# 사용자 지정 로그

## 개요

Panther를 사용하면 사용자 지정 로그 스키마를 직접 정의할 수 있습니다. Panther로 사용자 지정 로그를 수집하려면 [데이터 전송](/ko/data-onboarding/data-transports.md),을/를 통해 수행할 수 있으며, 그러면 사용자 지정 스키마가 데이터를 정규화하고 분류합니다.

이 페이지에서는 필요한 사용자 지정 스키마 수를 결정하고, 사용자 지정 스키마를 추론하고, 작성하고, 관리하는 방법과 [Panther Analysis Tool (PAT)](/ko/panther/detections-repo/pat.md)을/를 사용하여 스키마를 업로드하는 방법을 설명합니다. 사용 방법에 대한 정보는 `pantherlog` 을/를 사용해 사용자 지정 스키마로 작업하는 방법은 [`pantherlog` CLI 도구](/ko/panther/pantherlog.md).

사용자 지정 스키마는 `Custom.` 접두사가 이름에 포함되어 식별되며, 기본적으로 지원되는 로그 유형이 사용되는 모든 곳에서 사용할 수 있습니다:

* 로그 수집
  * 사용자 지정 로그는 [데이터 전송](/ko/data-onboarding/data-transports.md) (예: HTTP 웹훅, S3, SQS, Google Cloud Storage, Azure Blob Storage)을 통해 온보딩할 수 있습니다
* 디택션
  * 사용자 지정 스키마에 대해 [룰 및 예약된 룰](/ko/detections/rules.md) 을/를 작성할 수 있습니다.
* 조사
  * 데이터를 [검색](/ko/search/search-tool.md) 및 [데이터 탐색기](/ko/search/data-explorer.md)에서 쿼리할 수 있습니다. 해당 스키마를 사용하는 소스를 온보딩하면 Panther가 사용자 지정 스키마용 새 테이블을 생성합니다.

## 필요한 사용자 지정 스키마 수 결정하기

사용자 지정 소스에서 들어오는 데이터를 표현하는 데 몇 개의 스키마가 필요한지 결정하는 확정적인 룰은 없습니다. 이는 다양한 로그 이벤트의 의도와 그 사이의 필드 중복 정도에 따라 달라지기 때문입니다.

일반적으로는 각 로그 유형의 형태를 자체 스키마로 표현하는 데 필요한 최소 개수의 스키마를 만드는 것이 권장됩니다(동일한 스키마로 표현할 수 있도록 로그 유형 간 일부 필드 차이의 여지는 허용). 경험칙은 다음과 같습니다. 서로 다른 두 유형의 로그(예: 애플리케이션 감사 로그와 보안 경고)가 필수 필드에서 50% 미만만 겹친다면, 서로 다른 스키마를 사용해야 합니다.

아래 표에서 예시 시나리오와 그에 해당하는 스키마 권장 사항을 확인하세요:

<table data-full-width="false"><thead><tr><th width="343">시나리오</th><th>스키마 권장 사항</th></tr></thead><tbody><tr><td>필드가 있는 한 가지 로그 유형이 있고 <code>A</code>, <code>B</code>, 및 <code>C</code>, 그리고 필드가 있는 다른 로그 유형이 있습니다 <code>X</code>, <code>Y</code>, 및 <code>Z</code>.</td><td><p>로그 유형별로 하나씩, 서로 다른 두 개의 스키마를 생성하세요.</p><p>기술적으로는 모든 필드(<code>A</code>, <code>B</code>, <code>C</code>, <code>X</code>, <code>Y</code>, <code>Z</code>)를 선택 사항으로 표시한 하나의 스키마를 만드는 것이 가능하지만(즉, <code>required: false</code>), 권장되지는 않습니다. 이후의 디택션 작성 및 검색 같은 작업이 더 어려워지기 때문입니다.</p></td></tr><tr><td>항상 필드가 있는 한 가지 로그 유형이 있고 <code>A</code>, <code>B</code>, 및 <code>C</code>, 그리고 항상 필드가 있는 다른 로그 유형이 있습니다 <code>A</code>, <code>B</code>, 및 <code>Z</code>.</td><td>필드를 포함한 하나의 스키마를 생성하고 <code>A</code> 및 <code>B</code> 는 필수로 표시하고 필드 <code>C</code> 및 <code>Z</code> 는 선택 사항으로 표시하세요.</td></tr></tbody></table>

필요한 스키마 수를 결정한 후에는 이를 정의할 수 있습니다.

{% hint style="info" %}
스키마가 두 개 이상 필요하다고 판단했고 Panther의 [스키마 추론 도구](#automatically-infer-the-schema-in-panther) 를 사용해 이를 생성하려는 경우, 다음 중 하나를 수행하는 것이 좋습니다:

* 다음을 사용하세요. [샘플 로그에서 사용자 지정 스키마 추론하기](#inferring-a-custom-schema-from-sample-logs) 방법을 서로 다른 로그 유형의 샘플로 여러 번 사용
* 구조가 다른 데이터를 S3 버킷의 별도 폴더로 전송한 다음, [과거 S3 데이터에서 사용자 지정 스키마 추론하기](#inferring-custom-schemas-from-historical-s3-data) 추론 방법을 사용

다음 중 하나인 [Panther에서 수신한 S3 데이터로부터 사용자 지정 스키마 추론하기](#inferring-a-custom-schema-from-s3-data-received-in-panther) 또는 [Panther에서 수신한 HTTP 데이터로부터 사용자 지정 스키마 추론하기](#inferring-a-custom-schema-from-http-data-received-in-panther) 방법을 사용하면, Panther가 소스로 전송된 모든 로그 유형을 나타내는 단일 스키마를 생성할 위험이 있습니다.
{% endhint %}

## 사용자 지정 스키마 정의 방법

{% hint style="info" %}
사용자 지정 로그 유형의 경우, Panther는 JSON, XML 또는 CSV(헤더 포함 또는 미포함) 형식으로 전송된 데이터 수집을 지원합니다.  [스키마 추론](#automatically-infer-the-schema-in-panther)의 경우 Panther는 헤더 없는 CSV를 지원하지 않습니다.
{% endhint %}

사용자 지정 스키마를 정의하는 방법은 여러 가지가 있습니다. 다음을 수행할 수 있습니다:

* 데이터에서 하나 이상의 스키마 추론: [Panther에서 스키마 자동 추론](#automatically-infer-the-schema-in-panther).
* 수동으로 스키마 생성: [직접 스키마 생성](#create-the-schema-yourself).

## Panther에서 스키마 자동 추론

스키마를 수동으로 작성하는 대신, Panther Console 또는 `pantherlog` CLI 도구를 사용해 데이터에서 스키마(또는 여러 스키마)를 추론할 수 있습니다.

Panther가 스키마를 추론할 때, 데이터 샘플에 다음이 있으면 유의하세요:

* 유형이 `object` 이며 필드가 200개를 초과하는 필드는 유형 `json`.
* 으로 분류됩니다. 데이터 유형이 혼합된 필드(즉, 여러 데이터 유형을 포함하는 배열이거나 필드 자체의 데이터 유형이 가변적인 경우)는 해당 필드가 유형 `json`.

### 스키마 추론 방법

Panther에서 스키마를 추론하는 방법은 여러 가지가 있습니다:

* Panther Console에서:
  * 업로드한 샘플 데이터에서 스키마를 추론하려면 아래의 [샘플 로그에서 사용자 지정 스키마 추론하기](#inferring-a-custom-schema-from-sample-logs) 탭을 참조하세요.
  * Panther에서 수신한 S3 데이터에서 스키마를 추론하려면 [Panther에서 수신한 S3 데이터로부터 사용자 지정 스키마 추론하기](#inferring-a-custom-schema-from-s3-data-received-in-panther) 탭을 참조하세요.
  * 을 참조하세요 [과거 S3 데이터에서 사용자 지정 스키마 추론하기](#inferring-custom-schemas-from-historical-s3-data) 탭을 참조하세요.
  * Panther에서 수신한 HTTP 데이터에서 스키마를 추론하려면 [Panther에서 수신한 HTTP 데이터로부터 사용자 지정 스키마 추론하기](#inferring-a-custom-schema-from-http-data-received-in-panther) 탭을 참조하세요.
* CLI 워크플로에서는:
  * 다음을 사용하세요. [`pantherlog infer`](/ko/panther/pantherlog.md#infer-generate-a-schema-from-json-log-samples) 명령을 사용합니다.

{% tabs %}
{% tab title="샘플 로그" %}
**샘플 로그에서 사용자 지정 스키마 추론하기**

Panther Console에 샘플 로그를 업로드하여 스키마를 생성할 수 있습니다. 대신 명령줄을 사용하려면 [여기의 pantherlog CLI 도구 사용 지침](/ko/panther/pantherlog.md#infer-generate-a-schema-from-json-log-samples).

을 따르세요. 시작하려면 다음 단계를 따르세요:

1. Panther Console에 로그인합니다.
2. 왼쪽 탐색 모음에서 **Configure > Schemas를 클릭합니다.**
3. 페이지 오른쪽 상단의 검색창 옆에서 **새로 만들기**.
4. 을 클릭합니다 **Schema ID**, **설명**, 및 **Reference URL**.
   * Description은 테이블 관련 내용을 위한 것이며, Reference URL은 내부 리소스로 연결하는 데 사용할 수 있습니다.
5. 선택적으로 **Field Discovery** 를 토글을 클릭하여 활성화합니다 `켜기`. 자세한 내용은 [Field Discovery](/ko/data-onboarding/field-discovery.md).
6. 다음 **Schema** 섹션의 **샘플 이벤트에서 스키마 추론** 타일에서 **Start**.
7. 다음 **Infer schema from sample logs** 모달에서 라디오 버튼 중 하나를 클릭합니다:
   * **샘플 파일 업로드**: 샘플 로그 세트를 업로드합니다: 시스템에서 파일을 팝업 모달로 끌어오거나 **Select file** 을 클릭하여 로그 파일을 선택합니다.
     * Panther는 스키마 추론 시 헤더 없는 CSV를 지원하지 않습니다. 단, [Panther AI](/ko/ai.md) 가 활성화된 경우는 예외입니다.
   * **샘플 이벤트 붙여넣기**: 편집기에 샘플 이벤트를 직접 붙여넣거나 입력합니다.\
     ![In the Panther Console, there is a screen labeled "Infer Schema from Sample Logs." At the bottom of the screen shot, there is a section to Drag and drop a file or select a file to upload.](/files/f5ab509fbc3bb418a521c6c8fb160e0db568ad36)
8. 파일을 업로드하면 Panther가 UI에 원시 로그를 표시합니다. 로그 줄을 확장해 전체 원시 로그를 볼 수 있습니다. 다른 샘플 세트를 추가하면 이전에 업로드한 샘플이 덮어써진다는 점에 유의하세요.
9. 적절한 **스트림 유형** ([각 유형의 예시는 여기에서 보기](/ko/data-onboarding/custom-log-types/reference.md#stream-type)).
   * **자동:** Panther가 적절한 스트림 유형을 자동으로 감지합니다.
   * **줄 단위:** 이벤트는 줄 바꿈 문자로 구분됩니다.
   * **JSON:** 이벤트가 JSON 형식입니다.
   * **JSON 배열:** 이벤트가 JSON 객체 배열 안에 있습니다.
   * **CloudWatch Logs:** 이벤트가 CloudWatch Logs에서 왔습니다.
   * **XML:** 이벤트가 [XML 형식](/ko/data-onboarding/custom-log-types/reference.md#xml-stream-type).
10. JSON 로그를 업로드했다면 **Infer Schema**를 클릭합니다. (JSON이 아닌 로그를 업로드했고 [Panther AI enabled](/ko/ai.md#enabling-panther-ai), 이 활성화되어 있다면 **Infer Schema with Panther AI**를 클릭한 다음 **Confirm**).
    * 을 클릭합니다. Panther가 원시 샘플 로그에서 스키마 추론을 시작합니다.
    * Panther는 여러 타임스탬프 형식을 추론하려고 시도합니다.
    * 스키마가 생성되면 스키마 편집기 상자에 표시됩니다.\
      ![](/files/b6c2a98baec889e49c49475125fe48683d9e5109)
11. 업로드한 샘플 로그와 스키마에 가한 변경 사항에 대해 스키마가 제대로 작동하는지 확인하려면 **테스트 실행**.
    * 를 클릭합니다. 이 테스트는 스키마 구문이 올바른지, 그리고 Panther에 업로드한 로그 샘플이 스키마와 성공적으로 일치하는지를 검증합니다.
    * 테스트 결과를 보려면 **View Events**.\
      ![On the left is a "Test" button. To its right is the text "Schema test against 1 total raw events completed," then a "View Events" button.](/files/5ed1da3a962cd2b8cba92d97cceda113b4ca5d32)
      * 를 클릭합니다. 성공적으로 일치한 모든 로그는 **Matched**아래에 표시되며, 각 로그에는 열, 필드 및 JSON 보기가 표시됩니다.
      * 일치하지 않은 모든 로그는 **Unmatched**아래에 표시되며, 각 로그에는 오류 메시지와 원시 로그가 표시됩니다.
12. 을 클릭한 다음 **저장** 를 클릭하여 스키마를 게시합니다.

{% hint style="info" %}
Panther는 업로드된 모든 로그에서 추론하지만, 스키마 생성 시 빠른 응답 시간을 보장하기 위해 최대 100개의 로그만 표시합니다.
{% endhint %}
{% endtab %}

{% tab title="Panther에서 수신한 S3 데이터" %}
**Panther에서 수신한 S3 데이터로부터 사용자 지정 스키마 추론하기**

S3 버킷에서 Panther로 스트리밍되는 라이브 데이터로부터 사용자 지정 로그 소스용 스키마를 생성하고 게시할 수 있습니다. 먼저 [S3 데이터 보기](#view-raw-s3-data) 를 수행한 다음 [스키마 추론](#infer-a-schema-from-raw-data)를 클릭한 다음 [스키마 테스트](#test-the-schema-with-raw-data).

**원시 S3 데이터 보기**

S3 버킷을 Panther에 온보딩한 후에는 Panther로 들어오는 원시 데이터를 보고 그로부터 스키마를 추론할 수 있습니다:

1. 다음 지침에 따라 [S3 버킷을 Panther에 온보딩](/ko/data-onboarding/data-transports/aws/s3.md) 하되, 스키마는 아직 설정하지 마세요.
2. 로그 소스의 **개요** 탭을 보는 동안 아래로 스크롤하여 **데이터 분류를 시작하려면 스키마 연결** 섹션의 명령을 실행합니다.\
   ![The source overview page reads, "Attach a schema to start classifying data". Below, there are two options, each with their own Start button: "I want to add an existing schema" and "I want to generate a schema from raw events"](/files/2292a7b703e9cd8b8fe4e82afaf8ccb19761e9e1)
3. 을 찾습니다. 다음 옵션 중에서 선택하세요:
   * **기존 스키마를 추가하고 싶습니다:** 이미 스키마를 만들었고 Panther가 로그를 읽을 S3 접두사를 알고 있다면 이 옵션을 선택합니다. 타일에서 **Start** 을 클릭합니다.
     * 다음과 같은 **S3 접두사 및 스키마** 팝업 모달이 표시됩니다:\
       ![On the S3 Prefixes & Filters screen, there is an area where you can enter a S3 prefix. There are additional buttons to "Add Exclusion Filters" and "Add schemas"](/files/622fb3bb16c89cc47daf1a4e5ad89fbdfd50a438)
   * **원시 이벤트에서 스키마를 생성하고 싶습니다:** 이 버킷의 라이브 데이터에서 스키마를 생성하고 Panther가 로그를 읽을 접두사를 정의하려면 이 옵션을 선택합니다.  **Start** 을 클릭합니다.
     * 를 클릭합니다. Panther로 데이터 스트리밍이 시작되기까지 최대 15분이 걸릴 수 있습니다.
     * 이동한 페이지의 화면 하단에서 Panther가 수신한 원시 데이터를 볼 수 있습니다:\
       ![The schema inference page is shown, with a Raw Events tile containing a number of raw JSON events in a table. In the leftmost column, each row has a "View JSON" button. The second column contains the raw events.](/files/6cfc8ce2fe383a2766681ddf4cc8bd027f1eef5c)
       * 이 데이터는 `data-archiver`에서 표시되며, 이는 모든 S3 로그 소스의 원시 로그를 최대 15일 동안 보관하는 Panther 관리형 S3 버킷입니다.
       * S3 버킷에 배치된 원시 로그 이벤트 중 *이후* 에 Panther에서 소스를 구성한 것만 표시됩니다. 더 이전 시점을 보도록 기간을 설정했더라도 마찬가지입니다.
       * 원시 이벤트가 JSON 형식이면 왼쪽 열에서 **View JSON** 을 클릭해 JSON으로 볼 수 있습니다.

**원시 데이터에서 스키마 추론**

이전 섹션에서 **원시 이벤트에서 스키마를 생성하고 싶습니다** 를 선택했다면 이제 스키마를 추론할 수 있습니다.

1. 데이터가 **Raw Events,** 에 채워지기 시작하면, 상단의 문자열 Search, S3 Prefix, Excluded Prefix 및/또는 Time Period 필터를 사용하여 스키마를 추론할 이벤트를 필터링할 수 있습니다. **Raw Events** 섹션의 명령을 실행합니다.
2. 을 클릭한 다음 **Infer Schema** 에서 스키마를 생성하려면\
   ![The image shows a section in the Panther Console labeled "Raw Events." On the right, there is a blue button labeled "Infer Schema." At the top of Raw Events, there is a Search bar, fields for S3 Prefix and Excluded Prefix, and a dropdown menu labeled Time Period.](/files/c5eb47c8344e4232cc1e7fbb7b946b6fb9f9ebbc)
3. 다음 **Infer New Schema** 팝업 모달에서 다음을 입력합니다:
   * **새 스키마 이름:** 스키마가 게시되면 데이터 레이크의 테이블에 매핑될 스키마 이름입니다.
     * 이 이름은 항상 `Custom.` 으로 시작하며 그 뒤에는 대문자가 와야 합니다.
   * **S3 접두사:** 스키마 추론 전에 설정된 기존 접두사 또는 새 접두사를 사용합니다.
     * 선택한 접두사는 S3 버킷의 해당 접두사에서 스키마로 필터링된 데이터를 사용하게 합니다.
     * 특정 접두사를 지정할 필요가 없다면 이 필드를 비워 두어 `*`.\
       ![The image shows a section in the Panther Console labeled "Infer New Schema." At the top, there is a header labeled "Fill in new Schema name" and a field labeled "New Schema Name." Below that, there is a header labeled "Select S3 prefix" and fields labeled "S3 Prefix". At the bottom, there is a blue button labeled "Infer Schema."](/files/d69d82735385605e2a682a0522fbdb536cae9474)
4. 을 클릭한 다음 **Infer Schema**.
   * 라는 캐치올 접두사를 사용할 수 있습니다. 페이지 상단에는 **'<'schema name'>' was successfully inferred**.
     * 을 클릭한 다음 **Done**.\
       ![The source page says the schema was successfully inferred. There is a Done button.](/files/8714692101a9f5f8e46d28facb876d518a18e310)
   * 가 표시됩니다. 그러면 스키마는 테스트 후 프로덕션에 게시할 준비가 될 때까지 **Draft** 모드에 놓입니다.
5. 이름을 클릭하여 스키마와 해당 필드를 검토하세요.\
   ![In the Schemas section, the schema called Custom.CaraS3Countries is shown, with a "Draft" label. Below it is a section to Test Schemas, with a Run Test button.](/files/7d8e1881cc0a4f093f0d1d6af3b84fdc30acd978)
   * 스키마가 **Draft**상태이므로 필요에 따라 필드를 변경, 제거 또는 추가할 수 있습니다.\
     ![The image shows an example schema from the Panther Console. There is a field labeled "SchemaID" and it contains the text "Custom.CaraS3Countries." The Reference URL field and Description field are not filled in. The schema is in a code block labeled "Event Schema." At the bottom, there is a blue button labeled "Validate Schema."](/files/fcbb7e1c35b569a8bfb925e35c1b947521806315)

**원시 데이터로 스키마 테스트**

스키마와 접두사가 정의되면 원시 데이터에 대해 스키마 구성을 테스트할 수 있습니다.

1. 다음 **Test Schemas** 섹션에서 **테스트 실행**.\
   ![The image shows a section in the Panther Console labeled "Test Schemas." On the right, there is a blue button labeled "Run Test."](/files/614cef5c7a8b4e4dda6eae07febf909be9e04244)
2. 다음 **Test Schemas** 를 클릭합니다. 나타나는 **Time Period** 에서 스키마를 테스트할 기간을 선택한 후 **Start Test**.\
   ![The image shows a section in the Panther Console labeled "Test Schemas." The center of the image contains the text "Test how your schemas perform during a selected time period." At the bottom, there is a drop-down menu labeled "Time Period" with the option "Last 14 days" selected. To the right of that, there is a blue button labeled "Start Test."](/files/183847d6d959e3bce43ce7d9df9295a0b040bd3d)
   * 를 클릭합니다. 시간 범위와 데이터 양에 따라 테스트 완료까지 몇 분이 걸릴 수 있습니다.\
     ![A section from the Panther Console labeled "Test finished - Elapsed Time 00min 00sec." The page shows Test Started Date, Events Date Start, Events Date End, Stream Type, Schemas Tested, Data Scanned, Matched Events, and Unmatched events.](/files/c2467fd28318dd1cb40b5127077351688be18e11)
   * 테스트가 시작되면 일치 및 불일치 이벤트 수와 함께 결과가 표시됩니다.
     * **Matched Events** 는 스키마 구성에 대해 성공적으로 분류될 이벤트 수를 나타냅니다.
     * **Unmatched Events** 는 스키마에 대해 분류되지 않을 이벤트 수를 나타냅니다.
3. 만약 **Unmatched Events**가 있다면 오류와 JSON을 검사하여 실패 원인을 파악하세요.\
   ![The "Test Finished" screen in the Panther Console shows a list of specific errors and raw data.](/files/b4a2c3a26cbbcd7bc797329ab6c83227e739518a)
   * 을 클릭한 다음 **Back to Schemas**로 돌아가 필요에 따라 변경한 후 스키마를 다시 테스트합니다.
4. 을 클릭한 다음 **Back to Schemas**.
5. 오른쪽 상단 모서리에서 다음을 클릭합니다. **저장**.\
   ![On the source page, the schema name is shown. In the upper right corner is a Save button, which is circled.](/files/0aa24466d31c486d3c673cdd7acbdb044b0fb30b)
   * 이제 추론된 스키마가 로그 소스에 연결되었습니다.
     {% endtab %}

{% tab title="과거 S3 데이터" %}
**과거 S3 데이터에서 사용자 지정 스키마 추론하기**

S3 버킷의 과거 데이터(즉, Panther에서 로그 소스로 온보딩되기 *전* 에 버킷에 추가된 데이터)로부터 사용자 지정 S3 로그 소스용 하나 이상의 스키마를 추론하고 저장할 수 있습니다.

**사전 요구 사항: S3 버킷을 Panther에 온보딩**

* 다음 지침에 따라 [S3 버킷을 Panther에 온보딩](/ko/data-onboarding/data-transports/aws/s3.md) 하되, 스키마는 아직 설정하지 마세요.
  * S3 소스를 [사용자 지정 IAM 역할로](/ko/data-onboarding/data-transports/aws/s3.md#i-want-to-set-everything-up-on-my-own)온보딩했다면, 해당 역할에는 `ListBucket` 권한이 있어야 합니다.

**1단계: Panther에서 S3 버킷 구조 보기**

Panther에서 S3 버킷 소스를 생성한 후에는 Panther Console에서 S3 버킷의 구조와 데이터를 볼 수 있습니다:

1. Panther Console의 왼쪽 탐색 모음에서 **Configure > Log Sources**.
2. S3 로그 소스를 클릭합니다.
3. 로그 소스의 **개요** 탭을 보는 동안 아래로 스크롤하여 **데이터 분류를 시작하려면 스키마 연결** 섹션의 명령을 실행합니다.
4. 오른쪽에서 **버킷 데이터에서 스키마를 생성하고 싶습니다** 타일에서 **Start**.

   ![Panther의 로그 소스 Overview 탭에는 "버킷 데이터에서 스키마를 생성하고 싶습니다"라고 표시된 타일 옆에 "Start" 버튼이 있습니다.](/files/40a251eba21411dbc0f650a9e645a3b42530cb07)

   * S3 버킷의 폴더 검사 화면으로 리디렉션됩니다. 여기에서 S3 버킷의 모든 폴더와 객체를 보고 탐색할 수 있습니다.

     <figure><img src="/files/917e86c4c3eaf26a5ddf6d91975b2dd6142cb7e4" alt="The folder inspection view in the Panther Console" width="563"><figcaption></figcaption></figure>
   * 또는 [Panther에서 S3 소스를 온보딩](/ko/data-onboarding/data-transports/aws/s3.md) 한 후 성공 페이지에서 S3 버킷의 폴더 검사에 접근할 수 있습니다. 해당 페이지에서 **스키마 연결 또는 추론**.\
     ![On the success screen after onboarding an S3 source in Panther, there is a button labeled "Attach or infer schemas."](/files/e90fecb77d6ffa39b1aadc5e8efabe7bc6fa7b5a)

**을 클릭합니다. 2단계: 데이터 탐색**

* 폴더 검사를 보는 동안 객체를 클릭합니다.
  * 이벤트 미리보기를 표시하는 슬라이드아웃 패널이 나타납니다:

<figure><img src="/files/9300800d69342c94d974404c4f1a237858395693" alt="In Panther, an S3 object is highlighted. A pop-over window is displaying a preview of its events." width="563"><figcaption></figcaption></figure>

이벤트가 올바르게 렌더링되지 않는 경우(오류가 발생하거나 이벤트가 잘못 표시되는 경우), S3 버킷 소스에 잘못된 스트림 유형이 선택되었을 수 있습니다. 이 경우 **Selected Logs Format is n**:

<figure><img src="/files/85cfa06c41e0ac3b8f0bdee17f4a3736d066e443" alt="On the source&#x27;s folder selection view in the Panther Console, the option to select a stream type appears at the top." width="563"><figcaption></figcaption></figure>

**을 클릭합니다. 3단계: 각 폴더에 기존 스키마가 있는지 또는 새로 추론해야 하는지 지정**

버킷에 포함된 내용을 검토한 후 버킷의 모든 데이터를 표현하는 데 하나 이상의 스키마가 필요한지 결정할 수 있습니다. 다음으로, 구조가 서로 다른 데이터를 포함하는 폴더를 선택하여 새 스키마를 추론하거나 기존 스키마를 할당할 수 있습니다.

1. S3 버킷의 데이터로부터 하나 이상의 스키마를 추론해야 하는지 결정합니다.
   * S3 버킷의 모든 데이터 구조가 동일하다면(따라서 하나의 스키마로 표현 가능하다면), 버킷 수준에서 기본 **Infer New Schema** 옵션을 선택된 상태로 둘 수 있습니다. 이렇게 하면 버킷의 모든 데이터에 대해 단일 스키마가 생성됩니다.

     <figure><img src="/files/1380a77c3aa53bd5ee68e7fb9d6b7b0fbf954d9c" alt="The &#x22;Infer 1 schema&#x22; button is in the upper right corner of the S3 folders page in the Panther Console." width="563"><figcaption></figcaption></figure>
   * S3 버킷에 여러 스키마로 분류해야 하는 데이터가 포함되어 있다면, 버킷의 각 폴더에 대해 아래 단계를 따르세요:
     1. 폴더를 선택하고 **Include**.
        * 를 클릭합니다. 또는 Panther가 처리하길 원하지 않는 *에 설치해야 하며* 폴더 또는 하위 폴더가 있다면 이를 선택하고 **Exclude**.\
          ![](/files/830c13bf92e44195ab516e7b84865f1478a80d7c)
     2. 를 클릭합니다. 데이터와 일치하는 기존 스키마가 있다면 **Schema** 행 오른쪽의 드롭다운을 클릭한 다음 스키마를 선택합니다:\
        ![The schema dropdown is expanded next to the data object.](/files/ab920021bc4d7832e4f9f74c7536be0e0c8d3eee)
        * 기본적으로 새로 포함된 각 폴더에는 **Infer New Schema** 옵션이 선택되어 있습니다.
2. 을 클릭한 다음 **Infer `n` 스키마**.\
   ![](/files/4c4ae01adfb05e0a61949009e621eaee013bc10b)

**4단계: 스키마 추론 완료 대기**

스키마 추론 프로세스는 최대 15분이 걸릴 수 있습니다. 이 과정이 완료되는 동안 이 페이지를 떠날 수 있습니다. 또한 이 프로세스를 조기에 중지하고, 실행된 동안 추론된 스키마를 유지할 수도 있습니다.

<figure><img src="/files/9a94770c4ef0a9af6e1732c720257be7c5525f68" alt="The source page in Panther shows the schema inference details, including an infer skipped and the number of events processed." width="563"><figcaption></figcaption></figure>

**5단계: 결과 검토**

추론 프로세스가 완료되면 결과 스키마와 각 스키마 추론에 사용된 이벤트 수를 볼 수 있습니다. 또한 각 스키마가 원시 이벤트를 어떻게 파싱하는지 검증할 수 있습니다.

1. 각 행 오른쪽의 재생 아이콘을 클릭합니다.

   <figure><img src="/files/7c2c653390113d2462c9056dcdd39a9f35691af7" alt="" width="563"><figcaption></figcaption></figure>
2. 를 클릭합니다 **Events** 탭에서 원시 이벤트와 정규화된 이벤트를 확인합니다.

   <figure><img src="/files/4c07169f34153c729471bdfc88ce2189edf50f5c" alt="" width="563"><figcaption></figcaption></figure>
3. 를 클릭합니다 **Schema** 탭에서 생성된 스키마를 확인합니다.

   <figure><img src="/files/965d941114e72496c9a88fb731373ee962c2e459" alt="" width="563"><figcaption></figcaption></figure>

**6단계: 스키마 이름 지정 및 소스 저장**

소스를 저장하기 전에 **Add name**.

<div align="center"><figure><img src="/files/808d55437f5312635f1f2f36dac52ce2e55a9109" alt="" width="563"><figcaption></figcaption></figure></div>

을 클릭하여 새로 추론된 각 스키마에 고유한 이름을 지정합니다. 모든 새 스키마의 이름이 지정되면 오른쪽 상단에서 **소스 저장** 을 클릭할 수 있습니다.
{% endtab %}

{% tab title="Panther에서 수신한 HTTP 데이터" %}
**Panther에서 수신한 HTTP 데이터로부터 사용자 지정 스키마 추론하기**

HTTP(웹훅) 소스에서 Panther로 스트리밍되는 라이브 데이터로부터 사용자 지정 로그 소스용 스키마를 생성하고 게시할 수 있습니다. 먼저 [HTTP 데이터 보기](#view-raw-http-data) 를 수행한 다음 [스키마 추론](#infer-a-schema-from-raw-data-1)를 클릭한 다음 [스키마 테스트](#test-the-schema-with-raw-data-1).

**원시 HTTP 데이터 보기**

Panther에서 [HTTP 소스](/ko/data-onboarding/data-transports/http.md) 를 생성한 후, Panther로 들어오는 원시 데이터를 보고 그로부터 스키마를 추론할 수 있습니다:

1. 다음을 따르세요 [HTTP 로그 소스 설정 지침](/ko/data-onboarding/data-transports/http.md#how-to-set-up-an-http-log-source-in-panther) 을 Panther에서 따르세요.
   * HTTP 소스 설정 중에는 스키마를 선택하지 마세요.
2. 로그 소스의 **개요** 탭을 보는 동안 아래로 스크롤하여 **데이터 분류를 시작하려면 스키마 연결** 섹션의 명령을 실행합니다.\
   ![The Overview tab of the detail page of an HTTP source called "HTTP Holding Tank" is shown. There is a Basic Info section with fields like Source ID, HTTP Ingest URL, etc. Below, there is a section titled "Attach a schema to start classifying data." Within it are two options: I want to add an existing schema, and I want to generate a schema.](/files/3c7c8c5fb5fd493fc8fa4272f6744e981f793a94)
3. 을 찾습니다. 다음 옵션 중에서 선택하세요:
   * **기존 스키마를 추가하고 싶습니다:** 이미 스키마를 생성한 경우 이 옵션을 선택합니다.  **Start** 을 클릭합니다.
     * 를 클릭합니다. 그러면 HTTP 소스 편집 페이지로 이동하며, 여기서 **Schemas - Optional** 필드에서 선택할 수 있습니다:

       <figure><img src="/files/443d4006b0fb40e2925ff4be4f8228ed14bccb02" alt="The edit page for an HTTP source is shown. In the Basic Information section, the &#x22;Schemas - Optional&#x22; dropdown field is open, but no selections have been made." width="375"><figcaption><p>HTTP 소스 편집 페이지</p></figcaption></figure>
   * **스키마를 생성하고 싶습니다:** 라이브 데이터에서 스키마를 생성하려면 이 옵션을 선택합니다.  **Start** 을 클릭합니다.
     * 이벤트를 HTTP 엔드포인트에 `POST`한 후 Panther에 표시되기까지 몇 분 정도 기다려야 할 수 있습니다.
     * 이동한 페이지에서 **Raw Events**아래에 지난 1주일 내 Panther가 수신한 원시 데이터를 볼 수 있습니다:

       <figure><img src="/files/2db34d286f8948ac032e25ab96789f95a187e7f2" alt="An HTTP source schema attachment page is shown. There is an arrow pointing to the section at the bottom, called &#x22;Raw Events.&#x22; Various JSON events are included in this section. There is a blue &#x22;Infer Schema&#x22; button."><figcaption><p>HTTP Raw events</p></figcaption></figure>
     * 이 데이터는 `data-archiver`, 이는 원시 HTTP 소스 로그를 15일 동안 보관하는 Panther 관리형 S3 버킷입니다.

**원시 데이터에서 스키마 추론**

만약 **스키마를 생성하고 싶습니다** 를 선택했다면 이제 스키마를 추론할 수 있습니다.

1. 를 선택했다면 데이터가 **Raw Events**, 이 활성화되어 있다면 **Infer Schema**.\
   ![An HTTP source schema attachment page is shown. There is a section at the bottom called "Raw Events." Various JSON events are included in this section. There is an arrow pointing to a blue "Infer Schema" button.](/files/bc668a1d6a11bd6c9b54f719cb4658a34c26d11f)
2. 다음 **Infer New Schema** 에 채워지기 시작하면, 나타나는 모달에 다음을 입력합니다:
   * **새 스키마 이름:** 설명적인 이름을 입력합니다. 이름은 항상 `Custom.` 으로 시작하며 그 뒤에는 대문자가 와야 합니다.
3. 을 클릭한 다음 **Infer Schema**.
   * 라는 캐치올 접두사를 사용할 수 있습니다. 페이지 상단에는 **'<'schema name'>' was successfully inferred**.
4. 을 클릭한 다음 **Done**.\
   ![Text reads "'Custom.HttpHoldingTank' was successfully inferred." Below, there is a Done button, which is circled.](/files/65c1513282d99e459953055ffe4f7a8988dbbe74)
   * 으로 시작합니다. 스키마는 테스트 후 게시할 준비가 될 때까지 **Draft** 모드에 놓입니다.
5. 초안 스키마의 이름을 클릭하여 추론된 필드를 검토합니다.\
   ![Under a "Schema(s)" header is "Custom.HttpHoldingTank" with a "Draft" label. It is circled.](/files/44574667a0469e4bc04a8bc16da94da1a406c0a2)
   * 스키마가 **Draft**, 상태이므로 필요에 따라 필드를 추가, 제거하거나 그 외 변경을 할 수 있습니다.\
     ![The edit schema view is shown. There are fields for Schema ID, Reference URL, and Description. Below, is the schema itself, in a code editor.](/files/e67540f18dd70e93094f15c1b2fec9d0ba0041fe)

**원시 데이터로 스키마 테스트**

스키마가 정의되면 원시 데이터에 대해 스키마 구성을 테스트할 수 있습니다.

1. 다음 **Test Schemas** 섹션에서 **테스트 실행**.\
   ![Under a "Schema(s)" header is "Custom.HttpHoldingTank" with a "Draft" label. In the bottom right corner, under a "Test Schemas" header, is a "Run Test" button, which is circled.](/files/e9e8c95912cc420bd4f0d648b69b7d985b19a2e1)
2. 다음 **Test Schemas** 팝업 모달에서 **Time Period** 에서 스키마를 테스트할 기간을 선택한 후 **Start Test**.\
   ![The "Test Schemas" modal has a "Time Period" dropdown selection and a "Start Test" button.](/files/36a5926750ab3ae75aa615ecc3c7ac2778f7f215)
   * 를 클릭합니다. 시간 범위와 데이터 양에 따라 테스트 완료까지 몇 분이 걸릴 수 있습니다.\
     ![The HTTP Source schema test page is shown. It shows "18 Matched Events" and "0 Unmatched Events." There is a blue "Back to Schemas" button.](/files/da7e59749f03d516386d18d832f296274a8a7ed4)
   * 테스트가 시작되면 일치 및 불일치 이벤트 수와 함께 결과가 표시됩니다.
     * **Matched Events** 는 스키마 구성에 대해 성공적으로 분류될 이벤트 수를 나타냅니다.
     * **Unmatched Events** 는 스키마에 대해 분류되지 않을 이벤트 수를 나타냅니다.
3. 만약 **Unmatched Events**가 있다면 오류와 JSON을 검사하여 실패 원인을 파악하세요.\
   ![A list of JSON logs is shown under an "Unmatched Events" header. There are two columns, "Raw Events" and "Error"](/files/49a6fd5b30a8e39eda3d7873cbe20f1dfceaaffb)
   * 을 클릭한 다음 **Back to Schemas**로 돌아가 필요에 따라 변경한 후 스키마를 다시 테스트합니다.
4. 을 클릭한 다음 **Back to Schemas**.
5. 오른쪽 상단 모서리에서 다음을 클릭합니다. **저장**.\
   ![The HTTP Source schema edit page is shown, and its "Save" button in the upper-right corner is circled.](/files/237285fa123c26141bcf2fda42b0cde2db42ce0d)
   * 이제 추론된 스키마가 로그 소스에 연결되었습니다.
   * 을 선택합니다. 스키마를 추론하는 데 사용된, 스키마가 연결되기 전에 HTTP 소스로 전송된 로그 이벤트는 이후 Panther로 수집됩니다.
     {% endtab %}
     {% endtabs %}

## 직접 스키마 생성

### 사용자 지정 스키마를 수동으로 생성하는 방법

사용자 지정 스키마를 수동으로 생성하려면:

1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **스키마**.
2. 오른쪽 상단 모서리에서 다음을 클릭합니다. **새로 만들기**.
3. 을 클릭합니다 **Schema ID**, **설명**, 및 **Reference URL**.
   * Description은 테이블 관련 내용을 위한 것이며, Reference URL은 내부 리소스로 연결하는 데 사용할 수 있습니다.
4. 선택적으로 **자동 필드 검색** 를 토글을 클릭하여 활성화합니다 `켜기`. 자세한 내용은 [Field Discovery](/ko/data-onboarding/field-discovery.md).
5. 다음 **Schema** 섹션의 **처음부터 스키마 생성** 타일에서 **Start**.
   * 그 **Schema** 섹션은 기본적으로 **Separate Sections**를 사용합니다. 전체 스키마를 하나의 편집기 창에 작성하려면 **Single Editor**.\
     ![To the right of a "Schema" header is a toggle with two values: Separate Sections and Single Editor.](/files/86332e94f5a1b60d87e9bb529033291c5be0acc5)
6. 다음 **를 클릭합니다. 스키마에** Parser **섹션에서** Default (JSON/XML)
   * [파서 외의 다른 파서가 필요하다면 이를 선택합니다. 다른 파서 옵션에 대한 자세한 내용은 다음 페이지를 참조하세요:](/ko/data-onboarding/custom-log-types/script-parser.md)
   * [Script Log Parser](/ko/data-onboarding/custom-log-types/fastmatch-parser.md)
   * [Fastmatch Log Parser](/ko/data-onboarding/custom-log-types/regex-parser.md)
   * [Regex Log Parser](/ko/data-onboarding/custom-log-types/csv-parser.md)
7. 다음 **CSV Log Parser** Fields & Indicators 섹션에 YAML 로그 스키마 필드를 작성하거나 붙여넣습니다.
   * 참조하세요 [스키마 작성](#writing-schemas) 에서 스키마 구성에 대해 자세히 알아보세요.
   * Panther가 생성한 [스키마 필드 제안](#schema-field-suggestions).
8. 을 사용할 수 있습니다. (선택 사항) **Universal Data Model** 섹션에서 스키마에 대한 Core Field 매핑을 정의합니다.
   * 자세한 내용은 [사용자 지정 로그 스키마에서 Core Field 매핑](/ko/search/panther-fields.md#mapping-core-fields-in-custom-log-schemas).
9. 을 참조하세요. 창 하단에서 **테스트 실행** 를 클릭하여 스키마에 오류가 없는지 확인합니다.
   * 구문 검사는 로그 스키마의 구문만 확인합니다. 이름 충돌로 인해 저장에 실패할 수 있다는 점에 유의하세요.
10. 을 클릭한 다음 **저장**.

이제 **Configure > Log Sources** 로 이동하여 새 소스를 추가하거나 기존 소스를 수정해 새로운 `Custom.SampleAPI` \_Log Type을 사용하도록 설정할 수 있습니다. Panther가 이 소스에서 이벤트를 수신하면 로그를 처리하고 `custom_sampleapi` 테이블에 저장합니다.

이제 이러한 로그와 일치하도록 [디택션](/ko/detections.md) 을 작성하고 이를 사용해 쿼리할 수도 있습니다. [검색](/ko/search/search-tool.md) 또는 [데이터 탐색기](/ko/search/data-explorer.md).

### 스키마 작성

아래 탭에서 JSON, XML 및 텍스트 로그용 스키마 작성 방법을 자세히 알아보세요.

{% tabs %}
{% tab title="JSON 로그" %}
**JSON 로그용 스키마 작성**

각 줄이 JSON인 로그 파일을 파싱하려면 각 로그 항목의 구조를 설명하는 로그 스키마를 정의해야 합니다.

YAML 사양은 Panther Console에서 직접 편집할 수도 있고 [원하는 편집기/IDE에서 오프라인으로 준비](/ko/data-onboarding/custom-log-types/reference.md#using-json-schema-in-an-ide)할 수도 있습니다.  *Log Schema*의 구조와 필드에 대한 자세한 내용은 [Log Schema Reference](/ko/data-onboarding/custom-log-types/reference.md).

를 참조하세요. 또한 [`starlark` 파서를 사용하여 JSON 로그에 대해](/ko/data-onboarding/custom-log-types/script-parser.md) Panther가 기본적으로 지원하는 [변환 외의 처리를 수행할 수도 있습니다.](/ko/data-onboarding/custom-log-types/transformations.md).

아래 예시 스키마에서 첫 번째 탭은 JSON 로그 구조를 표시하고 두 번째 탭은 Log Schema를 보여줍니다.

{% tabs %}
{% tab title="JSON 로그 예시" %}

```json
{
  "method": "GET",
  "path": "/-/metrics",
  "format": "html",
  "controller": "MetricsController",
  "action": "index",
  "status": 200,
  "params": [],
  "remote_ip": "1.1.1.1",
  "user_id": null,
  "username": null,
  "ua": null,
  "queue_duration_s": null,
  "correlation_id": "c01ce2c1-d9e3-4e69-bfa3-b27e50af0268",
  "cpu_s": 0.05,
  "db_duration_s": 0,
  "view_duration_s": 0.00039,
  "duration_s": 0.0459,
  "tag": "test",
  "time": "2019-11-14T13:12:46.156Z"
}
```

**축소된 JSON 로그 예시**:

{% hint style="info" %}
이것을 활용하세요 **축소된 JSON 로그 예시** 를 사용할 때 `pantherlog` 도구를 사용하거나 Panther Console에서 스키마를 생성할 때.
{% endhint %}

`{"method":"GET","path":"/-/metrics","format":"html","controller":"MetricsController","action":"index","status":200,"params":[],"remote_ip":"1.1.1.1","user_id":null,"username":null,"ua":null,"queue_duration_s":null,"correlation_id":"c01ce2c1-d9e3-4e69-bfa3-b27e50af0268","cpu_s":0.05,"db_duration_s":0,"view_duration_s":0.00039,"duration_s":0.0459,"tag":"test","time":"2019-11-14T13:12:46.156Z"}`
{% endtab %}

{% tab title="로그 스키마 예시" %}

```yaml
fields:
- 이름: time
  설명: 이벤트 타임스탬프
  required: true
  type: timestamp
  timeFormats: 
   - rfc3339
  isEventTime: true
- 이름: method
  description: 요청에 사용된 HTTP 메서드
  type: string
- 이름: path
  description: 요청에 사용된 경로
  type: string
- 이름: remote_ip
  description: 요청이 이루어진 원격 IP 주소
  type: string
  indicators: [ ip ] # 값이 유효한 IP 주소인 경우 `p_any_ip_addresses`에 추가됩니다
- 이름: duration_s
  description: 요청 완료에 걸린 시간(초)
  type: float
- 이름: format
  description: 응답 형식
  type: string
- 이름: user_id
  description: 요청을 보낸 사용자의 ID
  type: string
- 이름: params
  type: array
  element:
    type: object
    fields:
    - 이름: key
      description: 쿼리 매개변수의 이름
      type: string
    - 이름: value
      description: 쿼리 매개변수의 값
      type: string
- name: tag
  description: 요청 태그
  type: string
- 이름: ua
  description: UserAgent 헤더
  type: strinll
```

{% endtab %}
{% endtabs %}
{% endtab %}

{% tab title="XML 로그" %}
**XML 로그용 스키마 작성**

Panther는 XML 로그를 JSON으로 중간 파싱하므로, JSON 로그 탭에 설명된 JSON 로그에 사용할 수 있는 모든 도구를 사용할 수 있습니다. Panther가 XML을 JSON으로 파싱하는 방법은 [XML 스트림 유형](/ko/data-onboarding/custom-log-types/reference.md#xml-stream-type)를 참조한 다음 그에 맞게 스키마를 만드세요.

XML은 문자열 이외의 데이터 유형을 지원하지 않으므로, 해당 JSON 표현의 모든 값은 문자열로 표시된다는 점에 유의하세요(예: `"ip": "192.168.1.100"`). 스키마를 정의할 때 아래의 로그 스키마 예시처럼 각 필드에 적절한 유형을 사용할 수 있습니다.

{% tabs %}
{% tab title="XML 로그 예시" %}
원시 XML 로그:

```xml
<log>
    <id>12345</id>
    <timestamp>2023-11-14T13:12:46.156Z</timestamp>
    <event type="security" priority="high">
        <message>Unauthorized access attempt detected</message>
        <source>
            <ip>192.168.1.100</ip>
            <user>admin</user>
        </source>
        <details>
            <action>login_failed</action>
            <reason>invalid_credentials</reason>
        </details>
    </event>
</log>
```

{% endtab %}

{% tab title="JSON 대응 예시" %}
원시 XML 로그가 [JSON으로 변환되는 방법](/ko/data-onboarding/custom-log-types/reference.md#xml-stream-type):

```json
{
  "id": "12345",
  "timestamp": "2023-11-14T13:12:46.156Z",
  "event": {
    "type": "security",
    "priority": "high",
    "message": "Unauthorized access attempt detected",
    "source": {
      "ip": "192.168.1.100",
      "user": "admin"
    },
    "details": {
      "action": "login_failed",
      "reason": "invalid_credentials"
    }
  }
}
```

{% endtab %}

{% tab title="로그 스키마 예시" %}
이 로그를 파싱하는 로그 스키마는 다음과 같습니다:

```yaml
fields:
- name: id
  description: 고유 로그 식별자
  type: string
  required: true
- name: timestamp
  설명: 이벤트 타임스탬프
  type: timestamp
  timeFormats: 
   - rfc3339
  isEventTime: true
- 이름: event
  description: 이벤트 세부 정보
  type: object
  fields:
  - name: type
    description: 이벤트 유형
    type: string
  - 이름: priority
    description: 이벤트 우선순위 수준
    type: string
  - name: message
    description: 이벤트 메시지
    type: string
  - name: source
    description: 소스 정보
    type: object
    fields:
    - name: ip
      설명: 소스 IP 주소
      type: string
      indicators: [ ip ]
    - 이름: user
      description: 사용자 이름
      type: string
  - 이름: details
    description: 추가 이벤트 세부 정보
    type: object
    fields:
    - 이름: 동작
      description: 수행된 작업
      type: string
    - 이름: reason
      description: 작업 사유(해당되는 경우)
      type: string
```

{% endtab %}
{% endtabs %}
{% endtab %}

{% tab title="텍스트 로그" %}
**텍스트 로그용 스키마 작성**

Panther는 JSON/XML 형식으로 구조화되지 않은 로그를 각 로그 줄을 키/값 쌍으로 변환한 다음 나머지 파이프라인에 JSON으로 전달하는 'parser'를 사용하여 처리합니다. 텍스트 parser는 `파서를 사용하여 JSON 로그에 대해` 필드를 사용해 정의할 수 있습니다. *Log Schema*. Panther는 JSON/XML 형식이 아닌 로그에 대해 다음 parser를 제공합니다:

<table data-header-hidden><thead><tr><th width="182.74652099609375">이름</th><th>설명</th></tr></thead><tbody><tr><td>이름</td><td>설명</td></tr><tr><td><a href="/pages/cae8bdeef6e28bb00cb38ad360eab6e1233fca46">fastmatch</a></td><td>각 텍스트 줄을 하나 이상의 간단한 패턴과 비교</td></tr><tr><td><a href="/pages/8a97e8978c97e4697ef149dd876c74d65607784e">regex</a></td><td>조건부 필드, 대소문자 구분 없는 일치 등 더 복잡한 매칭을 처리하기 위해 정규식 패턴 사용</td></tr><tr><td><a href="/pages/01f08f7fb916d6e6271b1defdcce2ec984911171">csv</a></td><td>로그 파일을 CSV로 처리하여 열 이름을 필드 이름에 매핑</td></tr><tr><td><a href="/pages/a405ff2f3264c0dee39dc2a4d908e57abfa9993b">starlark</a></td><td>텍스트 로그를 파싱하거나 json 로그에 변환 수행</td></tr></tbody></table>
{% endtab %}
{% endtabs %}

### 스키마 필드 제안

사용자 지정 스키마를 만들거나 편집할 때 Panther가 생성한 필드 제안을 사용할 수 있습니다. 이 기능을 사용하려면:

1. Panther Console에서 YAML 스키마 편집기를 클릭합니다.
   * 기존 스키마를 편집하려면 **구성하세요.** > **스키마** > \[편집하려는 스키마 이름] > **편집**.
   * 새 스키마를 만들려면 **구성하세요.** > **스키마** > **새로 만들기**.
2. 다음을 누르세요 `Command+I` macOS에서(또는 `Control+I` PC에서).
   * 스키마 편집기는 텍스트 커서 위치에 따라 사용 가능한 속성과 작업을 표시합니다.

     ![YAML 스키마 편집기가 표시됩니다. 커서 아래에는 concat, copy, description, indicators, mask 등 다양한 필드 제안이 있는 상자가 있습니다.](/files/02a4b6f63ba1af99a73499a698f1c29c66188bb3)

## 사용자 지정 스키마 관리

### 사용자 지정 스키마 편집

Panther에서는 사용자 지정 스키마를 편집할 수 있습니다. 구체적으로 다음 작업을 수행할 수 있습니다:

* 새 필드 추가.
* 기존 필드 이름 바꾸기 또는 삭제.
* 기존 필드의 모든 속성 편집, 추가 또는 제거.
* 다음을 수정하여 `파서를 사용하여 JSON 로그에 대해` 구성으로 버그를 수정하거나 새 패턴을 추가합니다.
* [스키마 보관 또는 보관 해제](#archiving-and-unarchiving-a-custom-schema).
* [필드 탐지 활성화 또는 비활성화](/ko/data-onboarding/field-discovery.md#enabling-field-discovery-1).

{% hint style="info" %}
필드의 `유형`을 편집한 후 새로 수집되는 모든 데이터는 새 유형과 일치하고, 이전에 수집된 모든 데이터는 이전 유형을 유지합니다.
{% endhint %}

사용자 지정 스키마를 편집하려면:

1. Panther Console에서 사용자 지정 스키마의 세부 정보 페이지로 이동합니다.
2. 세부 정보 페이지의 오른쪽 상단에서 **편집**.

   <figure><img src="/files/9c36be919d130aaeface0633e0eb223cf8f30483" alt=""><figcaption></figcaption></figure>
3. 원하는 대로 스키마를 수정합니다.
   * Panther가 생성한 [스키마 필드 제안](#schema-field-suggestions).
   * 변경 사항을 더 쉽게 보려면(또는 삭제된 줄을 복사하거나 되돌리려면) **Single Editor,** 을 클릭한 다음 **Diff View**.

     <figure><img src="/files/538e3a1ea44a9e452105f81efcf7bc8aa262a147" alt="The Schema editor is shown, and the &#x22;Single Editor&#x22; and &#x22;Diff View&#x22; buttons are shown. One field has been changed, from event_time to new_name."><figcaption></figcaption></figure>
4. 오른쪽 상단에서 **Update**.

을 클릭한 다음 **테스트 실행** 를 클릭하여 YAML의 구조적 적합성을 확인합니다. 규칙은 **Update**를 클릭한 후에만 검사된다는 점에 유의하세요. 규칙을 따르지 않으면 업데이트가 거부됩니다.

#### 관련 탐지 및 저장된 쿼리 업데이트

스키마 필드를 편집하면 관련 탐지 및 저장된 쿼리를 업데이트해야 할 수 있습니다. **Related Detections** 를 스키마 편집기 위에 표시된 알러트 배너에서 클릭하면 영향을 받는 탐지 및 저장된 쿼리 목록을 보고, 업데이트하고, 테스트할 수 있습니다.

<figure><img src="/files/a9cb09c7aea8765d62b0061f1f844d8dd51663d5" alt="A schema&#x27;s name is shown, &#x22;Custom.A&#x22;—to its right are three buttons: Upload Sample Logs, Cancel, and Update."><figcaption></figcaption></figure>

#### **쿼리 관련 영향**

쿼리는 **Type** 에 대한 변경 전반에서 동작합니다. 단, 쿼리가 **Types**.

* **좋은 예**: **Type** 가 다음에서 편집됩니다 `string` 에서 `int` 로, 기존 값이 모두 숫자인 경우(즉, `"1"`). 함수 `sum` 을 사용하는 쿼리는 이전 값과 새 값을 함께 집계합니다.
* **나쁜 예**: **Type** 가 다음에서 편집됩니다 `string` 에서 `int` 기존 값 중 일부가 숫자가 아닌 경우(즉, `"apples"`). 함수 `sum` ) 숫자가 아닌 값을 제외합니다.

#### 쿼리 형변환 가능성 표

이 표는 쿼리를 실행할 때 각 **Types** 이 각 **Type** 으로 변환될 수 있는지 보여줍니다. 스키마 편집을 통해 모든 **Type** 를 다른 **Type**.

<table><thead><tr><th width="135">Type From -> To</th><th width="96">boolean</th><th width="86">string</th><th width="100">int</th><th width="102">bigint</th><th width="102">float</th><th>timestamp</th></tr></thead><tbody><tr><td>boolean</td><td>same</td><td>yes</td><td>yes</td><td>yes</td><td>no</td><td>no</td></tr><tr><td>string</td><td>yes</td><td>same</td><td>numbers only</td><td>numbers only</td><td>numbers only</td><td>numbers only</td></tr><tr><td>int</td><td>yes</td><td>yes</td><td>same</td><td>yes</td><td>yes</td><td>numbers only</td></tr><tr><td>bigint</td><td>yes</td><td>yes</td><td>yes</td><td>same</td><td>yes</td><td>numbers only</td></tr><tr><td>float</td><td>yes</td><td>yes</td><td>yes</td><td>yes</td><td>same</td><td>numbers only</td></tr><tr><td>timestamp</td><td>no</td><td>yes</td><td>no</td><td>no</td><td>no</td><td>same</td></tr></tbody></table>

### 사용자 지정 스키마 보관 및 보관 해제

Panther에서 사용자 지정 스키마를 보관하고 보관 해제할 수 있습니다. 데이터 수집에 더 이상 사용되지 않으며 Panther 전반의 다양한 드롭다운 선택기에 옵션으로 표시되지 않기를 원할 경우 스키마를 보관할 수 있습니다. 스키마를 보관하려면 어떤 로그 소스에도 사용 중이면 안 됩니다. 보관된 스키마는 계속 무기한 존재하며, 스키마를 영구적으로 삭제하는 것은 불가능합니다.

스키마를 보관해도 해당 스키마를 사용해 이미 수집되어 데이터 레이크에 저장된 데이터에는 영향을 주지 않습니다. 여전히 [데이터 탐색기](/ko/search/data-explorer.md) 및 [검색](/ko/search/search-tool.md)을 사용하여 쿼리할 수 있습니다. 기본적으로 보관된 스키마는 스키마 목록 보기( **구성하세요.** > **스키마**에서 표시됨)에 표시되지 않지만 **Status**를 **Filters**의 오른쪽 상단에서 수정하여 표시할 수 있습니다.  [데이터 탐색기](/ko/search/data-explorer.md)에서는 보관된 스키마의 테이블이 **Tables**.

아래에 표시되지 않습니다. 보관된 스키마와 같은 이름으로 새 스키마를 만들려고 하면 이름 충돌이 발생하며, 대신 기존 스키마를 보관 해제하고 편집하라는 메시지가 표시됩니다.

사용자 지정 스키마를 보관하거나 보관 해제하려면:

1. Panther Console에서 **구성하세요.** > **스키마**.
   * 보관하거나 보관 해제할 스키마를 찾습니다.
2. 스키마 행의 오른쪽에서 **Archive** 또는 **Unarchive** 아이콘을 클릭합니다.

   <figure><img src="/files/6b2ee6b98fd34e7f04b35cdb62f011159912cdd0" alt="Two schema rows are shown, one that is currently archived and one that is currently unarchived. The archive/unarchive icons in each of their rows is circled."><figcaption></figcaption></figure>

   * 스키마를 보관 중이며 현재 하나 이상의 로그 소스와 연결되어 있는 경우 확인 모달에서 먼저 스키마 연결을 해제하라는 메시지가 표시됩니다. 그렇게 한 후 **Refresh**.\
     ![An Archive Schema modal says, "Prior to archiving Custom.HarryPotterFake2, it must be detached from all associated Log Sources." A list of associated log sources is shown, with only one value: Carrie Tines Test](/files/9cb0d958a8b5e19fbe2ff31c9ce1f6d2c47c05cd)
3. 를 클릭합니다. 확인 모달에서 **계속**.

### 사용자 지정 스키마 테스트

{% hint style="info" %}
Panther Console의 Schema Edit 페이지에 있는 "샘플 로그에 대해 스키마 테스트" 기능은 Lines, CSV(헤더 포함 또는 미포함), JSON, JSON Array, XML, CloudWatch Logs, Auto를 지원합니다. [Stream Types](/ko/data-onboarding/custom-log-types/reference.md#stream-type) 의 예를 참조하세요.

또한 위의 로그 형식은 다음 형식으로 압축할 수 있습니다:

* gzip
* zstd(딕셔너리 없음)

여러 줄 로그는 JSON 및 JSONArray 형식에서 지원됩니다.
{% endhint %}

사용자 지정 스키마가 로그에 대해 작동하는지 검증하려면 샘플 로그로 테스트할 수 있습니다:

1. Panther Console의 왼쪽 탐색 모음에서 **Configure > Schemas**.
2. 사용자 지정 스키마 이름을 클릭합니&#xB2E4;**.**
3. 스키마 세부 정보 페이지의 오른쪽 상단에서 **스키마 테스트**.

   <figure><img src="/files/a8c61bfb3fe8f2e06722ea2d0f921ee7eb034adf" alt="A schema&#x27;s name is shown. To its right are two buttons: Test Schema and Clone."><figcaption></figcaption></figure>

## Panther Analysis Tool을 사용하여 로그 스키마 업로드

Panther Console 외부에서 로그 스키마를 관리하려는 경우, 예를 들어 버전 관리를 유지하고 업데이트 전에 변경 사항을 검토하기 위해, [Panther Analysis Tool](/ko/panther/detections-repo/pat.md) (PAT)을 사용하여 YAML 파일을 프로그래밍 방식으로 업로드할 수 있습니다.

업로더 명령은 인수로 기본 경로를 받고, 확장자가 `.yml` 및 `.yaml`.

{% hint style="info" %}
인 모든 파일을 재귀적으로 찾습니다. 관련 없는 파일과는 별도로 스키마 파일을 저장하는 것이 좋습니다. 그렇지 않으면 잘못된 스키마 파일을 업로드하려다 업로드 중 오류가 발생할 수 있습니다.
{% endhint %}

```
panther_analysis_tool update-custom-schemas --path ./schemas
```

업로더는 기존 스키마가 있는지 확인하고 업데이트를 진행하거나, 일치하는 스키마 이름을 찾지 못하면 새 스키마를 생성합니다.

{% hint style="warning" %}
그 `schema` 필드는 항상 YAML 파일에 정의되어야 하며, 업데이트가 성공하려면 기존 스키마 이름과 일치해야 합니다. 사용 가능한 모든 CI/CD 필드 목록은 우리의 [Log Schema Reference](https://docs.panther.com/data-onboarding/custom-log-types/reference#ci-cd-schema-fields).
{% endhint %}

PAT를 통해 업로드된 스키마는 Panther Console에서 수행한 업데이트와 동일한 기준으로 검증됩니다.

## 사용자 지정 로그 문제 해결

Panther Knowledge Base를 방문하여 [사용자 지정 로그 소스에 대한 문서 보기](https://help.panther.com/Data_Sources/Custom_Logs) 자주 묻는 질문에 대한 답변과 일반적인 오류 및 문제 해결에 도움이 되는 문서입니다.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/data-onboarding/custom-log-types.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.