수집 필터
스키마로 파싱되기 전 또는 후에 들어오는 데이터를 드롭하기
마지막 업데이트
도움이 되었나요?
스키마로 파싱되기 전 또는 후에 들어오는 데이터를 드롭하기
인제스션 필터를 사용하면 들어오는 데이터를 폐기해야 하는 조건, 즉 Panther에 인제스트되지 않아야 하는 조건을 정의할 수 있습니다. 이렇게 폐기된 데이터는 인제스션 할당량에 반영되지 않습니다. 이러한 필터는 이전에 비용 때문에 연결 시 전부 수집하기 어려웠던 대량 로그를 부분적으로 인제스트하는 데 유용할 수 있습니다.
필터링된 이벤트는 디텍션을 통과하지 않으며 나중에 쿼리하기 위해 데이터 레이크에 저장되지 않습니다. 필터를 구성한 후에는 필터링된 이벤트 볼륨을 모니터링.
Panther에는 두 가지 유형의 인제스션 필터가 있습니다:
원시 이벤트 필터: 로그 스키마에 의해 파싱되기 전에 데이터에 적용됩니다
자세한 내용은 원시 이벤트 필터.
정규화된 이벤트 필터: 로그 스키마에 의해 파싱된 후의 데이터에 적용됩니다
자세한 내용은 정규화된 이벤트 필터.
하나의 로그 소스에 대해 여러 개의 원시 또는 정규화된 필터가 정의된 경우, 필터가 실행되는 순서는 보장되지 않습니다.
원시 및 정규화된 이벤트 필터는 모두 포함 필터 또는 제외 필터로 생성할 수 있습니다.
포함 필터: 필터와 일치하는 이벤트는 인제스트됩니다(다른 필터에 의해 폐기되지 않는 한). 필터와 일치하지 않는 이벤트는 폐기됩니다.
제외 필터: 필터와 일치하는 이벤트는 폐기됩니다. 필터와 일치하지 않는 이벤트는 인제스트됩니다(다른 필터에 의해 폐기되지 않는 한).
마지막 업데이트
도움이 되었나요?
도움이 되었나요?