: 메트릭의 이름 type: string - 이름: labels required: true 설명: 개별 레이블의 이름들 type: array element: type: string - name: label_values required: true 설명: labels에 나열된 레이블들의 값입니다 type: array element: type: string - 이름: value required: true 설명: 이 메트릭의 값 type: float ``` ### Zeek.Tunnel Zeek의 tunnel.log 목적은 캡슐화된 트래픽을 식별하는 것입니다. 참고: [tunnel.log](https://docs.zeek.org/en/master/logs/tunnel.html) ```yaml 스키마: Zeek.Tunnel 설명: Zeek의 tunnel.log 목적은 캡슐화된 트래픽을 식별하는 것입니다. 참조 URL: https://docs.zeek.org/en/master/logs/tunnel.html 필드: - 이름: action required: true type: string - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - name: tunnel_type required: true type: string ``` ### Zeek.Weird 참고: [weird.log](https://docs.zeek.org/en/master/logs/weird-and-notice.html) ```yaml 스키마: Zeek.Weird 설명: Zeek Weird 활동 참조 URL: https://docs.zeek.org/en/master/logs/weird-and-notice.html 필드: - name: source type: string - name: id.orig_h required: true type: string 지표: - ip - name: id.orig_p required: true type: bigint - name: id.resp_h required: true type: string 지표: - ip - name: id.resp_p required: true type: bigint - 이름: name required: true type: string - name: notice required: true 유형: boolean - name: peer required: true type: string - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true - 이름: uid required: true type: string 지표: - trace_id ``` ### Zeek.X509 참고: [x509.log](https://docs.zeek.org/en/master/logs/x509.html) ```yaml 스키마: Zeek.X509 설명: Zeek X509 참조 URL: https://docs.zeek.org/en/master/logs/x509.html 필드: - name: certificate.curve type: string - name: certificate.exponent type: bigint - name: basic_constraints.ca required: true 유형: boolean - name: certificate.issuer required: true type: string - name: certificate.key_alg required: true type: string - name: certificate.key_length required: true type: bigint - name: certificate.key_type required: true type: string - name: certificate.not_valid_after required: true type: timestamp timeFormats: - unix - name: certificate.not_valid_before required: true type: timestamp timeFormats: - unix - name: certificate.serial required: true type: string - name: certificate.sig_alg required: true type: string - name: certificate.subject required: true type: string - name: certificate.version required: true type: string - name: client_cert required: true 유형: boolean - name: fingerprint required: true type: string - name: host_cert required: true 유형: boolean - name: san.dns required: true type: array element: type: string - name: ts required: true type: timestamp timeFormats: - unix isEventTime: true ```