TACHYON Total Security 에이전트 이벤트
에이전트 이벤트 로그
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | risk | 위험도 | LOW, MEDIUM, HIGH |
| 문자열 | hostname | 호스트명 | |
| IP 주소 | local_ip | 로컬IP | |
| 문자열 | category | 분류 | 에이전트 |
| 문자열 | sub_category | 소분류 | 이벤트, 무결성 검증, 자체검증, 로그 수집 |
| 문자열 | event_name | 이벤트명 | |
| 날짜 | event_time | 이벤트시각 | |
| 문자열 | group_name | 그룹명 | 예: 테스트팀 |
| 문자열 | user_name | 사용자명 | 예: 홍길동 |
| 문자열 | target_file | 대상파일 | |
| 문자열 | result | 결과 | 성공, 실패 |
| 문자열 | guid | 에이전트GUID | |
| 문자열 | serial_key | 시리얼키 | 예: ABC10-AB2CD-00000-00000-E3456 |
| 문자열 | user_id | 사용자ID | 예: user1 |
| 문자열 | pc_name | PC명 | 예: DESKTOP-TEST001 |
| 문자열 | group_family_name | 그룹전체경로 | 예: 테스트기관@본부@부서@테스트팀 |
| 문자열 | group_code | 그룹코드 | 예: GRP001 |
| 문자열 | ip_addrs | IP목록 | 예: 192.0.2.1@ |
| 문자열 | local_mac | 로컬MAC | 예: AA:BB:CC:11:22:33 |
| 문자열 | mac_addrs | MAC목록 | 예: AA:BB:CC:11:22:33@ |
| 64비트 정수 | event_code | 이벤트코드 | |
| 문자열 | event_id | 이벤트ID | 예: T-16712227-0 |
| 날짜 | client_dt | 클라이언트시각 | |
| 32비트 정수 | client_dt_utc | UTC오프셋 | |
| 날짜 | server_dt | 서버시각 | |
| 문자열 | os_info | OS정보 | 예: Windows 10 |
활용 시나리오
최근 1시간 에이전트 이벤트 결과별 현황
table *:TS_TACHYON*
| search _schema == "tachyon-total-security-agent"
| search _time >= now() - 1h
| stats count by result, event_name
| sort -count
해석: 에이전트 이벤트의 성공·실패 여부와 이벤트 유형별 발생 건수를 확인합니다.