# 정규화된 이벤트 필터
## 개요
Panther에서 정규화된 이벤트 필터를 사용하여 데이터가 분류된 후, 즉 로그 스키마에 따라 파싱된 후 데이터를 걸러낼 수 있습니다.
정규화된 이벤트 필터는 포함 필터 또는 제외 필터로 생성할 수 있습니다. 다음에 대해 알아보세요. [포함 필터와 제외 필터의 차이점은 여기에서](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters).
원시 이벤트 필터를 활성화한 후에는 다음을 통해 성능을 모니터링하세요. [필터링된 이벤트 메트릭 보기](#viewing-filtered-event-metrics).
{% hint style="info" %}
정규화된 이벤트 필터는 연결된 로그 유형의 스키마에 의존합니다. 스키마를 변경하면 필터가 더 이상 적용되지 않을 수 있으므로, 필요에 따라 관련 필터도 함께 업데이트하세요.
{% endhint %}
{% hint style="warning" %}
여러 개의(포함 또는 제외) 정규화된 이벤트 필터를 만들면 실행 순서가 보장되지 않습니다. 따라서 여러 개의 `OR` 포함 표현식을 만드는 경우, 같은 필터 안에 묶어 두는 것이 권장됩니다. 대신 여러 개의 별도 포함 필터를 만들면, 먼저 평가되는 다른 필터가 해당 이벤트를 포함하지 않을 경우 포함하려는 이벤트가 누락될 수 있습니다.
{% endhint %}
## 정규화된 이벤트 필터를 만드는 방법
정규화된 이벤트 필터를 만들려면:
1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **구성** > **로그 소스**.
2. 필터를 추가하려는 로그 소스의 이름을 클릭합니다.
3. 다음을 클릭하세요. **필터** 탭.
4. 오른쪽의 **정규화된 이벤트 필터** 타일에서 다음을 클릭합니다 **필터 추가**.
5. 새 필터 양식이 확장됩니다. 필터를 구성하세요:
1. (선택 사항) 연필 아이콘()을 클릭하여 필터 이름을 편집합니다.
2. 다음에서 **로그 유형** 드롭다운에서 이 필터를 적용할 로그 유형을 선택합니다.
3. 다음에서 **조건** 드롭다운에서 다음 중 하나를 선택합니다:
* **다음이면 제외**: 다음을 만들고 싶다면 이 옵션을 선택하세요. [제외 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters).
* **다음이면 포함**: 다음을 만들고 싶다면 이 옵션을 선택하세요. [포함 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters).
4. 다음을 클릭하세요. **필터 추가**을 선택한 다음 필터를 구성합니다:
1. 드롭다운에서 이벤트 필드를 선택합니다. 선택한 로그 유형의 필드만 표시됩니다.
2. 드롭다운 메뉴에서 연산자(조건이라고도 함)를 선택합니다.
* 드롭다운 옵션은 선택한 필드의 데이터 유형에 적용 가능한 항목으로 제한됩니다. 다음을 참조하세요. [지원되는 필드 유형 및 연산자](#supported-field-types-and-operators)에 설명된 흐름을 따라야 합니다.
3. 선택한 연산자가 값을 필요로 하는 경우 값을 입력합니다.
4. 다른 필터 표현식을 만들려면:
* 다음을 만들려면 `AND` 필터, 방금 만든 표현식 바깥쪽(하지만 동일한 가로 막대 안쪽)을 클릭하거나, `TAB`.
* 다음을 만들려면 `OR` 필터, 다음을 클릭합니다. **+ OR 조건 추가**.
5. 오른쪽 상단에서 다음을 클릭하세요. **저장**.
## 정규화된 이벤트 필터 활성화 또는 비활성화
수집 필터가 생성된 후에는 활성화하거나 비활성화할 수 있습니다:
1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **구성** > **로그 소스**.
2. 필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭합니다.
3. 다음을 클릭하세요. **필터** 탭.
4. 활성화 또는 비활성화하려는 필터를 찾아 토글을 다음으로 설정합니다. **Enabled** 또는 **비활성화됨**.\
\\
## 필터링된 이벤트 메트릭 보기
* 다음을 참조하세요 [필터링된 이벤트 볼륨 보기](/ko/data-onboarding/monitoring-log-sources.md#viewing-filtered-event-volume).
## 지원되는 필드 유형 및 연산자
"필드 데이터 유형" 열의 데이터 유형을 가진 이벤트 필드에 필터를 구성할 수 있습니다. "지원되는 연산자" 열에 나열된 연산자는 다음의 하위 집합입니다. [검색 도구가 지원하는 연산자](/ko/search/search-tool/filter-operators.md#supported-operators).
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/ingestion-filters/normalized-event.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.