필드 탐색

변화하는 로그 데이터에서 예상치 못한 필드 캡처하기

개요

필드 디스커버리는 Panther에 연결한 로그 소스가 상류에서 생성하는 이벤트의 구조를 변경할 경우 변경된 필드의 데이터를 잃지 않도록 도와줍니다.

로그 소스 스키마는 주어진 로그 유형에 대해 Panther가 찾아야 한다고 예상하는 필드를 개략적으로 설명하여 수신된 원시 이벤트가 Panther에서 어떻게 파싱되고 저장되는지 정의합니다. 수신된 이벤트에 해당 스키마에 정의되지 않은 필드가 포함된 경우:

필드 디스커버리가 활성화되지 않은 경우, 이 인식되지 않은 필드의 데이터는 삭제됩니다.
필드 디스커버리가 활성화된 경우, 해당 필드가 식별되고 그 데이터가 저장됩니다. 이는 이후에 이러한 필드의 데이터를 쿼리하고 이를 참조하는 디택션을 작성할 수 있음을 의미합니다.

필드 디스커버리는 다음에 대해 사용할 수 있습니다 사용자 정의 로그 스키마 및 많은 Panther 관리 스키마.

사용자 정의 스키마에 대해 필드 디스커버리를 활성화하려면:

Panther 관리 스키마의 경우 필드 디스커버리를 활성화하기 위한 조치는 필요하지 않습니다—지원되는 모든 스키마에 대해 기본적으로 활성화되어 있습니다. 특정 Panther 관리 스키마에 대해 필드 디스커버리가 활성화되어 있는지 확인하려면, 아래 지침을.

(Panther 관리 또는 사용자 정의) 스키마에 대해 필드 디스커버리가 활성화되었는지 확인하려면:

필드가 디스커버되면:

사용자 정의 스키마의 경우: 스키마가 디스커버된 필드를 포함하도록 업데이트됩니다.
Panther 관리 스키마의 경우: Panther 인스턴스의 스키마가 디스커버된 필드를 포함하도록 업데이트됩니다. 필드가 여러 Panther 인스턴스에서 규칙적이고 안정적으로 디스커버되는 경우 해당 필드는 Panther 관리 스키마에 영구적으로 승격될 수 있습니다.

디스커버된 필드의 이름에 특수 문자(즉 영숫자, 밑줄(_) 또는 대시(-)가 아닌 문자)가 포함된 경우, 아래 알고리즘을 사용하여 음역(전사)됩니다:

추가로, 필드 이름의 첫 번째 문자가 대시(-) 또는 숫자인 경우에도 음역됩니다. 대시는 dash가 되고 숫자는 철자로 표기됩니다(예: 7 가 됨 seven).

모든 기타 ASCII 문자(포함 space)는 밑줄(_)로 대체됩니다. 비 ASCII 문자는 가장 가까운 ASCII 등가물로 음역됩니다.

이 음역은 필드 이름에만 영향을 미치며 값은 수정되지 않습니다.

필드 디스커버리는 현재 다음과 같은 제한이 있습니다:

디스커버될 수 있는 최상위 필드의 최대 수는 2,000입니다. 각 객체 필드 내에서는 최대 1,000개의 필드를 디스커버할 수 있습니다.
- 디스커버된 전체 필드 수에는 제한이 없습니다.
스키마가 csv 파서를 사용하고 헤더 없이 CSV 로그를 파싱하는 경우, 스키마의 열 섹션에 포함된 필드만 디스커버됩니다.
- 이것은 스키마가 csv 파서를 사용하고 를 사용하고 있고 CSV 로그를 헤더와 함께 파싱하는 경우에는 적용되지 않습니다.
스키마가 fastmatch 파서를 사용하고를 사용하는 경우, 일치 패턴 내부에 정의된 필드만 디스커버됩니다.
스키마가 regex 파서를 사용하고를 사용하는 경우, 일치 패턴 내부에 정의된 필드만 디스커버됩니다.

마지막 업데이트 14일 전

도움이 되었나요?