HFL-001 Langflow/Nginx Access Log
주요 필드
| Field | Meaning |
|---|---|
@timestamp | 요청 발생 시간 |
source.ip | 요청 출발지 IP |
http.request.method | HTTP method |
url.original | 원본 요청 URI |
url.path | path |
url.query | query string |
user_agent.original | User-Agent |
http.request.referrer | Referer |
http.response.status_code | HTTP 응답 코드 |
분석 포인트
- 일반 UI 실행은
POST /api/v1/build/{flow_id}/flow?...형태로 관측된다. - 직접
/api/v1/validate/code호출은 일반 UI 흐름이 아니라 직접 API 접근으로 분류한다. User-Agent,Referer,url.original을 함께 봐야 정상 개발자 동작과 직접 API 악용을 구분할 수 있다.sqlmap,../,169.254.169.254,internal-docs, command injection pattern은 의심/공격 예시다.
KQL
event.dataset : "nginx.access" and url.original : "/api/v1/validate/code"event.action : ("langflow_flow_build" or "langflow_rce_attempt")Investigation Pivot
source.ip -> user_agent.original -> url.original -> http.request.referrer -> 동일 출발지의 직전/직후 web attack event.