> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/ingestion-filters/normalized-event.md). # 정규화된 이벤트 필터 ## 개요 Panther에서 정규화된 이벤트 필터를 사용하여 데이터가 분류된 후, 즉 로그 스키마에 따라 파싱된 후의 데이터를 걸러낼 수 있습니다. 정규화된 이벤트 필터는 포함 또는 제외 필터로 만들 수 있습니다. 다음을 알아보세요: [포함 필터와 제외 필터의 차이](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters). 원시 이벤트 필터를 활성화한 후에는 다음을 통해 성능을 모니터링하세요. [필터링된 이벤트 메트릭 보기](#viewing-filtered-event-metrics). {% hint style="info" %} 정규화된 이벤트 필터는 연결된 로그 유형의 스키마에 의존합니다. 스키마를 변경하면 필터가 더 이상 적용되지 않을 수 있습니다. 필요에 따라 관련 필터도 함께 업데이트하세요. {% endhint %} {% hint style="warning" %} 여러 개의(포함 또는 제외) 정규화된 이벤트 필터를 만들면 실행 순서가 보장되지 않습니다. 따라서 여러 개의 `또는` 포함용 표현식을 만들려면 같은 필터 안에 묶는 것이 좋습니다. 대신 여러 개의 별도 포함 필터를 만들면, 먼저 평가된 다른 필터가 포함하지 않을 경우 포함하려는 이벤트가 삭제될 수 있습니다. {% endhint %} ## 정규화된 이벤트 필터를 만드는 방법 정규화된 이벤트 필터를 만들려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 필터를 추가하려는 로그 소스의 이름을 클릭하세요. 3. 다음을 클릭합니다: **필터** 탭. 4. 오른쪽 **정규화된 이벤트 필터** 타일에서 다음을 클릭합니다: **필터 추가**.

Under a "TestSqs" header, an arrow is drawn from a Filters tab to an Add Filter button on a Normalized Events Filters tile.

5. 새 필터 양식이 펼쳐집니다. 필터를 구성하세요: 1. (선택 사항) 연필 아이콘( pencil icon

)을 클릭하여 필터 이름을 수정하세요. 2. 다음의 **로그 유형** 드롭다운에서 이 필터를 적용할 로그 유형을 선택하세요. 3. 다음의 **조건** 드롭다운에서 선택하세요: * **다음과 같지 않으면 제외**: 다음을 생성하려면 이 항목을 선택하세요. [제외 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters). * **다음과 같으면 포함**: 다음을 생성하려면 이 항목을 선택하세요. [포함 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters). * 포함 필터의 경우, 일치하지 않는 모든 항목은 *일치하지 않는* 것으로 처리되어 다시 수집할 방법이 없습니다. 4. 다음을 클릭합니다: **필터 추가**, 그런 다음 필터를 구성하세요: 1. 드롭다운에서 이벤트 필드를 선택하세요. 선택한 로그 유형의 필드만 표시됩니다. 2. 드롭다운 메뉴에서 연산자를 선택하세요. * 드롭다운 옵션은 선택한 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다. 다음을 참조하세요. [지원되는 필드 유형 및 연산자](#supported-field-types-and-operators), 아래에서. 3. 선택한 연산자가 값을 요구하는 경우 값을 입력하세요. 4. 다른 필터 표현식을 만들려면: * 다음과 같은 `AND` 필터를 만들려면, 방금 만든 표현식 밖이지만 같은 가로 막대 안을 클릭하거나 `TAB`. * 다음과 같은 `또는` 필터를 만들려면 **+ OR 조건 추가**.

A "Normalized Event filters" expandable block is shown with fields including "Log Type," "Exclusion Pattern," and Quick Test.

5. 오른쪽 상단에서 다음을 클릭합니다: **저장**. ## 정규화된 이벤트 필터 활성화 또는 비활성화 수집 필터를 만든 후에는 활성화하거나 비활성화할 수 있습니다: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭하세요. 3. 다음을 클릭합니다: **필터** 탭. 4. 활성화하거나 비활성화하려는 필터를 찾아 토글을 다음으로 설정하세요. **활성화** 또는 **비활성화됨**.\ ![A log source titled "Dev account" is shown. An arrow is drawn from a tab called "Filters" to an "Enabled" toggle next to a filter in the "Normalized Events filters" section.](/files/312d145c9063e954f986734a047919c62747bea3) ## 필터링된 이벤트 메트릭 보기 * 참조 [필터링된 이벤트 볼륨 보기](/ko/data-onboarding/monitoring-log-sources.md#viewing-filtered-event-volume). ## 지원되는 필드 유형 및 연산자 의미 “Field data type” 열에 데이터 유형이 있는 이벤트 필드에 필터를 구성할 수 있습니다. “Supported operators” 열에 나열된 연산자는 다음의 하위 집합입니다. [검색 도구에서 지원되는 연산자](/ko/search/search-tool/filter-operators.md#supported-operators).

필드 데이터 유형	지원되는 연산자	참고
`문자열`	같음 / 같지 않음	`null` 값은 무시됩니다. 예: 필터가 `"animal" IS "bear"` 이면, 페이로드 `{"animal": null}` 는 일치하지 않습니다. 하지만 필터 `"animal" IS NOT "bear"` 도 일치하지 않습니다.
	비어 있음 / 비어 있지 않음("is / is not null"과는 다름)	`null` 값은 무시됩니다. 예: 필터가 `"animal" IS EMPTY` 이면, 페이로드 `{"animal": null}` 는 일치하지 않습니다. 하지만 필터 `"animal" IS NOT EMPTY` 도 일치하지 않습니다.
	목록에 있음 / 목록에 없음	필터 토큰의 공백은 무시됩니다! 예: 필터가 `목록에 있음 ["text "]` 다음 `"text"` 페이로드(뒤에 공백 없음)도 일치합니다. 반대는 사실이 아닙니다! 공백은 페이로드 값에서 무시되지 않습니다. 예: 필터가 `목록에 있음 ["text"]` 다음 `"text "` 페이로드(뒤에 공백 있음)는 일치하지 않습니다.
	하위 문자열을 포함함 / 하위 문자열을 포함하지 않음	`null` 페이로드의 값은 일치하지 않습니다 둘 다에서 `하위 문자열을 포함함` 그리고 내 `하위 문자열을 포함하지 않음` 예: 두 필터 모두 `"animal" has substring "bear"` 그리고 `"animal" does not have substring "bear"` 는 페이로드와 일치하지 않습니다 `{"animal": null}`
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다
	다음 CIDR 범위 내에 있음 CIDR
`boolean`	참 / 거짓
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다
`숫자` (`정수`, `bigint`, `smallint`, `float`)	같음 / 같지 않음
	크거나 같음
	작거나 같음
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다
`timestamp`	이전 / 이후
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다
`배열`	있음 / 없음	중첩 필드에 대한 필터링이 지원됩니다 하위 문자열 기준으로! 예: 필터가 `"animals" contains "wolf"` 이면, 페이로드 `{"animals": ["dog", "wolf"]}` 는 일치하지만, 페이로드 `{"animals": ["dog", "werewolf"]}` 도 도 일치합니다. 또한 페이로드에 누락된 필드는 `없음` 필터와 일치하지 않습니다. 예: 다음과 같은 필터는 `"animals" does not have "bear"`, 는 일치하지 않습니다 다음과 같은 페이로드와 `{"irrelevant": "something-else"}`. 또한 모든 중첩 필드는 문자열로 변환됩니다. 예: 다음과 같은 필터는 `"animals" has "1"`, 는 다음 두 페이로드 모두와 일치합니다 이러한 `{"animals": ["1","2"]}`, `{"animals": [1,2]}`,
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다
`object`	하위 문자열을 포함함 / 하위 문자열을 포함하지 않음	중첩 필드에 대한 필터링이 지원됩니다 하위 문자열 기준으로 적용되며, 키와 값 모두 고려됩니다! 예: 필터가 `"animal" contains "werewolf"` 이면, 페이로드 `{"animal": {"type": "werewolf"}}` 는 일치하지만, 페이로드`{"animal": {"werewolf": {"age": 3}}}` 도 도 일치합니다.
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다
`JSON`	하위 문자열을 포함함 / 하위 문자열을 포함하지 않음	중첩 필드에 대한 필터링은 다음과 함께 지원됩니다. `포함` 조건입니다. 이는 다음에도 적용됩니다 하위 문자열 기준으로 적용되며, 키와 값 모두 고려됩니다! 예: 필터가 `"animals" contains "wolf"` 이면, 페이로드 `{"animals": ["dog", "wolf"]}` 는 일치하지만, 페이로드 `{"animals": ["dog", "werewolf"]}` 도 도 일치합니다. JSON 유형 필드는 `object` 정규화된 필터 UI에 다음과 같이 표시됩니다.
	null 임 / null이 아님	명시적 `"null"` 문자열도 처리되어 일치하는 것으로 간주됩니다

--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/ingestion-filters/normalized-event.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.