search
Knowledge BaseRelease NotesRequest Demo

정규화된 이벤트 필터(베타)

로그 스키마로 파싱된 후 이벤트를 필터링하기

hashtag
개요

circle-info

정규화된 이벤트 필터링은 Panther 버전 1.101부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고나 기능 요청이 있으면 Panther 지원 팀에 공유해 주세요.

Panther에서 정규화된 이벤트 필터를 사용하면 데이터가 분류된 후—즉 로그 스키마에 따라 파싱된 후—데이터를 필터링할 수 있습니다.

정규화된 이벤트 필터는 포함 필터 또는 제외 필터로 생성할 수 있습니다. 다음의 포함 필터와 제외 필터의 차이점.

원시 이벤트 필터를 활성화한 후에는 성능을 필터링된 이벤트 메트릭 보기.

circle-info

정규화된 이벤트 필터는 관련 로그 유형의 스키마에 의존합니다. 스키마를 변경하면 필터가 더 이상 적용되지 않을 수 있으므로 관련 필터도 필요에 따라 업데이트해야 합니다.

circle-exclamation

여러 개의(포함 또는 제외) 정규화된 이벤트 필터를 생성하는 경우 실행 순서가 보장되지 않습니다. 따라서 여러 { "ip": "10.0.0.1", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.2", "un": "[email protected]", "country": "France" }{ "ip": "10.0.0.3", "un": "[email protected]", "country": "France" } 포함용 식을 만들고 있다면 동일한 필터 안에 묶어 패키징하는 것이 권장됩니다. 대신 여러 개의 별도 포함 필터를 만들면 먼저 평가되는 다른 필터가 해당 이벤트를 포함하지 않아 포함하려는 이벤트가 삭제될 수 있습니다.

hashtag
정규화된 이벤트 필터를 생성하는 방법

정규화된 이벤트 필터를 생성하려면:

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 필터를 추가하려는 로그 소스의 이름을 클릭합니다.

  3. 을 클릭하세요 필터 탭을 클릭하세요.

  4. 의 오른쪽에 정규화된 이벤트 필터 타일에서 필터 추가.

    Under a "TestSqs" header, an arrow is drawn from a Filters tab to an Add Filter button on a Normalized Events Filters tile.

  5. 새 필터 폼이 확장됩니다. 필터를 구성하세요:

    1. (선택 사항) 연필 아이콘(pencil icon)을 클릭하여 필터 이름을 편집합니다.

    2. 일반 구성 로그 유형 드롭다운에서 이 필터를 적용할 로그 유형을 선택합니다.

    3. 일반 구성 조건 드롭다운에서 선택하세요:

      • 다음인 경우 제외: 제외 필터를 생성하려면 이것을 선택하세요 제외 필터.

      • 다음인 경우 포함: 제외 필터를 생성하려면 이것을 선택하세요 포함 필터.

    4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 필터 추가를 선택한 다음 필터를 구성하세요:

      1. 드롭다운에서 이벤트 필드를 선택합니다. 선택된 로그 유형의 필드만 표시됩니다.

      2. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택합니다.

        • 드롭다운 옵션은 선택된 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다. 자세한 내용은 지원되는 필드 유형 및 연산자를(을) 아래에서 확인하십시오.

      3. 선택한 연산자가 값을 요구하는 경우 값을 입력합니다.

      4. 다른 필터 식을 생성하려면:

        • 다음을 생성하려면 AND 필터는 방금 생성한 식의 외부(하지만 동일한 수평 바 내) 를 클릭하거나 TAB.

        A "Normalized Event filters" expandable block is shown with fields including "Log Type," "Exclusion Pattern," and Quick Test.

    5. 오른쪽 상단에서 "Resource": "<secret ARN>".

hashtag
정규화된 이벤트 필터 활성화 또는 비활성화

인제스션 필터가 생성된 후에는 다음과 같이 활성화하거나 비활성화할 수 있습니다:

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭합니다.

  3. 을 클릭하세요 필터 탭을 클릭하세요.

  4. 활성화하거나 비활성화하려는 필터를 찾아 토글을 사용 이전에 생성한 Snowflake 사용자 이름, 예를 들면 비활성화됨. A log source titled "Dev account" is shown. An arrow is drawn from a tab called "Filters" to an "Enabled" toggle next to a filter in the "Normalized Events filters" section.\

hashtag
필터링된 이벤트 메트릭 보기

hashtag
지원되는 필드 유형 및 연산자

다음 "필드 데이터 유형" 열에 있는 데이터 유형의 이벤트 필드에 대해 필터를 구성할 수 있습니다. "지원되는 연산자" 열에 나열된 연산자는 검색 도구의 지원 연산자.

필드 데이터 유형
참고
지원되는 연산자

문자열

  • 이다 / 이(가) 아님

  • 비어 있음 / 비어 있지 않음( "이다 / 이(가) 아님"과 같지 않음 null")

  • 목록에 있다 / 목록에 없다

  • 부분 문자열을 포함함 / 포함하지 않음

  • 이다 / 이(가) 아님 null

  • 내에 있음 CIDRarrow-up-right

불리언

  • 참이다 / 거짓이다

  • 이다 / 이(가) 아님 null

숫자 (정수, 빅인트, 32비트 정수로 범위 내의 숫자, 부동 소수점)

  • 같다 / 같지 않다

  • 보다 큼 / 보다 작음

  • 보다 크거나 같다

  • 보다 작거나 같다

  • 이다 / 이(가) 아님 null

타임스탬프

  • 이전이다 / 이후이다

  • 이다 / 이(가) 아님 null

타임스탬프 값

필터링은 원시 유형 배열에 대해서만 지원됩니다

  • 가지고 있음 / 가지고 있지 않음

  • 이다 / 이(가) 아님 null

object인 필드가

중첩된 필드에 대한 필터링이 지원됩니다

  • 포함함 / 포함하지 않음

  • 이다 / 이(가) 아님 null

json 형으로 분류됩니다.

중첩된 필드에 대한 필터링은 지원되지 않지만, 다음을 사용할 수 있습니다 포함 조건 JSON 유형 필드는 object인 필드가 정규화된 필터 UI에 다음과 같이 표시됩니다.

  • 포함함 / 포함하지 않음

  • 이다 / 이(가) 아님 null

이전원시 이벤트 필터다음데이터 파이프라인 도구

마지막 업데이트

도움이 되었나요?