search
Knowledge BaseRelease NotesRequest Demo

원시 이벤트 필터

로그 스키마로 파싱되기 전에 이벤트를 필터링하기

hashtag
개요

원시 이벤트 필터는 수집된 이벤트를 필터링할 조건을 정의할 수 있게 해줍니다. 이들은 원시 데이터에 대해 작동합니다 이전에 로그 스키마에 의해 파싱되며 정규식 표현 또는 부분 문자열 패턴을 사용해 정의할 수 있습니다.

원시 이벤트 필터는 포함 필터 또는 제외 필터로 생성할 수 있습니다. 다음에서 포함 필터와 제외 필터의 차이점.

원시 이벤트 필터를 활성화한 후에는 성능을 필터된 이벤트 지표 보기.

circle-exclamation

여러 개의(포함 또는 제외) 원시 이벤트 필터를 생성하는 경우 실행 순서가 보장되지 않습니다. 여러 포함 필터를 생성할 때 이를 특히 유의하세요. 필터가 무작위 순서로 실행되기 때문에 먼저 평가된 다른 필터가 해당 이벤트를 포함하지 않으면 포함하려는 이벤트가 삭제될 수 있습니다.

hashtag
원시 이벤트 필터의 유형

현재 두 가지 유형의 필터가 있습니다:

  • 정규식 필터: 정규식 표현과 일치하는 이벤트는 삭제됩니다.

  • 부분 문자열 필터: 패턴을 적어도 한 번 포함하는 이벤트는 삭제됩니다.

In a log event filter, an Exclusion Condition is shown. The filter reads, "Exclude if" and a select box is open, showing two options: "Matches Regex" and "Contains"

hashtag
원시 이벤트 필터를 생성하는 방법

circle-exclamation

원시 이벤트 필터는 파싱되지 않은 이벤트에 적용됩니다—Enterprise 조직 데이터 레이크에서 볼 수 있는 정규화된 이벤트와 같은. 필터를 원시 데이터를 기반으로 구성하고 있는지 확인하세요. 정규화된 데이터를 기반으로 원시 데이터 필터를 만들면 false positive가 발생하거나 의도치 않게 데이터가 삭제될 수 있습니다.

대신 파싱된 이벤트에 대한 필터를 생성하려면, 다음을 참조하세요 정규화된 이벤트 필터.

원시 이벤트 필터를 생성하려면:

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 필터를 추가하려는 로그 소스의 이름을 클릭합니다.

  3. 을 클릭하세요 필터 탭을 클릭하세요.

  4. 오른쪽 원시 이벤트 필터 타일에서 필터 추가. The "Filters" tab of an "AY Okta" Log source is shown. There is an arrow drawn to a blue "Add Filter" button.

  5. 확장된 새 필터 양식에서 필터를 구성합니다:

    1. (선택 사항) 연필 아이콘(pencil icon)을 클릭하여 필터 이름을 편집합니다.

    2. 일반 구성 조건 드롭다운에서 선택합니다:

      • 다음인 경우 제외: 제외 필터를 생성하려면 이것을 선택하세요 제외 필터.

      • 다음인 경우 포함: 제외 필터를 생성하려면 이것을 선택하세요 포함 필터.

    3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. + 조건을 추가하려면 An "Exclusion Condition" is shown. There is an "Exclude if" statement, with a plus sign to its right. The plus sign is circled.

    4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 조건를 선택하고 아래 옵션 중 하나를 선택합니다. 조건을 구성하는 다양한 방법에 대해 자세히 알아보려면 원시 이벤트 필터의 유형.

      • 정규식과 일치

      • Contains In a log event filter, an Exclusion Condition is shown. The filter reads, "Exclude if" and a select box is open, showing two options: "Matches Regex" and "Contains"

    5. 를 선택한 경우 정규식과 일치 조건에는 정규 표현식을 입력하세요. 를 선택한 경우 Contains 조건에는 문자열 값을 입력하세요.

    6. 일반 구성 빠른 테스트 섹션에 방금 생성한 필터에 대해 테스트할 원시 이벤트를 입력합니다.

      • 다음을 클릭할 수 있습니다 원시 데이터 보기 소스에서 수신된 원시 이벤트를 보려면. 이벤트 오른쪽에서 이벤트 테스트 를 클릭하여 원시 이벤트 필드에 빠른 테스트 이벤트로 채웁니다. A list of raw events is shown. Each row has a "Test event" button on the right-hand side. The "Test event" button in the first row is circled.

    7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 테스트 실행.

      • 테스트 이벤트가 패턴과 일치하는지 확인하세요.

    8. 필터는 기본적으로 활성화되어 있습니다. 비활성화하려면 사용 토글을 클릭하세요.

  6. 오른쪽 상단에서 "Resource": "<secret ARN>".

hashtag
원시 이벤트 필터 활성화 또는 비활성화

수집 필터가 생성된 후에는 이를 활성화하거나 비활성화할 수 있습니다:

  1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

  2. 필터를 활성화하거나 비활성화하려는 로그 소스의 이름을 클릭합니다.

  3. 을 클릭하세요 필터 탭을 클릭하세요.

  4. 활성화하거나 비활성화하려는 필터를 찾은 다음 해당 토글을 사용 이전에 생성한 Snowflake 사용자 이름, 예를 들면 비활성화됨. Under a "Dev account" header, an arrow is pointing from a Filters tab to an "Enabled" toggle on a tile called "Event Based Filter cc4e0a."\

hashtag
필터된 이벤트 지표 보기

이전수집 필터다음정규화된 이벤트 필터(베타)

마지막 업데이트

도움이 되었나요?