필드 탐지

변화하는 로그 데이터에서 예상치 못한 필드를 캡처

개요

필드 검색은 Panther에 연결한 로그 소스가 상위 단계에서 생성되는 이벤트의 구조를 변경하더라도 변경된 필드의 데이터를 잃지 않도록 보장하는 데 도움이 됩니다.

로그 소스 스키마는 들어오는 원시 이벤트가 Panther에서 어떻게 파싱되고 저장되는지를 정의하며, 특정 로그 유형에 대해 Panther가 어떤 필드를 찾을 것으로 예상해야 하는지를 설명합니다. 들어오는 이벤트에 해당 스키마에 정의되지 않은 필드가 포함된 경우:

필드 검색을 사용하지 않으면이 인식되지 않은 필드의 데이터는 삭제됩니다.
필드 검색을 사용하면필드가 식별되고 해당 데이터가 저장됩니다. 즉, 이후 이 필드의 데이터를 쿼리하고 이를 참조하는 탐지를 작성할 수 있습니다.

필드 검색은 다음에 대해 사용할 수 있습니다. 사용자 지정 로그 스키마 및 많은 Panther에서 관리하는 스키마.

필드 검색 사용 설정

사용자 지정 스키마에 대해 필드 검색 사용 설정

사용자 지정 스키마에서 필드 검색을 사용 설정하려면:

다음 사용자 지정 스키마 편집 지침을 따르고, 필드 검색 을 에서 기본 정보 섹션으로 전환했는지 확인하세요.

In a Basic Info section, a Field Discovery toggle is set to ON.

Panther에서 관리하는 스키마에 대해 필드 검색 사용 설정

Panther에서 관리하는 스키마의 필드 검색을 사용 설정하기 위해서는 별도의 작업이 필요하지 않습니다. 이를 지원하는 모든 스키마에서 기본적으로 사용 설정되어 있습니다. 특정 Panther에서 관리하는 스키마에서 필드 검색이 사용 설정되어 있는지 확인하려면 아래의 지침을 참조하세요.

필드 검색이 사용 설정되어 있는지 확인

필드 검색이 사용 설정되어 있는지 확인하려면( Panther에서 관리하는 스키마 또는 사용자 지정 스키마):

Panther 콘솔의 왼쪽 탐색 표시줄에서 구성 > 스키마.
를 클릭합니다. 필드 검색 열

In a table with four columns and two rows (excluding the header row), a column labeled "Field Discovery" is circled.

필드가 검색되었을 때 스키마가 변경되는 방식

필드가 검색되면:

사용자 지정 스키마의 경우: 검색된 필드를 포함하도록 스키마가 업데이트됩니다.
Panther에서 관리하는 스키마의 경우: 검색된 필드를 포함하도록 Panther 인스턴스의 스키마가 업데이트됩니다. 여러 Panther 인스턴스에서 해당 필드가 규칙적이고 안정적으로 검색되면, Panther에서 관리하는 스키마로 영구적으로 승격될 수 있습니다.

검색된 필드 재설정

스키마에서 이전에 검색된 모든 필드를 지우려면 필드 검색 끔 으로 전환한 다음 을 다시

하십시오. 검색된 필드는 즉시 삭제되며, Panther는 이후 들어오는 이벤트에서 필드를 다시 검색하기 시작합니다.

필드 이름의 특수 문자 처리

검색된 필드의 이름에 특수 문자, 즉 영숫자, 밑줄(_) 또는 대시(-)가 아닌 문자가 포함되어 있으면 아래 알고리즘을 사용하여 음역됩니다:

@ 를 at_sign
, 를 comma
` 를 backtick
' 를 apostrophe
$ 를 dollar_sign
* 를 asterisk
& 를 ambersand
! 를 exclamation
% 를 percent
+ 를 plus
/ 를 slash
\ 를 backslash
# 를 hash
~ 를 tilde
= 를 eq

또한 대시(-) 또는 숫자가 필드 이름의 첫 번째 문자이면 음역됩니다. 대시는 dash가 되며, 숫자는 철자로 표기됩니다(예: 7 는 seven).

다른 모든 ASCII 문자(포함하여 space)는 밑줄(_)로 대체됩니다. 비 ASCII 문자는 가장 가까운 ASCII 대응 문자로 음역됩니다.

이 음역은 필드 이름에만 영향을 미치며, 값은 수정되지 않습니다.

필드 검색의 제한 사항

현재 필드 검색에는 다음과 같은 제한 사항이 있습니다:

검색할 수 있는 최상위 필드의 최대 수는 2,000개입니다. 각 object 필드 내에서는 최대 1,000개의 필드를 검색할 수 있습니다.
- 전체적으로 검색된 필드 수에는 제한이 없습니다.
스키마가 csv 파서를 사용하고 있으며 헤더 없는 CSV 로그를 파싱하는 경우, 스키마의 구획 섹션에 포함된 필드만 검색됩니다. 스키마가
- 를 사용하는 경우에는 적용되지 않으며, CSV 로그를 csv 파서를 사용하고 있으며 헤더 없는 CSV 로그를 파싱하는 경우, 스키마의 파싱하고 헤더 가 있는 경우입니다.
스키마가 fastmatch 파서를 사용하고 있으며 헤더 없는 CSV 로그를 파싱하는 경우, 스키마의와 match 패턴 내부에 정의된 필드만 검색됩니다.
스키마가 regex 파서를 사용하고 있으며 헤더 없는 CSV 로그를 파싱하는 경우, 스키마의와 match 패턴 내부에 정의된 필드만 검색됩니다.

이전로그 소스 모니터링 다음수집 필터

마지막 업데이트 6일 전

도움이 되었나요?