> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/ingestion-filters/raw-event.md).

# 원시 이벤트 필터

## 개요

원시 이벤트 필터를 사용하면 수집된 이벤트를 걸러낼 조건을 정의할 수 있습니다. 이 필터는 원시 데이터에 적용됩니다 *이전에* 로그 스키마에 의해 구문 분석되기 전에 적용되며, 정규식 표현식 또는 부분 문자열 패턴을 사용해 정의할 수 있습니다.

원시 이벤트 필터는 포함 필터 또는 제외 필터로 만들 수 있습니다. 다음에 대해 알아보세요. [포함 필터와 제외 필터의 차이점은 여기에서](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters).

원시 이벤트 필터를 활성화한 후에는 다음을 통해 성능을 모니터링하세요 [필터링된 이벤트 지표를 확인하여](#viewing-filtered-event-metrics).

{% hint style="warning" %}
여러 개의(포함 또는 제외) 원시 이벤트 필터를 만들 경우, 어떤 순서로 실행될지 보장되지 않습니다. 여러 포함 필터를 만들 때는 특히 주의하세요. 필터가 무작위 순서로 실행되므로, 먼저 평가되는 다른 필터가 해당 이벤트를 포함하지 않으면 포함하려던 이벤트가 삭제될 수 있습니다.
{% endhint %}

### 원시 이벤트 필터의 유형

현재 두 가지 유형의 필터가 있습니다:

* 정규식 필&#xD130;**:** 정규식 표현식과 일치하는 이벤트는 삭제됩니다.
  * 정규식 필터는 [Google의 RE2 엔진](https://github.com/google/re2/wiki/Syntax).
* 부분 문자열 필&#xD130;**:** 패턴을 한 번 이상 포함하는 이벤트는 삭제됩니다.

<figure><img src="/files/441ae57879aeb0080b223ff97b24ae1fc88792a1" alt="In a log event filter, an Exclusion Condition is shown. The filter reads, &#x22;Exclude if&#x22; and a select box is open, showing two options: &#x22;Matches Regex&#x22; and &#x22;Contains&#x22;"><figcaption></figcaption></figure>

## 원시 이벤트 필터를 만드는 방법

{% hint style="warning" %}
원시 이벤트 필터는 구문 분석되지 않은 이벤트에 적용됩니다—*이 아니라* 데이터 레이크에서 보이는 것과 같은 정규화된 이벤트. 원시 데이터를 기반으로 필터를 구성하고 있는지 확인하세요. 정규화된 데이터를 기반으로 원시 데이터 필터를 만들면 오탐이 발생하고 의도치 않게 데이터가 삭제될 수 있습니다.

대신 구문 분석된 이벤트에 대한 필터를 만들려면 다음을 참조하세요: [정규화된 이벤트 필터](/ko/data-onboarding/ingestion-filters/normalized-event.md).
{% endhint %}

원시 이벤트 필터를 만들려면:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 필터를 추가하려는 로그 소스의 이름을 클릭합니다.
3. 다음을 클릭합니다: **필터** 탭.
4. 오른쪽에 있는 **Raw 이벤트 필터** 타일에서 다음을 클릭합니다: **필터 추가**.\
   ![The "Filters" tab of an "AY Okta" Log source is shown. There is an arrow drawn to a blue "Add Filter" button.](/files/2b8f2008deaf281672e54fa8afd76289d5b0f9d3)
5. 확장된 새 필터 양식에서 필터를 구성합니다:
   1. (선택 사항) 연필 아이콘(<img src="/files/672d7bdb6cf3e44ad6fc824a81c42ccafc67148c" alt="pencil icon" data-size="line">)을 클릭하여 필터 이름을 편집합니다.
   2. 다음의 **조건** 드롭다운에서 항목을 선택합니다:
      * **다음의 경우 제외**: 다음을 만들고 싶다면 이 옵션을 선택하세요 [제외 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters).
      * **다음의 경우 포함**: 다음을 만들고 싶다면 이 옵션을 선택하세요 [포함 필터](https://docs.panther.com/ko/data-onboarding/ingestion-filters/pages/0b59297eabc410c13c8ec828556216a8d2ba11b0#inclusion-vs.-exclusion-filters).
        * 포함 필터의 경우, 모든 항목이 *일치하지 않는* 삭제되며 다시 수집할 방법이 없습니다.
   3. 다음을 클릭합니다: **+** 조건을 추가하려면.\
      ![An "Exclusion Condition" is shown. There is an "Exclude if" statement, with a plus sign to its right. The plus sign is circled.](/files/9933655f9c426f54a48f93e925336273007b0075)
   4. 다음을 클릭합니다: **조건**, 그런 다음 아래 옵션 중 하나를 선택합니다. 조건을 구성하는 다양한 방법에 대해 자세히 알아보려면 [원시 이벤트 필터의 유형](#types-of-raw-event-filters).
      * **정규식과 일치**
      * **포함**\
        ![In a log event filter, an Exclusion Condition is shown. The filter reads, "Exclude if" and a select box is open, showing two options: "Matches Regex" and "Contains"](/files/b2cdbeb2c86a16f2739600c0358bb19fcd185a5e)
   5. 다음을 선택한 경우 **정규식과 일치** 조건에는 정규식을 입력합니다. 다음을 선택한 경우 **포함** 조건에는 문자열 값을 입력합니다.
   6. 다음의 **빠른 테스트** 섹션에서 방금 만든 필터를 테스트할 원시 이벤트를 입력합니다.
      * 다음을 클릭할 수 있습니다 **원시 데이터 보기** 를 클릭하여 소스가 수신한 원시 이벤트를 볼 수 있습니다. 이벤트 오른쪽의 **이벤트 테스트** 를 클릭하여 **원시 이벤트** 필드를 **빠른 테스트** 해당 이벤트로 채웁니다.\
        ![A list of raw events is shown. Each row has a "Test event" button on the right-hand side. The "Test event" button in the first row is circled.](/files/8838beedf75b46ac31743a08f94c0cfd13802cb1)
   7. 다음을 클릭합니다: **테스트 실행**.
      * 테스트 이벤트가 패턴과 일치하는지 확인합니다.
   8. 필터는 기본적으로 활성화되어 있습니다. 비활성화하려면 다음을 클릭하세요: **활성화** 토글.
6. 오른쪽 상단에서 다음을 클릭합니다: **저장**.

## 원시 이벤트 필터 활성화 또는 비활성화

수집 필터를 만든 후에는 활성화하거나 비활성화할 수 있습니다:

1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭합니다.
3. 다음을 클릭합니다: **필터** 탭.
4. 활성화하거나 비활성화할 필터를 찾아 토글을 다음으로 설정합니다 **활성화** 또는 **비활성화됨**.\
   ![Under a "Dev account" header, an arrow is pointing from a Filters tab to an "Enabled" toggle on a tile called "Event Based Filter cc4e0a."](/files/312d145c9063e954f986734a047919c62747bea3)\\

## 필터링된 이벤트 지표 보기

* 참조 [필터링된 이벤트 볼륨 보기](/ko/data-onboarding/monitoring-log-sources.md#viewing-filtered-event-volume).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.panther.com/ko/data-onboarding/ingestion-filters/raw-event.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.