TACHYON Total Security 매체제어 이벤트
매체제어 이벤트 로그
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | risk | 위험도 | LOW, MEDIUM, HIGH |
| 문자열 | hostname | 호스트명 | |
| IP 주소 | local_ip | 로컬IP | |
| 문자열 | category | 분류 | 매체제어 |
| 문자열 | sub_category | 소분류 | 이벤트, 매체 사용, 일반 USB 사용, HID 장치 관리 |
| 문자열 | event_name | 이벤트명 | |
| 날짜 | event_time | 이벤트시각 | |
| 문자열 | group_name | 그룹명 | 예: 테스트팀 |
| 문자열 | user_name | 사용자명 | 예: 홍길동 |
| 문자열 | process_name | 프로세스명 | |
| 문자열 | file_name | 파일명 | 예: E:\jennifer |
| 문자열 | media_device_type | 매체장치유형 | |
| 문자열 | access_type | 접근유형 | 읽기, 쓰기, 읽기/쓰기 |
| 문자열 | exception_management | 예외관리 | 기본매체, 예외매체 |
| 문자열 | result | 결과 | 차단, 허용 |
| 문자열 | vid | VID | 예: 0781 |
| 문자열 | guid | 에이전트GUID | |
| 문자열 | serial_no | 시리얼번호 | |
| 문자열 | serial_key | 시리얼키 | 예: ABC10-AB2CD-00000-00000-E3456 |
| 문자열 | user_id | 사용자ID | 예: user1 |
| 문자열 | pc_name | PC명 | 예: DESKTOP-TEST001 |
| 문자열 | group_family_name | 그룹전체경로 | 예: 테스트기관@본부@부서@테스트팀 |
| 문자열 | group_code | 그룹코드 | 예: GRP001 |
| 문자열 | ip_addrs | IP목록 | 예: 192.0.2.1@ |
| 문자열 | local_mac | 로컬MAC | 예: AA:BB:CC:11:22:33 |
| 문자열 | mac_addrs | MAC목록 | 예: AA:BB:CC:11:22:33@ |
| 64비트 정수 | event_code | 이벤트코드 | |
| 문자열 | event_id | 이벤트ID | 예: T-262401-9001 |
| 날짜 | client_dt | 클라이언트시각 | |
| 32비트 정수 | client_dt_utc | UTC오프셋 | |
| 날짜 | server_dt | 서버시각 | |
| 문자열 | pid | PID | 예: 5591 |
| 문자열 | os_info | OS정보 | 예: Windows 10 |
활용 시나리오
최근 1시간 매체 차단 이벤트 목록
table *:TS_TACHYON*
| search _schema == "tachyon-total-security-device-control" and result == "차단"
| search _time >= now() - 1h
| fields event_time, hostname, user_name, pc_name, media_device_type, access_type
| sort -event_time
해석: 최근 차단된 매체 접근 시도의 사용자·PC·장치 유형·접근 방식을 확인합니다.