# 20200901의 액세스 로그
2020,09,01,10:35:23, SEND ,192.168.1.3,"PING"
2020,09,01,10:35:25, RECV ,192.168.1.3,"PONG"
2020,09,01,10:35:25, RESTART ,-,"시스템 재시작"
fields:
- name: timestamp
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
required: true
- 이름: 동작
type: string
required: true
- 이름: ip_address
type: string
indicators: [ip]
- name: message
type: string마지막 업데이트
도움이 되었나요?
도움이 되었나요?
parser:
csv:
# CSV 파일은 다양한 형태로 제공되며, 각 행을 분리할 구분 문자를 선택할 수 있습니다
delimiter: ","
# 값 주변의 공백을 제거합니다
trimSpace: true
# 'columns' 배열의 이름은 각 행의 열에 매핑됩니다.
# 열을 건너뛰고 싶다면, 같은 인덱스의 이름을 빈 문자열("")로 설정할 수 있습니다
columns:
- year
- month
- day
- time
- action
- ip_address
- message
# 접두사로 시작하는 줄은 건너뜁니다(예: 주석)
skipPrefix: "# "
# CSV 파일은 때때로 누락되었거나 N/A 데이터에 대한 자리표시자 값을 사용합니다.
# 'emptyValues'로 이러한 값을 정의할 수 있으며, 그러면 무시됩니다.
emptyValues: ["-"]
# 'expandFields' 지시문은 생성된 필드를 키/값 쌍에 주입하는 템플릿 문자열을 렌더링합니다
expandFields:
# 타임스탬프가 여러 열에 나뉘어 있으므로, RFC3339 형식으로 다시 조립해야 합니다
# 다음은 CSV 값의 필드를 대체하여 'timestamp' 필드를 추가합니다
timestamp: '%{year}-%{month}-%{day}T%{time}Z'
fields:
- name: timestamp
type: timestamp
timeFormats:
- rfc3339
isEventTime: true
required: true
- 이름: 동작
type: string
required: true
- 이름: ip_address
type: string
indicators: [ip]
- name: message
type: stringparser:
csv:
delimiter: ","
# 'hasHeader'를 true로 설정하고 'columns' 필드를 지정하지 않으면,
# Panther는 헤더의 값에서 열 이름을 설정합니다.
hasHeader: true
# 열 이름을 변경하고 싶다면 'expandFields' 지시문을 사용할 수 있습니다
expandFields:
# 헤더에 열 이름으로 '$cost'가 있고 이를 'cost_us_dollars'로 '정규화'하고 싶다고 가정해 보겠습니다
"cost_us_dollars": '%{$cost}'parser:
csv:
delimiter: ","
# 'hasHeader'를 true로 설정하면서 동시에 'columns' 필드를 지정하면,
# Panther는 헤더를 무시하고 'columns' 배열의 이름을 사용합니다
hasHeader: true
columns:
- foo
- bar
- baz