원시 이벤트 필터
로그 스키마가 파싱하기 전에 이벤트를 필터링하기
개요
원시 이벤트 필터를 사용하면 수집된 이벤트를 필터링할 조건을 정의할 수 있습니다. 이들은 원시 데이터에 대해 작동합니다 전에 로그 스키마로 파싱되며 정규식 표현식이나 부분 문자열 패턴을 사용하여 정의할 수 있습니다.
원시 이벤트 필터는 포함 필터 또는 제외 필터로 생성할 수 있습니다. 다음에서 포함 필터와 제외 필터의 차이점.
원시 이벤트 필터를 활성화한 후 성능을 모니터링하려면 필터링된 이벤트 지표 보기.
여러 개의(포함 또는 제외) 원시 이벤트 필터를 생성하면 실행 순서가 보장되지 않습니다. 여러 포함 필터를 만들 때 이 점에 특히 유의하세요. 필터가 임의의 순서로 실행되기 때문에 먼저 평가되는 다른 필터가 이벤트를 포함하지 않으면 포함하려는 이벤트가 삭제될 수 있습니다.
원시 이벤트 필터의 종류
현재 두 가지 유형의 필터가 있습니다:
정규식 필터: 정규식 표현식과 일치하는 이벤트는 삭제됩니다.
정규식 필터는 Google의 RE2 엔진을 사용합니다.
부분 문자열 필터: 패턴이 한 번이라도 포함된 이벤트는 삭제됩니다.
원시 이벤트 필터 생성 방법
원시 이벤트 필터는 파싱되지 않은 이벤트에 적용됩니다—아니요 데이터 레이크에서 볼 수 있는 정규화된 이벤트와 같은 정규화된 이벤트가 아닙니다. 필터를 원시 데이터를 기반으로 구성하고 있는지 확인하세요. 정규화된 데이터를 기반으로 원시 데이터 필터를 만들면 오탐지와 의도치 않은 데이터 삭제가 발생할 수 있습니다.
대신 파싱된 이벤트에 대한 필터를 생성하려면, 다음을 참조하세요 정규화된 이벤트 필터.
원시 이벤트 필터를 생성하려면:
Panther 콘솔의 왼쪽 탐색 모음에서 구성 > 로그 소스.
필터를 추가하려는 로그 소스의 이름을 클릭합니다.
클릭합니다 필터 탭.
오른쪽에 있는 원시 이벤트 필터 타일에서, 클릭합니다 필터 추가.
확장된 새 필터 양식에서 필터를 구성합니다:
(선택 사항) 연필 아이콘(
)을 클릭하여 필터 이름을 편집합니다.클릭합니다 + 조건을 추가하려면.
클릭합니다 조건, 그리고 아래 옵션 중 하나를 선택합니다. 조건을 구성하는 다양한 방법에 대해 자세히 알아보려면 원시 이벤트 필터의 종류.
정규식과 일치
포함
을(를) 선택했다면 정규식과 일치 조건에는 정규식을 입력하세요. 을(를) 선택했다면 포함 조건에는 문자열 값을 입력하세요.
에서 빠른 테스트 섹션에 방금 만든 필터에 대해 테스트할 원시 이벤트를 입력합니다.
클릭할 수 있습니다 원시 데이터 보기 소스가 수신한 원시 이벤트를 보려면. 이벤트의 오른쪽에서 클릭합니다 이벤트 테스트 하여 원시 이벤트 필드에 빠른 테스트 이벤트로 채웁니다.
클릭합니다 테스트 실행.
테스트 이벤트가 패턴과 일치하는지 확인하세요.
필터는 기본적으로 활성화되어 있습니다. 비활성화하려면 활성 토글을 클릭하세요.
오른쪽 상단에서 클릭합니다 저장.
원시 이벤트 필터 활성화 또는 비활성화
수집 필터가 생성된 후 다음과 같이 활성화하거나 비활성화할 수 있습니다:
Panther 콘솔의 왼쪽 탐색 모음에서 구성 > 로그 소스.
필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭합니다.
클릭합니다 필터 탭.
활성화하거나 비활성화하려는 필터를 찾고 해당 토글을 활성 또는 비활성화.
\
필터링된 이벤트 지표 보기
보기 필터링된 이벤트 볼륨 보기.
Last updated
Was this helpful?