search
Knowledge BaseRelease NotesRequest Demo

정규화된 이벤트 필터(베타)

로그 스키마가 파싱한 후에 이벤트를 필터링하기

hashtag
개요

circle-info

정규화된 이벤트 필터링은 Panther 버전 1.101부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고서나 기능 요청은 Panther 지원팀에 공유해 주세요.

Panther에서 정규화된 이벤트 필터를 사용하여 데이터가 분류된 후—즉 로그 스키마에 따라 파싱된 후—데이터를 필터링할 수 있습니다.

정규화된 이벤트 필터는 포함 필터 또는 제외 필터로 생성할 수 있습니다. 다음에서 포함 필터와 제외 필터의 차이점을 확인하세요.

원시 이벤트 필터를 활성화한 후에는 성능을 필터링된 이벤트 메트릭 보기.

circle-info

정규화된 이벤트 필터는 관련 로그 유형의 스키마에 의존합니다. 스키마를 변경하면 필터가 더 이상 적용되지 않을 수 있으므로 필요한 경우 관련 필터도 업데이트해야 합니다.

circle-exclamation

여러 개의(포함 또는 제외) 정규화된 이벤트 필터를 생성하는 경우 실행 순서가 보장되지 않습니다. 따라서 여러 { "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 포함식을 생성하는 경우에는 동일한 필터 내에 묶는 것이 권장됩니다. 대신 여러 개의 별도 포함 필터를 생성하면, 먼저 평가된 다른 필터가 해당 이벤트를 포함하지 않을 경우 포함하려는 이벤트가 삭제될 수 있습니다.

hashtag
정규화된 이벤트 필터 생성 방법

정규화된 이벤트 필터를 생성하려면:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 필터를 추가하려는 로그 소스의 이름을 클릭하세요.

  3. 다음 항목을 클릭하십시오 필터 탭을 클릭하십시오.

  4. 의 오른쪽에서 정규화된 이벤트 필터 타일에서, 클릭 필터 추가.

    Under a "TestSqs" header, an arrow is drawn from a Filters tab to an Add Filter button on a Normalized Events Filters tile.

  5. 새 필터 양식이 확장됩니다. 필터를 구성하세요:

    1. (선택 사항) 연필 아이콘(pencil icon)을 클릭하여 필터 이름을 편집하세요.

    2. 다음 로그 유형 드롭다운에서 이 필터를 적용할 로그 유형을 선택하세요.

    3. 다음 조건 드롭다운에서 선택하세요:

      • 다음인 경우 제외: 제외 필터를 생성하려는 경우 이 옵션을 선택하세요 제외 필터.

      • 다음인 경우 포함: 제외 필터를 생성하려는 경우 이 옵션을 선택하세요 포함 필터.

    4. 클릭 필터 추가그런 다음 필터를 구성하세요:

      1. 드롭다운에서 이벤트 필드를 선택하세요. 선택된 로그 유형의 필드만 표시됩니다.

      2. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택하세요.

        • 드롭다운 옵션은 선택된 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다. 자세한 내용은 지원되는 필드 유형 및 연산자도 함께 아래에 있습니다.

      3. 선택한 연산자가 값을 요구하는 경우 값을 입력하세요.

      4. 다른 필터 표현식을 생성하려면:

        • 다음을 생성하려면 AND 필터를 생성하려면 방금 생성한 표현식 밖(같은 수평 바 내)에 클릭하거나, 또는 TAB.

          • 다음을 생성하려면 { "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 필터를 생성하려면 + OR 조건 추가.

        A "Normalized Event filters" expandable block is shown with fields including "Log Type," "Exclusion Pattern," and Quick Test.

    5. 오른쪽 상단에서 클릭하십시오 저장.

hashtag
정규화된 이벤트 필터 활성화 또는 비활성화

수집(ingestion) 필터가 생성된 후에는 해당 필터를 활성화하거나 비활성화할 수 있습니다:

  1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

  2. 필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭하세요.

  3. 다음 항목을 클릭하십시오 필터 탭을 클릭하십시오.

  4. 활성화하거나 비활성화하려는 필터를 찾아 해당 토글을 활성화됨 또는 비활성화됨. A log source titled "Dev account" is shown. An arrow is drawn from a tab called "Filters" to an "Enabled" toggle next to a filter in the "Normalized Events filters" section.\

hashtag
필터링된 이벤트 메트릭 보기

hashtag
지원되는 필드 유형 및 연산자

"필드 데이터 유형" 열의 데이터 유형을 가진 이벤트 필드에 대해 필터를 구성할 수 있습니다. "지원되는 연산자" 열에 나열된 연산자는 검색 도구의 지원 연산자.

필드 데이터 유형
참고
지원되는 연산자

string

  • 같음 / 같지 않음

  • 비어 있음 / 비어 있지 않음(“같음 / 같지 않음”과 동일하지 않음 null")

  • 목록에 있음 / 목록에 없음

  • 부분 문자열 포함 / 포함하지 않음

  • 같음 / 같지 않음 null

  • 내에 있음 CIDRarrow-up-right

부울

  • 참 / 거짓

  • 같음 / 같지 않음 null

숫자 (int, 빅인트, 범위 내의 32비트 정수 번호, 실수)

  • 같음 / 같지 않음

  • 보다 큼 / 보다 작음

  • 크거나 같음

  • 작거나 같음

  • 같음 / 같지 않음 null

타임스탬프

  • 이전 / 이후

  • 같음 / 같지 않음 null

타임스탬프 값

필터링은 원시형 타입의 배열에 대해서만 지원됩니다

  • 있음 / 없음

  • 같음 / 같지 않음 null

object

중첩된 필드에 대한 필터링이 지원됩니다

  • 포함함 / 포함하지 않음

  • 같음 / 같지 않음 null

json

중첩된 필드에 대한 필터링은 지원되지 않지만, 다음을 사용할 수 있습니다 포함 조건 JSON 유형 필드는 정규화된 필터 UI에서 다음으로 표시됩니다 object 정규화된 필터 UI에.

  • 포함함 / 포함하지 않음

  • 같음 / 같지 않음 null

Previous원시 이벤트 필터Next데이터 파이프라인 도구

Last updated

Was this helpful?