필드 발견
진화하는 로그 데이터에서 예기치 않은 필드를 캡처하기
개요
필드 검색은 Panther에 연결한 로그 소스가 업스트림에서 생성하는 이벤트의 구조를 변경할 경우 변경된 필드의 데이터를 잃지 않도록 도와줍니다.
로그 소스 스키마는 특정 로그 유형에 대해 Panther가 찾아야 할 필드를 지정함으로써 들어오는 원시 이벤트가 Panther에서 어떻게 파싱되고 저장되는지를 정의합니다. 들어오는 이벤트에 해당 스키마에 정의되지 않은 필드가 포함된 경우:
필드 검색이 비활성화된 경우이 인식되지 않은 필드의 데이터는 삭제됩니다.
필드 검색이 활성화된 경우해당 필드가 식별되고 그 데이터가 저장됩니다. 이는 이후에 이러한 필드의 데이터를 쿼리하고 해당 필드를 참조하는 탐지를 작성할 수 있음을 의미합니다.
필드 검색은 다음에 대해 사용할 수 있습니다 사용자 정의 로그 스키마 및 많은 Panther 관리 스키마.
필드 검색 활성화
사용자 정의 스키마에 대한 필드 검색 활성화
사용자 정의 스키마에 대해 필드 검색을 활성화하려면:
다음 사용자 정의 스키마 편집 지침을 따르되 반드시 필드 검색
켜짐(ON)안에 기본 정보 섹션을 참조하세요.
Panther 관리 스키마에 대한 필드 검색 활성화
Panther 관리 스키마에 대한 필드 검색을 활성화하기 위해 별도의 조치는 필요하지 않습니다—지원되는 모든 스키마에 대해 기본적으로 활성화되어 있습니다. 특정 Panther 관리 스키마에 대해 필드 검색이 활성화되어 있는지 확인하려면 아래 지침을 참조하세요.
필드 검색이 활성화되었는지 확인하기
(Panther 관리 또는 사용자 정의) 스키마에 대해 필드 검색이 활성화되어 있는지 확인하려면:
Panther 콘솔의 왼쪽 탐색 바에서 구성 > 스키마.
목록에서 필드 검색 활성화를 확인하려는 스키마를 찾고 해당 필드 검색 열의 값을 확인하세요.
필드가 검색될 때 스키마가 변경되는 방식
필드가 검색되면:
사용자 정의 스키마의 경우: 검색된 필드를 포함하도록 스키마가 업데이트됩니다.
Panther 관리 스키마의 경우: Panther 인스턴스의 스키마가 검색된 필드를 포함하도록 업데이트됩니다. 필드가 여러 Panther 인스턴스에서 규칙적이고 안정적으로 발견되면 Panther 관리 스키마로 영구히 승격될 수 있습니다.
필드 이름의 특수 문자 처리
검색된 필드의 이름에 특수 문자가 포함된 경우—즉 영숫자, 밑줄(_), 또는 대시(-)가 아닌 문자—다음 알고리즘을 사용하여 음역됩니다:
@섹션에서at_sign,섹션에서comma`섹션에서backtick'섹션에서apostrophe$섹션에서dollar_sign*섹션에서asterisk&섹션에서ambersand!섹션에서exclamation%섹션에서percent+섹션에서plus/섹션에서slash\섹션에서backslash#섹션에서hash~섹션에서tilde=섹션에서eq
추가로, 대시(-) 또는 숫자가 필드 이름의 첫 문자인 경우에도 음역됩니다. 대시는 dash가 되고, 숫자는 철자로 표기됩니다(예: 7 가 됨). seven).
나머지 모든 ASCII 문자(공백 포함 space)는 밑줄(_)로 대체됩니다. 비ASCII 문자는 가장 가까운 ASCII 등가물로 음역됩니다.
이 음역은 필드 이름에만 적용되며 값은 수정되지 않습니다.
필드 검색의 제한사항
필드 검색은 현재 다음과 같은 제한이 있습니다:
검색될 수 있는 최상위 필드의 최대 수는 2,000입니다. 각
객체필드 내에서는 최대 1,000개의 필드를 검색할 수 있습니다.발견된 전체 필드 수에는 제한이 없습니다.
스키마가
csv파서를 사용하는 경우 헤더 없이 CSV 로그를 파싱하는 경우 스키마의열섹션에 포함된 필드만 검색됩니다.이는 스키마가
csv파서를 사용하는 경우 를 사용하고 있고 CSV 로그를 와 함께 사용할 수 없습니다. 헤더와 함께 파싱하는 경우에는 적용되지 않습니다.
스키마가
fastmatch파서를 사용하는 경우를 사용하는 경우에는매치패턴 내부에 정의된 필드만 검색됩니다.스키마가
regex파서를 사용하는 경우를 사용하는 경우에는매치패턴 내부에 정의된 필드만 검색됩니다.
Last updated
Was this helpful?