# 데이터 리플레이 (Beta) ## 개요 {% hint style="info" %} Data Replay는 현재 오픈 베타이며 모든 고객이 이용할 수 있습니다. 버그 보고와 기능 요청은 계정 팀에 공유해 주세요. {% endhint %} Panther의 Data Replay를 사용하면 룰을 과거 로그 데이터와 대조해 테스트하여, 룰을 활성화하기 전에 결과를 미리 확인할 수 있습니다. 디택션을 작성하거나 업데이트할 때 Data Replay를 사용하여 디택션을 배포하기 전에 어떤 유형의 알러트를 받게 될지 시뮬레이션해 보세요. 리플레이를 통해 생성된 알러트는 룰의 대상(destination)으로 전달되지 않으며 메인 **(REST) 및** 대시보드에 표시되지 않습니다. Data Replay는 Panther Console에서 사용할 수 있습니다. CLI 워크플로에서는 Panther Analysis Tool의 [`benchmark`](/ko/panther/detections-repo/pat/pat-commands.md#benchmark-evaluating-rule-performance) 명령을 사용하여 룰 성능을 평가할 수 있습니다. ## 제한 사항 Data Replay를 시작하기 전에 다음 제한 사항에 유의하세요: * 시간 범위는 설정할 수 있지만 최근 15일 이내여야 합니다. * 시간 범위는 24시간보다 더 이전이어야 합니다. * 지원되는 최대 리플레이 크기는 20GB입니다. * 리플레이는 1시간 이내에 완료되어야 합니다. * 에 대한 액세스는 [DynamoDB 캐시](/ko/detections/rules/python/caching.md) 가 차단되어 운영 데이터가 오염되는 것을 방지합니다. * 룰 내부에서 발생하는 네트워크 호출은 차단됩니다. * [Enrichment](/ko/enrichment.md) 은 지원되지 않습니다. ## 리플레이 시작하기 Data Replay 동안 룰의 중복 제거 기간과 이벤트 임계값이 고려됩니다. 룰에 [룰 필터](/ko/detections/rules/inline-filters.md)가 있으면 적용됩니다. 1. Panther Console의 왼쪽 탐색 모음에서 **디택션**. 2. Data Replay에 사용할 디택션의 이름을 클릭하세요. 3. 다음까지 아래로 스크롤합니다 **Data Replay** 타일에서 **테스트** 섹션에서.\ ![The Data Replay section of the Panther console shows a Log Types field, with OneLogin.Events selected, as well as a field that has two tabbed options: Data(GB) and Time. Data(GB) is currently selected, with a value of 20GB. At the bottom is a blue "Create Replay" button.](/files/f516465bcf5b6a8528bf05982dd10f0eaf9dbe61) 4. 에서 **로그 유형** 필드에서 디택션에 대해 리플레이할 로그 유형을 선택합니다. 5. 의 오른쪽에서 **Data Replay** 섹션, 선택 **시간** 또는 **데이터(GB)**중 하나를 선택하여 리플레이가 실행될 데이터 집합을 제한하는 방법을 결정합니다: * **시간**: 지정된 기간 동안 수집된 데이터에 대해 리플레이를 실행하려면 이 옵션을 선택하세요. * 다음을 클릭합니다 **시작 날짜** 또는 **종료 날짜** 필드를 클릭하여 날짜 모달을 엽니다. 미리 설정된 날짜 범위를 선택하거나 사용 가능한 범위 내에서 사용자 지정 날짜를 선택할 수 있습니다:
The date modal displays a calendar view, and fields at the bottom for "From Time" and "To Time."
* **데이터(GB)**: 지정된 크기(GB)의 데이터 집합에 대해 리플레이를 실행하려면 이 옵션을 선택하세요. * 다음 옵션 중 하나를 선택하세요. **데이터** 드롭다운. * 데이터 집합이 반드시 가장 최근의 `n` 기가바이트라고 보장되지는 않습니다. 6. 클릭하세요. **리플레이 생성**. * 예상 실행 시간과 데이터 크기가 표시됩니다. * 참고: 룰을 변경한 경우, 리플레이를 시작하기 전에 변경 사항을 저장해야 합니다. 리플레이가 처리되는 동안 예상 처리량과 일치한 이벤트를 포함한 진행 상황이 실시간으로 표시됩니다. 리플레이를 취소하지 않고도 언제든지 이 페이지를 나갈 수 있습니다. 일치한 이벤트 비율이 높다면 디택션을 조정하기 위해 리플레이를 중지하는 것을 권장합니다.
The Panther Console displays a message that says the Replay is processing.
## 리플레이 결과 보기 리플레이가 완료되면 디택션 페이지에서 총 알러트 수, 총 룰 오류 수, 처리된 볼륨, 총 일치한 이벤트 수를 포함한 알러트 요약을 볼 수 있습니다. 모든 알러트는 해당 시간 범위 동안 알러트가 활성화되어 있었다면 표시되었을 방식대로 표시됩니다. 이 페이지에서 알러트를 필터링하고 각 알러트와 관련된 이벤트를 볼 수 있습니다.
The Replay Test Summary shows the number of alerts, rule errors, estimated volume processed, and total matched events.
자세한 내용을 보려면 알러트를 클릭하세요. 알러트 페이지에서 **세부정보** 탭을 클릭하면 룰이 활성 상태였을 경우 알러트가 어떤 대상(destination)으로 전송되었을지 확인할 수 있습니다. 이 페이지에는 리플레이의 시작 시간, 종료 시간 및 지속 시간도 포함됩니다. 참고: 데이터를 리플레이하는 동안에는 어떤 알러트도 대상(destination)으로 전송되지 않습니다.
The alert's Details page shows more information, including the destination where you would expect the alert to be sent.
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/detections/testing/data-replay.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.