이벤트

개요

분석 > 이벤트 메뉴에서는 실시간 탐지와 배치 탐지에서 생성된 이벤트를 한 화면에서 조회할 수 있습니다. 탐지 현황이 시나리오 단위의 집계 화면이라면, 이벤트 메뉴는 실제 탐지 레코드를 시간순으로 검토하고 특정 필드 값을 기준으로 더 자세히 분석하는 화면입니다.

이벤트는 탐지 규칙이 조건에 매칭되었을 때 생성하는 탐지 요약 레코드입니다. 규칙명, 중요도, 메시지, 출발지/목적지 IP·포트 등 대응 판단에 필요한 핵심 정보를 담고 있습니다. 탐지를 유발한 실제 로그 원본은 별도의 원본 이벤트 테이블에 저장되며, 이벤트 화면에서 원본 이벤트 조회를 통해 확인할 수 있습니다. 예를 들어 브루트포스 탐지 이벤트 1건의 원본 이벤트를 조회하면, 탐지를 유발한 로그인 시도 로그 여러 건을 확인할 수 있습니다.

이 화면은 피벗 분석 화면을 그대로 사용하므로, 단순 목록 조회에 그치지 않고 기간, 입력 필터, 결과 필터, 행·열·값 구성을 바꿔 분석 관점을 조정할 수 있습니다. 탐지 규칙별 상세 이벤트를 추적하거나, 특정 출발지 IP 주소와 목적지 IP 주소 조합을 중심으로 반복된 인증 시도를 확인할 때 유용합니다.

이벤트 목록 조회

분석 > 이벤트에서 이벤트 목록을 조회할 수 있습니다. 기본 화면은 조회 대상이 이벤트로 설정되어 있으며, 좌측 패널에는 조회 조건이, 우측 영역에는 조회 결과 표가 표시됩니다.

조회 대상: 이벤트: 현재 화면이 이벤트 데이터 원본을 대상으로 조회 중임을 나타냅니다.
시작 / 끝: 조회 기간입니다. 기본값은 조회 시점 기준 당일 0시부터 현재 시각까지입니다.
입력 필터: 원본 이벤트를 가져오기 전에 적용할 조건입니다.
결과 필터: 조회된 결과에 추가로 적용할 조건입니다.
값 / 행 / 열: 피벗 분석 방식으로 이벤트를 재구성할 때 사용하는 설정 항목입니다.
필드: 표에 표시하거나 분석에 사용할 이벤트 필드 목록입니다.
실행: 현재 조건으로 이벤트 조회를 다시 실행합니다.
쿼리 상태 보기: 현재 조회에 사용된 쿼리 상태를 확인합니다.
위젯: 현재 결과를 위젯으로 생성해 대시보드에서 재사용합니다.
내보내기: 현재 결과를 파일로 내보냅니다.

이벤트 표에서는 시각, 중요도, 탐지규칙, 메시지, 출발지IP, 출발지포트, 목적지IP, 목적지포트처럼 탐지 분석에 자주 쓰는 필드를 바로 확인할 수 있습니다. 더미 데이터 기준으로도 시나리오별 메시지와 IP, 포트 정보가 다르게 표시되므로 반복 패턴과 차이를 비교하기 쉽습니다.

조회 조건 조정

특정 기간의 이벤트만 보거나 다른 분석 관점으로 결과를 재구성하려면 좌측 패널의 조회 조건을 수정하세요.

시작, 끝 항목에서 조회 기간을 지정하세요.
필요하면 입력 필터 또는 결과 필터에 조건을 추가하세요.
피벗 분석이 필요하면 값, 행, 열에 필드를 배치하세요.
실행을 클릭하면 조건이 반영된 결과가 우측 표에 표시됩니다.

Note

기본 화면은 이벤트를 시간순 목록으로 확인하기 쉬운 형태로 열립니다. 행, 열, 값을 지정하면 단순 목록이 아니라 피벗 분석 결과 형태로 바뀔 수 있습니다.

원본 이벤트 조회

이벤트 화면에 표시되는 데이터는 탐지 규칙이 생성한 요약 레코드입니다. 탐지를 유발한 실제 로그 원본을 확인하려면 이벤트 표에서 특정 필드 값을 우클릭한 뒤 원본 이벤트 조회를 사용하세요.

분석 > 이벤트 화면에서 조회된 이벤트 항목 중 특정 필드 값을 마우스 오른쪽 버튼으로 클릭하세요.

우클릭 메뉴에서는 원본 이벤트 조회 외에도 복사, 값 비교, 포함 여부 확인 같은 보조 기능을 사용할 수 있습니다.
팝업 메뉴에서 원본 이벤트 조회를 클릭하세요. 해당 이벤트의 근거 자료인 원본 로그를 새 브라우저 창에서 확인할 수 있습니다.

원본 이벤트 화면에서는 선택한 이벤트 한 건의 내부 필드 값을 더 자세히 검토할 수 있습니다. 이 화면은 탐지 규칙에서 생성된 메시지만으로 판단하기 어려울 때, 실제 원본 이벤트 식별자나 시각 값을 다시 확인하는 용도로 사용합니다.