# 수집 필터

## 개요

인제스션 필터를 사용하면 들어오는 데이터를 폐기해야 하는 조건, 즉 Panther에 인제스트되지 않아야 하는 조건을 정의할 수 있습니다. 이렇게 폐기된 데이터는 인제스션 할당량에 반영되지 않습니다. 이러한 필터는 이전에 비용 때문에 연결 시 전부 수집하기 어려웠던 대량 로그를 부분적으로 인제스트하는 데 유용할 수 있습니다.

필터링된 이벤트는 디텍션을 통과하지 않으며 나중에 쿼리하기 위해 데이터 레이크에 저장되지 않습니다. 필터를 구성한 후에는 [필터링된 이벤트 볼륨을 모니터링](https://docs.panther.com/ko/monitoring-log-sources#viewing-filtered-event-volume).

## 인제스션 필터의 종류

### 원시 이벤트 대 정규화된 이벤트 필터

Panther에는 두 가지 유형의 인제스션 필터가 있습니다:

* **원시 이벤트 필터**: 로그 스키마에 의해 파싱되기 전에 데이터에 적용됩니다
  * 자세한 내용은 [원시 이벤트 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/raw-event).
* **정규화된 이벤트 필터**: 로그 스키마에 의해 파싱된 후의 데이터에 적용됩니다
  * 자세한 내용은 [정규화된 이벤트 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/normalized-event).

{% hint style="info" %}
하나의 로그 소스에 대해 여러 개의 원시 또는 정규화된 필터가 정의된 경우, 필터가 실행되는 순서는 보장되지 않습니다.
{% endhint %}

### 포함 필터 대 제외 필터

원시 및 정규화된 이벤트 필터는 모두 포함 필터 또는 제외 필터로 생성할 수 있습니다.

* **포함 필터:** 필터와 일치하는 이벤트는 인제스트됩니다(다른 필터에 의해 폐기되지 않는 한). 필터와 일치하지 않는 이벤트는 폐기됩니다.
* **제외 필터:** 필터와 일치하는 이벤트는 폐기됩니다. 필터와 일치하지 않는 이벤트는 인제스트됩니다(다른 필터에 의해 폐기되지 않는 한).