> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/system-configuration/notifications/system-errors.md).

# 시스템 오류

## 개요

Panther의 시스템 오류는 Panther 플랫폼의 일부가 예상대로 작동하지 않을 때 알러트합니다. 여기에는 다음이 포함됩니다:

* [로그 소스 상태 알러트](#log-source-health-notifications)
  * 건강 상태 검사 실패로 인해 로그 소스가 비정상 상태가 됨
  * 로그 소스에서 로그 수신이 완전히 중단됨
* [알러트 한도 알림](/ko/alerts.md#limiting-alerts)
* [알러트 전달 실패](#alert-delivery-failure)
  * 알러트가 알러트 목적지로 전달되지 않음
* [로그 분류 오류](#log-classification-alerts)
  * 로그 분류 실패
* [S3 GetObject 오류](#s3-getobject-error-notifications)
  * Panther가 S3 객체를 가져오지 못함
* [Cloud Security 스캔 실패](#cloud-security-scanning-failure)
  * Panther가 "access denied" 오류 때문에 클라우드 리소스를 스캔하지 못함
* 에서의 쿼리 오류 [예약 검색](/ko/search/scheduled-searches.md) Scheduled 룰에 연결되지 않은
  * 에서의 쿼리 오류 [예약 검색](/ko/search/scheduled-searches.md) Scheduled 룰에 연결된 항목은 다음으로 표시됩니다 [룰 오류](/ko/detections/rules.md#rule-errors-and-scheduled-rule-errors)
* [시간 초과된 예약 검색](/ko/search/scheduled-searches.md#use-limits-in-scheduled-searches)

이러한 유형의 알러트는 다음으로 분류됩니다 `시스템 오류` Panther에서. `시스템 오류` 항상 다음의 `CRITICAL` 심각도 수준을 가지며—알러트 목적지로 전송됩니다 [수신하도록 구성된 `시스템 오류`](#configuring-an-alert-destination-for-system-health-errors), 심지어 다음 심각도의 알러트를 수신하도록 구성되어 있지 않더라도 `CRITICAL` 심각도입니다. 로그 드롭오프 알람은 로그 소스별로 수동 구성할 수 있으며, 이를 제외하면 자동으로 생성됩니다. `시스템 오류` 알러트는 Panther Console의 다음 위치에서 확인할 수 있습니다 **알러트 및 오류 > 시스템 오류**.

{% hint style="info" %}
다음을 구성하는 것을 강력히 권장합니다 [알러트 대상](/ko/alerts/destinations.md) 다음을 수신하도록 `시스템 오류` 알러트 유형.
{% endhint %}

시스템 오류는 Panther Console의 인앱 알림 유형이기도 합니다. 알림에 대해 자세히 알아보려면 [알림 및 오류](/ko/system-configuration/notifications.md).

## 시스템 오류 알람 구성 방법

모든 유형의 시스템 오류에 대한 알러트를 받으려면:

* 다음을 수신하는 알러트 목적지를 구성하세요 `시스템 오류` 알러트 유형.
* 데이터 수신이 중단되면 알러트를 발생시키는 로그 소스에 대해 로그 드롭오프 알람을 구성하세요.
  * 로그 분류 오류, 알러트 전달 실패, S3 GetObject 오류, Cloud Security 스캔 실패에 대해서는 알러트를 활성화할 필요가 없습니다.

### 시스템 오류용 알러트 목적지 구성

기본적으로 Panther는 다음을 보냅니다 `시스템 오류` 알러트를 **알러트** 페이지로 전송합니다. 또한 알러트를 수신하도록 알러트 목적지 중 하나를 구성하는 것을 강력히 권장합니다.

{% hint style="info" %}
다음을 수신하도록 구성된 알러트 목적지는 `시스템 오류` 대상지가 다음 심각도의 알러트를 수신하도록 구성되어 있지 않더라도 이를 수신합니다 `CRITICAL` 심각도.
{% endhint %}

이 알러트가 사용자 지정 알러트 목적지로 전송되도록 하려면 아래 단계를 따르세요:

1. Panther Console에 로그인하세요.
2. 왼쪽 사이드바 탐색에서 다음을 클릭합니다 **구성** > **알러트 대상**
3. 기존 알러트 목적지를 선택하거나 [새 알러트 목적지를 추가합니다](/ko/alerts/destinations.md).
4. 알러트 목적지의 구성 페이지에서 다음을 추가합니다 `시스템 오류` 다음에 **알러트 유형** 섹션:

<figure><img src="/files/df5bbe4f7d0777517894d15143cc04e5d2811a75" alt="On the configuration screen for a Slack destination in the Panther Console, &#x22;System Errors&#x22; is one of the selected Alert Types." width="563"><figcaption></figcaption></figure>

### 로그 소스에 대한 로그 드롭오프 알람 구성

Panther에서는 개별 로그 소스에 대해 이벤트 임계값 알람을 설정할 수 있으며, 특정 시간 간격 동안 데이터가 수신되지 않으면 알러트를 발생시킵니다.

예를 들어 임계값을 15분으로 구성하면 15분 동안 이벤트가 처리되지 않을 때 알러트를 받게 됩니다.

이는 Panther에 잘못 연결되었거나 Panther 외부에서 문제가 발생한 로그 소스에 유용할 수 있습니다.

{% hint style="warning" %}
임계값을 넘으면 단일 알러트가 생성됩니다. 임계 조건이 재설정되고(즉, 데이터가 수신되고) 이후 다시 트리거되지 않는 한 추가 알러트는 발행되지 않습니다.
{% endhint %}

새 로그 소스 또는 기존 로그 소스에 알람을 추가할 수 있습니다:

{% tabs %}
{% tab title="새 로그 소스에 알람 추가" %}
**새 로그 소스에 대한 알람 설정**

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 오른쪽 상단에서 다음을 클릭합니다: **새로 만들기**.
3. 온보딩 워크플로의 각 단계를 완료하세요.
   * 참조 [데이터 소스 및 전송](/ko/data-onboarding.md) 소스별 구체적인 설정 지침을 참조하세요.
4. 온보딩 워크플로의 끝에 있는 성공 페이지에서 **이벤트가 처리되지 않을 때 알러트를 트리거** 기본값은 다음으로 설정됩니다 **YES**. 이 설정을 활성화된 상태로 두세요.
   * 다음 항목을 입력하여 원하는 기간을 설정하세요 **숫자** 그리고 **주기** 옆의 필드에 **이벤트가 처리되지 않았다는 알러트를 보내기 전에 Panther가 얼마나 기다려야 하나요?**.

<figure><img src="/files/0ef4abeadae4a83738e8ad80063b7a7732a77629" alt="The &#x22;Trigger an alert when no events are processed&#x22; toggle is set to YES. The &#x22;How long should Panther wait before it sends you an alert that no events have been processed&#x22; setting is set to 1 Day" width="480"><figcaption></figcaption></figure>
{% endtab %}

{% tab title="기존 소스에 알람 추가" %}
**기존 로그 소스에 대한 알람 설정**

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 알람을 구성할 로그 소스를 선택하세요.
3. 로그 소스 상세 페이지의 **개요** 탭에서 다음 값의 오른쪽에 있는 연필 아이콘을 클릭하세요 **드롭오프 알람** 필드에 붙여넣습니다.\
   ![A log source named "test cloudtrail" is shown, and in the Basic Info section there is a blurred-out Source ID and AWS Account ID. There's also a Drop-off Alarm with a value of Not Set.](/files/c818cc7a264d63949041a8577e046d5378cfa1ed)
4. 팝업 창에서 다음을 전환하세요 **이벤트가 처리되지 않을 때 알러트를 트리거** 설정을 **켬**.
5. 다음 항목 옆의 **이벤트가 처리되지 않았다는 알러트를 보내기 전에 Panther가 얼마나 기다려야 하나요?** 다음을 설정합니다 **숫자** 그리고 **주기**.\
   ![In a "Configure Drop-off Alarm" pop-up window, the "Trigger an alert when no events are processed" is toggled to "ON." Below, it asks "How long should Panther wait before it sends you an alert that no events have been processed?" and in the Number selector is "1" and in the Period selector is "Day(s)." At the bottom is a blue "Apply Changes" button.](/files/b3ee6340f738e35faaf5db997d5b295ce32763f6)
6. 다음을 클릭합니다: **변경 사항 적용**.
   {% endtab %}
   {% endtabs %}

## 시스템 오류의 유형

### 로그 소스 상태 알러트

Panther는 Panther가 소스에 올바르게 연결되어 있고, 올바른 자격 증명을 보유하고 있으며, 소스에서 데이터를 일관되게 수신하는지 확인하기 위해 로그 소스에 대해 상태 검사를 수행합니다.

#### 로그 드롭오프 알러트

Panther에서는 개별 로그 소스에 대해 이벤트 임계값 알람을 설정할 수 있으며, 특정 시간 간격 동안 데이터가 수신되지 않으면 알러트를 발생시킵니다. 이 알러트를 활성화하는 방법은 위 섹션을 참조하세요:[ 로그 소스에 대한 로그 드롭오프 알람 구성](#configuring-log-drop-off-alarms-for-log-sources).

다음에 대해서는 로그 드롭오프 알람을 설정할 수 없습니다 [Panther 감사 로그](/ko/data-onboarding/supported-logs/panther-audit-logs.md), 로그 소스로 활성화된 경우

### 로그 분류 알러트

수신된 로그가 해당 로그 소스에 연결된 스키마에 따라 올바르게 파싱되지 않으면 Panther는 로그 분류 알러트를 생성합니다. 이 경우:

* 분류에 실패한 로그는 데이터 레이크로 전송되며, 다음이라는 이름의 테이블에서 검색할 수 있습니다 `classification_failures` 다음의 `panther_monitor` 데이터베이스.
* 첫 번째 로그 분류 실패 직후 알러트가 생성됩니다. 이 알러트에는 분류에 실패한 모든 로그 줄이 표시됩니다.

Panther Console의 알러트 상세 페이지는 올바르게 파싱되지 않은 로그 줄을 강조 표시하여, 해당 로그 유형의 스키마에서 어떤 줄을 수정하거나 추가해야 하는지 파악하는 데 도움을 줍니다.

알러트에는 해당 로그 소스의 Log Source Ops 페이지 링크가 포함되어 있으며, 여기서 Health 탭 내 이벤트의 분류 실패 비율을 확인할 수 있습니다.

![그래프가 포함된 Log Source 운영 페이지입니다. 그래프는 이벤트가 잘못 분류되는 비율을 보여줍니다.](/files/5a0e738d4348c306fa2ff881b206be5b85e2701a)

#### 분류 실패 해결

로그 소스 중 하나에서 분류 실패가 발생하면 다음 단계로 해결할 수 있습니다:

1. 로그 소스에 스키마가 두 개 이상 연결되어 있다면 어떤 스키마가 실패했는지 식별하세요.
   * 이 정보는 다음에서 확인할 수 있습니다 **Health** 로그 소스 상세 페이지의 탭 또는 Data Explorer에서 다음이라는 이름의 테이블을 통해 `classification_failures` 다음의 `panther_monitor` 데이터베이스.
2. 스키마가 이벤트를 파싱하지 못한 이유를 파악하세요. 분류 실패의 일반적인 원인은 다음과 같습니다:
   * 다음이 있는 필드 `required:true` 일부 수신 데이터에 존재하지 않았음
   * 다음 필드가 있습니다 `type:string` 하지만 실제로 수신된 데이터는 다음입니다 `object`
   * 타임스탬프 필드의 형식 정의가 잘못됨
   * 이 이벤트는 소스에 구성되지 않은 LogType이었습니다
   * 이벤트가 다른 방식으로 잘못된 형식이었습니다
3. [스키마를 업데이트하세요](/ko/data-onboarding/custom-log-types.md#editing-a-custom-schema) 필요한 경우.
4. 다음을 클릭하여 분류 실패 알러트를 해결하세요 **해결됨으로 표시**.

   <figure><img src="/files/0c150ecdec9f8e6f700e843386821f5818c201cd" alt="Under an &#x22;Overview&#x22; tab, a button labeled &#x22;Mark as Resolved&#x22; is circled."><figcaption></figcaption></figure>
5. 다음에서 **이벤트를 재처리하시겠습니까?** 나타나는 팝업 모달에서 분류에 실패한 이벤트를 다음 중 하나를 클릭하여 처리하세요:
   * **이벤트 재처리**: 분류에 실패한 이벤트가 다시 처리됩니다.\
     ![Under a "Reprocess events?" header, a "Reprocess Events" button is circled.](/files/09655e10ba1c168bb74b5314fdd78cf5f2bc0b88)<br>

     <div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p>이벤트 재분류는 최근 15일 이내에 분류에 실패한 이벤트에 대해서만 가능합니다.</p><p>해결 중인 분류 실패 알러트에 최근 15일 이내에 수신된 이벤트와 15일보다 오래된 이벤트가 모두 포함되어 있다면, 전자만 재처리되고 후자는 무시됩니다.</p><p>재처리된 이벤트는 성공적으로 수집되는 시점에 수집 할당량에 포함됩니다.</p></div>

     * 재처리가 성공적으로 완료되면 다음을 받게 됩니다 [시스템 알림](/ko/system-configuration/notifications.md#system-notifications):\
       ![A rectangle with an "i" icon on the left side says, "Panther completed reclassifying logs for source \[Test Source\]"](/files/27347bec059bd9dbfe199dc58e941fb1b75e32a7)
     * 분류가 다시 실패하면 새 분류 실패 알러트를 받게 됩니다.
   * **재처리 건너뛰기**: 분류에 실패한 이벤트는 Panther에 수집되지 않습니다.

### S3 GetObject 오류 알림

Panther가 S3 객체를 가져오지 못하면 S3 GetObject 오류 알러트가 생성됩니다. 이 경우 기본적으로 다음 작업이 수행됩니다:

* Panther는 S3 객체를 데이터 레이크에 저장하며, Data Explorer에서 다음이라는 제목의 테이블로 조회할 수 있습니다 `panther_monitor.data_audit`.
* 지난 24시간 동안 Panther가 하나라도 S3 객체를 가져오지 못하면 알러트가 생성됩니다. 알러트에는 실패한 특정 S3 객체가 표시됩니다.

{% hint style="info" %}
이 유형의 오류는 Panther가 다음을 초과하는 로그 이벤트를 수집하려고 할 때 생성됩니다 [데이터 수집 크기 제한(15 MB)](/ko/data-onboarding.md#data-ingestion-size-limit). 유사한 오류는 CloudWatch, Azure Blob Storage, Google Cloud Storage(GCS)에도 생성됩니다.
{% endhint %}

### 알러트 전달 실패

Panther가 알러트를 대상지로 전달하지 못하면 알러트 전달 실패 알러트가 생성됩니다.

알러트 전달의 첫 시도가 실패하면 Panther는 자동으로 다시 전달을 시도합니다. 알러트 전달 실패가 일정 임계값을 초과하면 시스템 상태 알러트가 생성되어 다음을 수신하도록 구성된 모든 알러트 목적지로 전송됩니다 `시스템 오류` 알러트.

### Cloud Security 스캔 실패

Panther가 "access denied" 오류 때문에 클라우드 리소스를 스캔하지 못하면 Cloud Security 스캔 실패 알러트가 생성됩니다.

이는 스캔이 수행되도록 권한이 올바르게 구성되지 않았을 때 발생합니다. 이는 일반적으로 다음 시나리오 중 하나로 인해 발생합니다:

* 우리의 스캔 역할(`PantherAuditRole`)에 충분한 권한이 구성되어 있지 않습니다.
  * 이 역할의 권한은 거의 변경되지 않기 때문에 이는 매우 드문 경우입니다. 다음을 업데이트하면 해결할 수 있습니다 `PantherAuditRole` 를 최신 버전으로
* AWS Organizations의 서비스 제어 정책(SCP)이 스캔 역할의 스캔 수행을 차단하고 있습니다.
  * 이는 특정 리전이나 서비스에 대한 제한이 있는 SCP에서 흔히 발생합니다. 스캔 역할에 대한 예외를 추가하도록 SCP를 수정하거나, 특정 리전 또는 리소스 유형을 제외하도록 Cloud Security 통합을 수정하여 해결할 수 있습니다.
* AWS 리소스 기반 정책이 스캔 역할의 스캔 수행을 차단하고 있습니다.
  * AWS에서 권한은 양방향입니다.  `PantherAuditRole` 역할은 리소스에 접근할 수 있는 권한을 부여받을 수 있지만, 리소스 자체가 우리 역할의 접근 권한을 부여하지 않을 수 있습니다. 스캔 역할에 대한 예외를 추가하도록 리소스 기반 정책을 수정하거나, 특정 리소스 또는 리소스 유형을 제외하도록 Cloud Security 통합을 수정하여 해결할 수 있습니다.

알러트에는 스캔이 실패한 리소스와 스캔 실패를 유발한 AWS 오류가 표시됩니다:

<figure><img src="/files/ea1f16d5a14bbacf942e959c14a814868aff4697" alt="The image shows an alert in the Panther Console titled &#x22;Source [panther-account] has scanning errors.&#x22; The &#x22;Events&#x22; tab is open, and it includes metadata for the alert."><figcaption></figcaption></figure>

이 정보를 사용하면 정확한 권한 문제를 파악할 수 있습니다. 위 예시에서는 다음을 확인할 수 있습니다 `어떤 리소스 기반 정책도 kms:ListResourcetags 작업을 허용하지 않음`. 이는 문제가 리소스 기반 정책과 관련되어 있음을 나타냅니다.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.panther.com/ko/system-configuration/notifications/system-errors.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.