Custom 로그

샘플 로그에서 사용자 지정 스키마 추론하기

Panther Console에 샘플 로그를 업로드하여 스키마를 생성할 수 있습니다. 대신 명령줄을 사용하려면 여기의 pantherlog CLI 도구 사용 지침.

을 따르세요. 시작하려면 다음 단계를 따르세요:

1. Panther Console에 로그인합니다.

2. 왼쪽 탐색 모음에서 Configure > Schemas를 클릭합니다.

3. 페이지 오른쪽 상단의 검색창 옆에서 새로 만들기.

4. 을 클릭합니다 Schema ID, 설명, 및 Reference URL.

   • Description은 테이블 관련 내용을 위한 것이며, Reference URL은 내부 리소스로 연결하는 데 사용할 수 있습니다.

5. 선택적으로 Field Discovery 를 토글을 클릭하여 활성화합니다 켜기. 자세한 내용은 Field Discovery.

6. 다음 Schema 섹션의 샘플 이벤트에서 스키마 추론 타일에서 Start.

7. 다음 Infer schema from sample logs 모달에서 라디오 버튼 중 하나를 클릭합니다:

   • 샘플 파일 업로드: 샘플 로그 세트를 업로드합니다: 시스템에서 파일을 팝업 모달로 끌어오거나 Select file 을 클릭하여 로그 파일을 선택합니다.

     • Panther는 스키마 추론 시 헤더 없는 CSV를 지원하지 않습니다. 단, Panther AI 가 활성화된 경우는 예외입니다.

   • 샘플 이벤트 붙여넣기: 편집기에 샘플 이벤트를 직접 붙여넣거나 입력합니다.

8. 파일을 업로드하면 Panther가 UI에 원시 로그를 표시합니다. 로그 줄을 확장해 전체 원시 로그를 볼 수 있습니다. 다른 샘플 세트를 추가하면 이전에 업로드한 샘플이 덮어써진다는 점에 유의하세요.

9. 적절한 스트림 유형 (각 유형의 예시는 여기에서 보기).

   • 자동: Panther가 적절한 스트림 유형을 자동으로 감지합니다.

   • 줄 단위: 이벤트는 줄 바꿈 문자로 구분됩니다.

   • JSON: 이벤트가 JSON 형식입니다.

   • JSON 배열: 이벤트가 JSON 객체 배열 안에 있습니다.

   • CloudWatch Logs: 이벤트가 CloudWatch Logs에서 왔습니다.

   • XML: 이벤트가 XML 형식.

10. JSON 로그를 업로드했다면 Infer Schema를 클릭합니다. (JSON이 아닌 로그를 업로드했고 Panther AI enabled, 이 활성화되어 있다면 Infer Schema with Panther AI를 클릭한 다음 Confirm).

    • 을 클릭합니다. Panther가 원시 샘플 로그에서 스키마 추론을 시작합니다.

    • Panther는 여러 타임스탬프 형식을 추론하려고 시도합니다.

    • 스키마가 생성되면 스키마 편집기 상자에 표시됩니다.

11. 업로드한 샘플 로그와 스키마에 가한 변경 사항에 대해 스키마가 제대로 작동하는지 확인하려면 테스트 실행.

    • 를 클릭합니다. 이 테스트는 스키마 구문이 올바른지, 그리고 Panther에 업로드한 로그 샘플이 스키마와 성공적으로 일치하는지를 검증합니다.

    • 테스트 결과를 보려면 View Events.

      • 를 클릭합니다. 성공적으로 일치한 모든 로그는 Matched아래에 표시되며, 각 로그에는 열, 필드 및 JSON 보기가 표시됩니다.

      • 일치하지 않은 모든 로그는 Unmatched아래에 표시되며, 각 로그에는 오류 메시지와 원시 로그가 표시됩니다.

12. 을 클릭한 다음 저장 를 클릭하여 스키마를 게시합니다.

Panther에서 수신한 S3 데이터로부터 사용자 지정 스키마 추론하기

S3 버킷에서 Panther로 스트리밍되는 라이브 데이터로부터 사용자 지정 로그 소스용 스키마를 생성하고 게시할 수 있습니다. 먼저 S3 데이터 보기 를 수행한 다음 스키마 추론를 클릭한 다음 스키마 테스트.

원시 S3 데이터 보기

S3 버킷을 Panther에 온보딩한 후에는 Panther로 들어오는 원시 데이터를 보고 그로부터 스키마를 추론할 수 있습니다:

1. 다음 지침에 따라 S3 버킷을 Panther에 온보딩 하되, 스키마는 아직 설정하지 마세요.

2. 로그 소스의 개요 탭을 보는 동안 아래로 스크롤하여 데이터 분류를 시작하려면 스키마 연결 섹션의 명령을 실행합니다.

3. 을 찾습니다. 다음 옵션 중에서 선택하세요:

   • 기존 스키마를 추가하고 싶습니다: 이미 스키마를 만들었고 Panther가 로그를 읽을 S3 접두사를 알고 있다면 이 옵션을 선택합니다. 타일에서 Start 을 클릭합니다.

     • 다음과 같은 S3 접두사 및 스키마 팝업 모달이 표시됩니다:

   • 원시 이벤트에서 스키마를 생성하고 싶습니다: 이 버킷의 라이브 데이터에서 스키마를 생성하고 Panther가 로그를 읽을 접두사를 정의하려면 이 옵션을 선택합니다. Start 을 클릭합니다.

     • 를 클릭합니다. Panther로 데이터 스트리밍이 시작되기까지 최대 15분이 걸릴 수 있습니다.

     • 이동한 페이지의 화면 하단에서 Panther가 수신한 원시 데이터를 볼 수 있습니다:

       • 이 데이터는 data-archiver에서 표시되며, 이는 모든 S3 로그 소스의 원시 로그를 최대 15일 동안 보관하는 Panther 관리형 S3 버킷입니다.

       • S3 버킷에 배치된 원시 로그 이벤트 중 이후 에 Panther에서 소스를 구성한 것만 표시됩니다. 더 이전 시점을 보도록 기간을 설정했더라도 마찬가지입니다.

       • 원시 이벤트가 JSON 형식이면 왼쪽 열에서 View JSON 을 클릭해 JSON으로 볼 수 있습니다.

원시 데이터에서 스키마 추론

이전 섹션에서 원시 이벤트에서 스키마를 생성하고 싶습니다 를 선택했다면 이제 스키마를 추론할 수 있습니다.

1. 데이터가 Raw Events, 에 채워지기 시작하면, 상단의 문자열 Search, S3 Prefix, Excluded Prefix 및/또는 Time Period 필터를 사용하여 스키마를 추론할 이벤트를 필터링할 수 있습니다. Raw Events 섹션의 명령을 실행합니다.

2. 을 클릭한 다음 Infer Schema 에서 스키마를 생성하려면

3. 다음 Infer New Schema 팝업 모달에서 다음을 입력합니다:

   • 새 스키마 이름: 스키마가 게시되면 데이터 레이크의 테이블에 매핑될 스키마 이름입니다.

     • 이 이름은 항상 Custom. 으로 시작하며 그 뒤에는 대문자가 와야 합니다.

   • S3 접두사: 스키마 추론 전에 설정된 기존 접두사 또는 새 접두사를 사용합니다.

     • 선택한 접두사는 S3 버킷의 해당 접두사에서 스키마로 필터링된 데이터를 사용하게 합니다.

     • 특정 접두사를 지정할 필요가 없다면 이 필드를 비워 두어 *.

4. 을 클릭한 다음 Infer Schema.

   • 라는 캐치올 접두사를 사용할 수 있습니다. 페이지 상단에는 '<'schema name'>' was successfully inferred.

     • 을 클릭한 다음 Done.

   • 가 표시됩니다. 그러면 스키마는 테스트 후 프로덕션에 게시할 준비가 될 때까지 Draft 모드에 놓입니다.

5. 이름을 클릭하여 스키마와 해당 필드를 검토하세요.

   • 스키마가 Draft상태이므로 필요에 따라 필드를 변경, 제거 또는 추가할 수 있습니다.

원시 데이터로 스키마 테스트

스키마와 접두사가 정의되면 원시 데이터에 대해 스키마 구성을 테스트할 수 있습니다.

1. 다음 Test Schemas 섹션에서 테스트 실행.

2. 다음 Test Schemas 를 클릭합니다. 나타나는 Time Period 에서 스키마를 테스트할 기간을 선택한 후 Start Test.

   • 를 클릭합니다. 시간 범위와 데이터 양에 따라 테스트 완료까지 몇 분이 걸릴 수 있습니다.

   • 테스트가 시작되면 일치 및 불일치 이벤트 수와 함께 결과가 표시됩니다.

     • Matched Events 는 스키마 구성에 대해 성공적으로 분류될 이벤트 수를 나타냅니다.

     • Unmatched Events 는 스키마에 대해 분류되지 않을 이벤트 수를 나타냅니다.

3. 만약 Unmatched Events가 있다면 오류와 JSON을 검사하여 실패 원인을 파악하세요.

   • 을 클릭한 다음 Back to Schemas로 돌아가 필요에 따라 변경한 후 스키마를 다시 테스트합니다.

4. 을 클릭한 다음 Back to Schemas.

5. 오른쪽 상단 모서리에서 다음을 클릭합니다. 저장.

   • 이제 추론된 스키마가 로그 소스에 연결되었습니다.

과거 S3 데이터에서 사용자 지정 스키마 추론하기

S3 버킷의 과거 데이터(즉, Panther에서 로그 소스로 온보딩되기 전 에 버킷에 추가된 데이터)로부터 사용자 지정 S3 로그 소스용 하나 이상의 스키마를 추론하고 저장할 수 있습니다.

사전 요구 사항: S3 버킷을 Panther에 온보딩

• 다음 지침에 따라 S3 버킷을 Panther에 온보딩 하되, 스키마는 아직 설정하지 마세요.

  • S3 소스를 사용자 지정 IAM 역할로온보딩했다면, 해당 역할에는 ListBucket 권한이 있어야 합니다.

1단계: Panther에서 S3 버킷 구조 보기

Panther에서 S3 버킷 소스를 생성한 후에는 Panther Console에서 S3 버킷의 구조와 데이터를 볼 수 있습니다:

1. Panther Console의 왼쪽 탐색 모음에서 Configure > Log Sources.

2. S3 로그 소스를 클릭합니다.

3. 로그 소스의 개요 탭을 보는 동안 아래로 스크롤하여 데이터 분류를 시작하려면 스키마 연결 섹션의 명령을 실행합니다.

4. 오른쪽에서 버킷 데이터에서 스키마를 생성하고 싶습니다 타일에서 Start.

   

   • S3 버킷의 폴더 검사 화면으로 리디렉션됩니다. 여기에서 S3 버킷의 모든 폴더와 객체를 보고 탐색할 수 있습니다.

     
   • 또는 Panther에서 S3 소스를 온보딩 한 후 성공 페이지에서 S3 버킷의 폴더 검사에 접근할 수 있습니다. 해당 페이지에서 스키마 연결 또는 추론.

을 클릭합니다. 2단계: 데이터 탐색

• 폴더 검사를 보는 동안 객체를 클릭합니다.

  • 이벤트 미리보기를 표시하는 슬라이드아웃 패널이 나타납니다:

이벤트가 올바르게 렌더링되지 않는 경우(오류가 발생하거나 이벤트가 잘못 표시되는 경우), S3 버킷 소스에 잘못된 스트림 유형이 선택되었을 수 있습니다. 이 경우 Selected Logs Format is n:

을 클릭합니다. 3단계: 각 폴더에 기존 스키마가 있는지 또는 새로 추론해야 하는지 지정

버킷에 포함된 내용을 검토한 후 버킷의 모든 데이터를 표현하는 데 하나 이상의 스키마가 필요한지 결정할 수 있습니다. 다음으로, 구조가 서로 다른 데이터를 포함하는 폴더를 선택하여 새 스키마를 추론하거나 기존 스키마를 할당할 수 있습니다.

1. S3 버킷의 데이터로부터 하나 이상의 스키마를 추론해야 하는지 결정합니다.

   • S3 버킷의 모든 데이터 구조가 동일하다면(따라서 하나의 스키마로 표현 가능하다면), 버킷 수준에서 기본 Infer New Schema 옵션을 선택된 상태로 둘 수 있습니다. 이렇게 하면 버킷의 모든 데이터에 대해 단일 스키마가 생성됩니다.

     
   • S3 버킷에 여러 스키마로 분류해야 하는 데이터가 포함되어 있다면, 버킷의 각 폴더에 대해 아래 단계를 따르세요:

     1. 폴더를 선택하고 Include.

        • 를 클릭합니다. 또는 Panther가 처리하길 원하지 않는 에 설치해야 하며 폴더 또는 하위 폴더가 있다면 이를 선택하고 Exclude.

     2. 를 클릭합니다. 데이터와 일치하는 기존 스키마가 있다면 Schema 행 오른쪽의 드롭다운을 클릭한 다음 스키마를 선택합니다:

        • 기본적으로 새로 포함된 각 폴더에는 Infer New Schema 옵션이 선택되어 있습니다.

2. 을 클릭한 다음 Infer n 스키마.

4단계: 스키마 추론 완료 대기

스키마 추론 프로세스는 최대 15분이 걸릴 수 있습니다. 이 과정이 완료되는 동안 이 페이지를 떠날 수 있습니다. 또한 이 프로세스를 조기에 중지하고, 실행된 동안 추론된 스키마를 유지할 수도 있습니다.

5단계: 결과 검토

추론 프로세스가 완료되면 결과 스키마와 각 스키마 추론에 사용된 이벤트 수를 볼 수 있습니다. 또한 각 스키마가 원시 이벤트를 어떻게 파싱하는지 검증할 수 있습니다.

1. 각 행 오른쪽의 재생 아이콘을 클릭합니다.

   
2. 를 클릭합니다 Events 탭에서 원시 이벤트와 정규화된 이벤트를 확인합니다.

   
3. 를 클릭합니다 Schema 탭에서 생성된 스키마를 확인합니다.

   

6단계: 스키마 이름 지정 및 소스 저장

소스를 저장하기 전에 Add name.

을 클릭하여 새로 추론된 각 스키마에 고유한 이름을 지정합니다. 모든 새 스키마의 이름이 지정되면 오른쪽 상단에서 소스 저장 을 클릭할 수 있습니다.

Panther에서 수신한 HTTP 데이터로부터 사용자 지정 스키마 추론하기

HTTP(웹훅) 소스에서 Panther로 스트리밍되는 라이브 데이터로부터 사용자 지정 로그 소스용 스키마를 생성하고 게시할 수 있습니다. 먼저 HTTP 데이터 보기 를 수행한 다음 스키마 추론를 클릭한 다음 스키마 테스트.

원시 HTTP 데이터 보기

Panther에서 HTTP 소스 를 생성한 후, Panther로 들어오는 원시 데이터를 보고 그로부터 스키마를 추론할 수 있습니다:

1. 다음을 따르세요 HTTP 로그 소스 설정 지침 을 Panther에서 따르세요.

   • HTTP 소스 설정 중에는 스키마를 선택하지 마세요.

2. 로그 소스의 개요 탭을 보는 동안 아래로 스크롤하여 데이터 분류를 시작하려면 스키마 연결 섹션의 명령을 실행합니다.

3. 을 찾습니다. 다음 옵션 중에서 선택하세요:

   • 기존 스키마를 추가하고 싶습니다: 이미 스키마를 생성한 경우 이 옵션을 선택합니다. Start 을 클릭합니다.

     • 를 클릭합니다. 그러면 HTTP 소스 편집 페이지로 이동하며, 여기서 Schemas - Optional 필드에서 선택할 수 있습니다:

       
   • 스키마를 생성하고 싶습니다: 라이브 데이터에서 스키마를 생성하려면 이 옵션을 선택합니다. Start 을 클릭합니다.

     • 이벤트를 HTTP 엔드포인트에 POST한 후 Panther에 표시되기까지 몇 분 정도 기다려야 할 수 있습니다.

     • 이동한 페이지에서 Raw Events아래에 지난 1주일 내 Panther가 수신한 원시 데이터를 볼 수 있습니다:

       
     • 이 데이터는 data-archiver, 이는 원시 HTTP 소스 로그를 15일 동안 보관하는 Panther 관리형 S3 버킷입니다.

원시 데이터에서 스키마 추론

만약 스키마를 생성하고 싶습니다 를 선택했다면 이제 스키마를 추론할 수 있습니다.

1. 를 선택했다면 데이터가 Raw Events, 이 활성화되어 있다면 Infer Schema.

2. 다음 Infer New Schema 에 채워지기 시작하면, 나타나는 모달에 다음을 입력합니다:

   • 새 스키마 이름: 설명적인 이름을 입력합니다. 이름은 항상 Custom. 으로 시작하며 그 뒤에는 대문자가 와야 합니다.

3. 을 클릭한 다음 Infer Schema.

   • 라는 캐치올 접두사를 사용할 수 있습니다. 페이지 상단에는 '<'schema name'>' was successfully inferred.

4. 을 클릭한 다음 Done.

   • 으로 시작합니다. 스키마는 테스트 후 게시할 준비가 될 때까지 Draft 모드에 놓입니다.

5. 초안 스키마의 이름을 클릭하여 추론된 필드를 검토합니다.

   • 스키마가 Draft, 상태이므로 필요에 따라 필드를 추가, 제거하거나 그 외 변경을 할 수 있습니다.

원시 데이터로 스키마 테스트

스키마가 정의되면 원시 데이터에 대해 스키마 구성을 테스트할 수 있습니다.

1. 다음 Test Schemas 섹션에서 테스트 실행.

2. 다음 Test Schemas 팝업 모달에서 Time Period 에서 스키마를 테스트할 기간을 선택한 후 Start Test.

   • 를 클릭합니다. 시간 범위와 데이터 양에 따라 테스트 완료까지 몇 분이 걸릴 수 있습니다.

   • 테스트가 시작되면 일치 및 불일치 이벤트 수와 함께 결과가 표시됩니다.

     • Matched Events 는 스키마 구성에 대해 성공적으로 분류될 이벤트 수를 나타냅니다.

     • Unmatched Events 는 스키마에 대해 분류되지 않을 이벤트 수를 나타냅니다.

3. 만약 Unmatched Events가 있다면 오류와 JSON을 검사하여 실패 원인을 파악하세요.

   • 을 클릭한 다음 Back to Schemas로 돌아가 필요에 따라 변경한 후 스키마를 다시 테스트합니다.

4. 을 클릭한 다음 Back to Schemas.

5. 오른쪽 상단 모서리에서 다음을 클릭합니다. 저장.

   • 이제 추론된 스키마가 로그 소스에 연결되었습니다.

   • 을 선택합니다. 스키마를 추론하는 데 사용된, 스키마가 연결되기 전에 HTTP 소스로 전송된 로그 이벤트는 이후 Panther로 수집됩니다.

JSON 로그용 스키마 작성

각 줄이 JSON인 로그 파일을 파싱하려면 각 로그 항목의 구조를 설명하는 로그 스키마를 정의해야 합니다.

YAML 사양은 Panther Console에서 직접 편집할 수도 있고 원하는 편집기/IDE에서 오프라인으로 준비할 수도 있습니다. Log Schema의 구조와 필드에 대한 자세한 내용은 Log Schema Reference.

를 참조하세요. 또한 starlark 파서를 사용하여 JSON 로그에 대해 Panther가 기본적으로 지원하는 변환 외의 처리를 수행할 수도 있습니다..

아래 예시 스키마에서 첫 번째 탭은 JSON 로그 구조를 표시하고 두 번째 탭은 Log Schema를 보여줍니다.

XML 로그용 스키마 작성

Panther는 XML 로그를 JSON으로 중간 파싱하므로, JSON 로그 탭에 설명된 JSON 로그에 사용할 수 있는 모든 도구를 사용할 수 있습니다. Panther가 XML을 JSON으로 파싱하는 방법은 XML 스트림 유형를 참조한 다음 그에 맞게 스키마를 만드세요.

XML은 문자열 이외의 데이터 유형을 지원하지 않으므로, 해당 JSON 표현의 모든 값은 문자열로 표시된다는 점에 유의하세요(예: "ip": "192.168.1.100"). 스키마를 정의할 때 아래의 로그 스키마 예시처럼 각 필드에 적절한 유형을 사용할 수 있습니다.

텍스트 로그용 스키마 작성

Panther는 JSON/XML 형식으로 구조화되지 않은 로그를 각 로그 줄을 키/값 쌍으로 변환한 다음 나머지 파이프라인에 JSON으로 전달하는 'parser'를 사용하여 처리합니다. 텍스트 parser는 파서를 사용하여 JSON 로그에 대해 필드를 사용해 정의할 수 있습니다. Log Schema. Panther는 JSON/XML 형식이 아닌 로그에 대해 다음 parser를 제공합니다: