쿼리 | 로그프레소 소나 사용자 설명서

쿼리

개요

분석 > 쿼리 메뉴에서는 로그프레소 쿼리문을 직접 입력하고 실행하여 데이터를 검색하거나 분석할 수 있습니다. 쿼리 문법과 명령어에 대한 자세한 내용은 로그프레소 쿼리 설명서를 참고하세요.

쿼리 메뉴에서는 쿼리를 직접 입력하고 실행할 수 있으며, 다음과 같은 목적으로 활용할 수 있습니다.

데이터 검색 및 실시간/이력 분석
로그프레소 쿼리 학습 및 테스트
탐지 시나리오 구성을 위한 사전 쿼리 점검

화면 구성 및 기능

쿼리는 일반적으로 데이터 조회 → 필터링 → 가공 순서로 구성됩니다. 모든 데이터는 최종적으로 테이블에 저장되므로, 대부분의 쿼리는 table 명령어로 시작하는 경우가 많습니다. 쿼리 화면은 table 명령을 빠르게 입력할 수 있도록 수집기 목록과 쿼리 실행 영역으로 구성되어 있습니다.

1. 수집기 목록: 수집기 전체 목록을 보여줍니다. 하나 이상의 수집기를 선택한 후 상단의 테이블 입력을 클릭하면, 해당 수집기가 데이터를 저장하는 모든 테이블 이름이 쿼리 입력란에 자동으로 입력됩니다. table 명령어에서 조회할 테이블을 지정할 때 유용하게 사용할 수 있습니다.
2. 쿼리 실행 영역: 쿼리 실행 영역은 하나 이상의 탭 화면으로 구성되며, 각 탭은 다음과 같은 요소로 구성됩니다.

쿼리 입력 창과 실행/취소 버튼
다양한 기능을 제공하는 도구 모음
실행 결과를 표시하는 하단 쿼리 데이터 화면

다음은 쿼리 입력창에 "table duration=1d *:WEB_APACHE | schema web" 명령어를 입력하고 실행 버튼을 클릭해 데이터를 조회한 예시입니다.

각 탭 상단에는 쿼리 실행을 구분하는 쿼리 ID가 표시됩니다.
도구 모음에는 다음과 같은 기능이 제공됩니다:

Note

쿼리 화면에서 다른 화면으로 이동했다가 다시 돌아와도 실행 중이던 쿼리 탭은 그대로 유지됩니다.

쿼리문 입력

쿼리 입력창에 쿼리 입력 시 다음 사항을 참고하세요.

로그프레소 쿼리는 개행문자 대신 파이프(|) 문자를 이용해 명령어를 구분합니다.
입력창은 쿼리를 개행할 경우 최대 12행까지 확장되며, 이를 초과하면 스크롤바가 표시됩니다.
명령어, 숫자, 문자열은 각각 다른 색상으로 표시되어 구문을 쉽게 구분할 수 있습니다.
#으로 시작하는 행은 주석으로 처리되어 실행되지 않습니다.
Shift + Enter 또는 Ctrl + Enter 단축키로 쿼리를 실행할 수 있습니다.

자동 완성

쿼리 입력창은 자동 완성 및 자동 줄 바꿈 기능을 지원합니다. 단축키는 분석 > 쿼리 메뉴뿐 아니라 쿼리 입력창이 있는 모든 화면에서 사용할 수 있습니다.

기능	단축키
명령어/옵션 자동 완성	Ctrl + Space 또는 Ctrl + Shift + Space (Windows/Linux), Cmd + Space (macOS)
자동 줄 바꿈	Ctrl + Shift + F

Note

macOS에서 Cmd + Space는 기본적으로 Spotlight 검색 단축키로 설정되어 있습니다. 로그프레소 소나의 단축키는 변경할 수 없으므로, 시스템 환경 설정에서 충돌되는 단축키를 조정해 사용하세요.

명령어 자동 완성

예를 들어, ta를 입력한 뒤 자동 완성 단축키를 누르면 ta로 시작하는 명령어 목록과 함께 간단한 설명이 표시됩니다. 목록에서 원하는 명령어를 선택하고 Enter 키를 누르면 해당 명령어가 입력창에 삽입됩니다.

입력한 문자열이 정확히 하나의 명령어와 일치하는 경우, 목록 없이 해당 명령어가 바로 자동 입력됩니다.

옵션 자동 완성

명령어에 어떤 옵션이 있는지 모를 경우, 명령어 뒤에 공백을 입력한 상태에서 자동 완성 단축키를 누르면 사용 가능한 옵션 목록과 설명이 표시됩니다. 목록에서 원하는 옵션을 선택하고 Enter 키를 누르면 해당 옵션이 입력창에 삽입됩니다.

입력한 문자열이 정확히 하나의 옵션과 일치하는 경우, 옵션 목록 없이 자동 입력됩니다.

자동 줄 바꿈

파이프(|)가 여러 개 포함된 긴 쿼리문은 한눈에 보기 어렵습니다. Ctrl + Shift + F 단축키를 누르면 명령어 단위로 줄 바꿈이 자동 적용되어 쿼리문이 보기 쉽게 정렬됩니다.

테이블 입력

수집기 목록에서 수집기를 선택하고 테이블 입력 버튼을 클릭하면 해당 수집기가 데이터를 저장하는 테이블 목록이 *:TABLE 형식으로 쿼리 입력창에 자동 입력됩니다. 여기서 *는 모든 노드를 의미합니다. 테이블 경로 형식에 대한 자세한 내용은 table 명령어 설명을 참고하세요.

쿼리문 실행/취소

쿼리문을 실행하려면 실행 버튼을 클릭하거나 Ctrl + Enter 또는 Shift + Enter 단축키를 누르세요. 쿼리 실행 중에는 다음과 같은 동작이 표시됩니다.

쿼리 입력창의 배경색이 변경되어 실행 중임을 시각적으로 표시합니다.
실행 버튼 옆에 취소 버튼이 나타납니다. 실행 중인 쿼리를 중지하려면 취소 버튼을 클릭하세요.

쿼리 탭

여러 쿼리를 동시에 실행하려면 새 탭을 열어 각각 실행하세요. 각 탭은 독립적으로 작동하며, 탭 우측의 X 아이콘을 클릭하면 해당 탭을 닫을 수 있습니다.

최근 쿼리 재실행

새로운 탭을 열면 최근 실행한 쿼리 목록이 표시됩니다. 목록에서 쿼리를 선택하면 해당 쿼리가 즉시 실행됩니다.

실행 중인 쿼리 조회

현재 실행 중인 쿼리 목록은 시스템 > 쿼리 모니터 메뉴에서 확인할 수 있습니다.

저장된 데이터 불러오기

쿼리 결과 불러오기

이벤트, 로그, 피벗, 쿼리 메뉴에서 이전에 저장한 쿼리 결과를 불러올 수 있습니다. 쿼리 결과는 저장 당시의 실행 결과를 그대로 보여주는 정적 데이터입니다.

새 탭의 우측 상단에서 아이콘을 클릭하세요.
컨텍스트 메뉴에서 쿼리 결과 불러오기를 클릭하세요.
쿼리 결과 불러오기 창에서 원하는 결과 항목을 클릭하세요.
선택한 쿼리 결과가 새 탭에 표시됩니다.
쿼리 결과를 삭제하려면 목록에서 항목을 선택한 뒤 상단의 삭제 버튼을 클릭하세요.

데이터셋 불러오기

이벤트, 로그, 피벗, 데이터셋, 쿼리 메뉴에서 이전에 저장한 데이터셋을 불러올 수 있습니다. 데이터셋은 저장된 쿼리를 실행해 현재 시점의 데이터를 조회하는 동적 객체입니다.

새 탭의 우측 상단에서 아이콘을 클릭하세요.
컨텍스트 메뉴에서 데이터셋 불러오기를 클릭하세요.
쿼리 결과 불러오기 창에서 원하는 결과 항목을 클릭하세요.
해당 데이터셋의 쿼리가 즉시 실행되며, 결과가 새 탭에 표시됩니다. 쿼리 조건에 해당하는 데이터가 없으면 결과가 조회되지 않을 수 있습니다.

쿼리문/실행 결과 저장

데이터셋으로 저장

데이터셋은 쿼리 실행 결과가 아닌, 쿼리문 자체를 저장하여 조회 시점의 최신 데이터를 가져오는 방식으로 동작합니다.

도구 모음에서 아이콘을 클릭하세요.
컨텍스트 메뉴에서 데이터셋으로 저장을 클릭하세요.
데이터셋 추가 대화상자에서 이름, 설명을 입력한 후 추가 버튼을 클릭하세요. 저장한 데이터셋은 분석 > 데이터셋 메뉴에서 확인할 수 있습니다.

Tip

데이터셋 쿼리는 table, fulltext 명령어로 시작할 경우 duration 옵션을, stream 명령어로 시작할 경우 window 옵션을 함께 사용하는 것이 좋습니다. 데이터셋을 쿼리 또는 대시보드 위젯에서 사용하려면 dataset 명령어를 활용하세요.

데이터셋은 아래와 같이 활용할 수 있습니다:

분석 > 이벤트: 데이터 유형을 데이터셋으로 지정해 이벤트 조건에 맞는 데이터를 조회
분석 > 피벗: 데이터셋 기반으로 피벗 분석 수행
분석 > 쿼리: 데이터셋 불러오기 기능으로 쿼리 실행
대시보드 > 위젯 관리 > 쿼리 위젯 추가: 데이터 유형을 데이터셋으로 설정해 차트나 테이블 위젯에 표시할 데이터 조회
정책 > 배치 탐지: 시나리오 생성 시 분석 방식으로 데이터셋 선택

쿼리 결과 저장

쿼리 결과는 특정 시점에 실행한 쿼리의 결과 데이터를 저장한 정적 객체입니다. 쿼리 결과로 저장해두면 쿼리문을 다시 작성하지 않고도 쿼리 ID를 사용해 동일한 결과를 즉시 조회할 수 있습니다.

도구 모음에서 아이콘을 클릭하세요.
컨텍스트 메뉴에서 쿼리 결과 저장을 선택하세요.
쿼리 결과 저장 대화상자에서 저장할 이름을 입력한 후 확인 버튼을 클릭하세요. 저장된 쿼리 결과는 쿼리 결과 불러오기 기능을 통해 언제든지 다시 확인할 수 있습니다.

쿼리 결과 다운로드

쿼리 실행 결과를 파일로 다운로드하려면,

도구 모음에서 아이콘을 클릭하세요.
컨텍스트 메뉴에서 쿼리 결과 다운로드를 클릭하세요.
쿼리 결과 다운로드 대화상자에서 항목을 설정한 후 다운로드 버튼을 클릭하세요.
- 파일 이름: 다운로드할 쿼리 실행 결과 파일의 이름(기본값: 티켓)
- 컬럼: 파일에 저장할 로드 데이터 속성. 전체 선택을 클릭하면 모든 속성을 파일에 기록합니다.
- 파일 형식: 다운로드할 파일의 형식(기본값: CSV)
  - CSV: CSV 파일
  - Excel XML: Microsoft Excel에서 열어볼 수 있는 XML 파일
  - Microsoft Word: DOCX 파일
  - HTML: HTML 파일
  - JSON: JSON 파일
  - PDF: PDF 파일
  - Hancom HWPX: HWPX 파일
- 파일 인코딩: 파일 인코딩 형식을 선택하세요(UTF-8, UTF-16 BE, 확장완성형, 기본값: 확장완성형).
- 범위: 파일에 저장할 쿼리 결과 개수를 지정하세요. 조회된 결과의 지정한 개수만큼 저장됩니다.
- 파일 분할 압축: 쿼리 결과를 분할 건수를 기준으로 파일에 분할해 저장한 다음, ZIP 파일로 다운로드(기본값: 사용 안 함). 이 옵션을 선택하면 분할 건수를 지정할 수 있습니다.
  - 분할 건수: 파일 하나에 저장할 최대 건수를 입력하세요 (기본값: 100,000 / 최소: 1,000).

Note

파일 분할 압축은 4.0.2409.0 버전부터, Hamcom HWPX 파일 형식은 4.0.2507.0 버전부터 지원합니다.

쿼리 실행 정보 조회

도구 모음에서 아이콘을 클릭하면 화면 하단에 현재 쿼리 조건에 따라 실행된 쿼리문과 실행 시각, 처리 시간, 단계별 레코드 수를 확인할 수 있습니다.

쿼리 실행 결과 표시 개수 변경

쿼리 결과는 기본적으로 50건씩 페이지를 나눠 표시됩니다. 한 페이지에 표시할 데이터 개수를 변경하려면, 쿼리 결과 화면의 도구 모음에서 표시 개수 버튼을 클릭한 다음, 원하는 값을 선택하세요.