필드 탐지

진화하는 로그 데이터에서 예상치 못한 필드를 캡처하기

개요

필드 디스커버리는 Panther에 연결한 로그 소스가 상류에서 생성하는 이벤트의 구조를 변경할 경우 변경된 필드의 데이터를 잃지 않도록 도와줍니다.

로그 소스 스키마는 특정 로그 유형에 대해 Panther가 찾아야 할 필드가 무엇인지 정의하여 들어오는 원시 이벤트가 Panther에서 어떻게 파싱되고 저장되는지를 규정합니다. 들어오는 이벤트에 해당 스키마에 정의되지 않은 필드가 포함된 경우:

필드 디스커버리가 활성화되어 있지 않으면, 이 인식되지 않은 필드의 데이터는 삭제됩니다.
필드 디스커버리가 활성화되어 있으면, 해당 필드가 식별되고 그 데이터가 저장됩니다. 이는 이후에 이러한 필드의 데이터를 쿼리하거나 이를 참조하는 디텍션을 작성할 수 있음을 의미합니다.

필드 디스커버리는 사용자 정의 로그 스키마 그리고 많은 Panther 관리형 스키마에서 사용할 수 있습니다.

Panther 관리형 스키마에 대한 필드 디스커버리는 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트나 기능 요청은 Panther 지원팀에 공유해 주세요.

필드 디스커버리 활성화

커스텀 스키마에 대한 필드 디스커버리 활성화

커스텀 스키마에 대해 필드 디스커버리를 활성화하려면:

다음 커스텀 스키마 편집 지침을 따르고 필드 디스커버리 켜기 에서 기본 정보 섹션의 명령을 실행하세요.

In a Basic Info section, a Field Discovery toggle is set to ON.

Panther 관리형 스키마에 대한 필드 디스커버리 활성화

Panther 관리형 스키마의 경우 필드 디스커버리를 활성화하기 위한 별도의 조치는 필요 없습니다—지원되는 모든 스키마에 대해 기본적으로 활성화되어 있습니다. 특정 Panther 관리형 스키마에 대해 필드 디스커버리가 활성화되어 있는지 확인하려면 아래 지침을 참조하세요.

필드 디스커버리 활성화 여부 확인

(Panther 관리형 또는 커스텀) 스키마에 대해 필드 디스커버리가 활성화되어 있는지 확인하려면:

Panther 콘솔의 왼쪽 탐색 창에서 구성 > 스키마.
목록에서 필드 디스커버리 활성화 여부를 확인하려는 스키마를 찾고 해당 스키마의 값란을 확인하세요 필드 디스커버리 열에서 확인할 수 있습니다.

In a table with four columns and two rows (excluding the header row), a column labeled "Field Discovery" is circled.

필드가 디스커버되었을 때 스키마가 변경되는 방식

필드가 디스커버되면:

커스텀 스키마의 경우: 스키마가 발견된 필드를 포함하도록 업데이트됩니다.
Panther 관리형 스키마의 경우: 귀하의 Panther 인스턴스 내 스키마가 발견된 필드를 포함하도록 업데이트됩니다. 필드가 여러 Panther 인스턴스에서 규칙적이고 안정적으로 발견되면 Panther 관리형 스키마에 영구적으로 승격될 수 있습니다.

필드 이름의 특수 문자 처리

발견된 필드의 이름에 특수 문자—즉 영숫자, 밑줄(_), 또는 대시(-)가 아닌 문자가 포함된 경우—는 아래 알고리즘을 사용해 음역됩니다:_),-)—

@ 에서 at_sign
, 에서 comma
` 에서 backtick
' 에서 apostrophe
$ 에서 dollar_sign
* 에서 asterisk
& 에서 ambersand
! 에서 exclamation
% 에서 percent
+ 에서 plus
/ 에서 slash
\ 에서 backslash
# 에서 hash
~ 에서 tilde
= 에서 eq

또한 필드 이름의 첫 글자가 대시(-) 또는 숫자인 경우에도 음역됩니다. 대시는-dash dash이며 숫자는 철자로 표기됩니다(예: 7 가 되면 모든 알러트 페이지를 순회할 수 있게 해주는) 페이지네이션에 대한 정보를 포함합니다. seven).

모든 다른 ASCII 문자(공백을 포함한 space)는 밑줄(_)로 대체됩니다._비-ASCII 문자는 가장 가까운 ASCII 등가물로 음역됩니다.

이 음역은 필드 이름에만 영향을 미치며 값은 수정되지 않습니다.

필드 디스커버리의 제한사항

필드 디스커버리는 현재 다음과 같은 제한사항이 있습니다:

디스커버할 수 있는 최상위 필드의 최대 개수는 2,000입니다. 각 object 필드 내에서는 최대 1,000개의 필드를 디스커버할 수 있습니다.
- 발견된 전체 필드 수에 대한 제한은 없습니다.
스키마가 csv 파서를 사용하고 있고 헤더 없는 CSV 로그를 파싱하는 경우 스키마의 columns 섹션에 포함된 필드만 디스커버됩니다. 이것은 스키마가
- 를 사용하고 있고 CSV 로그를 csv 파서를 사용하고 있고 헤더 없는 CSV 로그를 파싱하는 경우 스키마의 파싱할 때는 적용되지 않습니다 에서 생성된 검색은 헤더가 있는
스키마가 fastmatch 파서를 사용하고 있고 헤더 없는 CSV 로그를 파싱하는 경우 스키마의을 사용하는 경우, match 패턴 내에 정의된 필드만 디스커버됩니다.
스키마가 regex 파서를 사용하고 있고 헤더 없는 CSV 로그를 파싱하는 경우 스키마의을 사용하는 경우, match 패턴 내에 정의된 필드만 디스커버됩니다.

이전로그 소스 모니터링 다음수집 필터

마지막 업데이트 2개월 전

도움이 되었나요?

hashtag개요

hashtag필드 디스커버리 활성화

hashtag커스텀 스키마에 대한 필드 디스커버리 활성화

hashtagPanther 관리형 스키마에 대한 필드 디스커버리 활성화

hashtag필드 디스커버리 활성화 여부 확인

hashtag필드가 디스커버되었을 때 스키마가 변경되는 방식

hashtag필드 이름의 특수 문자 처리

hashtag필드 디스커버리의 제한사항

개요