수집 필터
파싱 전 또는 스키마로 파싱된 후 들어오는 데이터를 삭제
마지막 업데이트
도움이 되었나요?
파싱 전 또는 스키마로 파싱된 후 들어오는 데이터를 삭제
수집 필터를 사용하면 유입되는 데이터를 어떤 조건에서 버릴지, 즉 Panther로 수집하지 않을지를 정의할 수 있습니다. 이렇게 버려진 데이터는 수집 할당량에 반영되지 않습니다. 따라서 이러한 필터는 Panther와 연결했을 때 이전에는 비용이 너무 많이 들었을 수 있는 대용량 로그를 부분적으로 수집하는 데 유용할 수 있습니다.
필터링된 이벤트는 탐지를 통과하지 않으며, 나중에 조회할 수 있도록 데이터 레이크에 저장되지도 않습니다. 필터를 구성한 후에는 필터링된 이벤트 حجم 모니터링.
Panther에는 두 가지 유형의 수집 필터가 있습니다:
원시 이벤트 필터: 로그 스키마로 파싱되기 전에 데이터에 적용됩니다
다음에서 자세히 알아보기 원시 이벤트 필터.
정규화된 이벤트 필터: 로그 스키마로 파싱된 후 데이터에 적용됩니다
다음에서 자세히 알아보기 정규화된 이벤트 필터.
로그 소스에 대해 여러 개의 원시 또는 정규화된 필터가 정의되어 있으면, 실행 순서는 보장되지 않습니다.
원시 및 정규화된 이벤트 필터는 모두 포함 필터 또는 제외 필터로 생성할 수 있습니다.
포함 필터: 필터와 일치하는 이벤트는 수집됩니다(다른 필터에 의해 버려지지 않는 한). 필터와 일치하지 않는 이벤트는 버려집니다.
제외 필터: 필터와 일치하는 이벤트는 버려집니다. 필터와 일치하지 않는 이벤트는 수집됩니다(다른 필터에 의해 버려지지 않는 한).
마지막 업데이트
도움이 되었나요?
도움이 되었나요?