룩업

개요

룩업은 분석 과정에서 반복해서 참조하는 기준 데이터를 별도 테이블로 정리해 두고 재사용하는 기능입니다. 예를 들어 사용자 계정, 장비 코드, 지역 코드, 자산 식별자처럼 자주 대조해야 하는 값을 룩업으로 관리해 두면 쿼리 작성과 후속 분석 작업을 단순화할 수 있습니다.

이 기능은 탐지나 검색 결과 자체를 만드는 기능이라기보다, 다른 분석 기능에서 참조할 공통 데이터를 준비하고 유지하는 데 목적이 있습니다. 쿼리에서 룩업 데이터를 조인하려면 lookup 명령을 사용하세요. 룩업 테이블 내용을 직접 조회하려면 lookuptable 명령을 사용하세요.

적합한 활용 사례

다음과 같은 경우에 룩업을 활용하면 분석 효율을 높일 수 있습니다.

  • 안정적인 기준 데이터: 자주 바뀌지 않는 조직 코드, 자산 목록, 국가 코드, IP 대역 같은 데이터를 등록해 두고 탐지 시나리오나 쿼리에서 반복 참조할 때
  • 소규모 기준 데이터: 수천~수만 건 이내의 데이터를 여러 분석 작업에서 빠르게 조인해야 할 때
  • 공통 참조 데이터: 여러 쿼리, 탐지 시나리오, 프로시저에서 동일한 기준 데이터를 공유해야 할 때
  • 필드 보강: 로그나 이벤트에 부서명, 자산 유형, 담당자 정보 같은 추가 컨텍스트를 lookup 명령으로 덧붙일 때
주의가 필요한 경우

다음 상황에서는 룩업 대신 다른 방법을 고려하세요.

  • 대용량 데이터: 룩업은 조회 시 전체 데이터를 메모리에 올리기 때문에, 레코드 수가 많아질수록 메모리 사용량이 증가합니다. 수십만 건 이상의 대규모 데이터는 테이블에 저장해 쿼리로 직접 조인하는 편이 메모리 효율이 높습니다.
  • 빈번한 갱신: 실시간으로 값이 바뀌거나 자동화된 프로세스가 지속적으로 업데이트하는 데이터는 룩업 관리 부하가 커질 수 있습니다.
  • 기존 테이블 데이터 중복: 시스템 테이블에 이미 존재하는 데이터를 룩업으로 중복 유지하면 동기화 비용이 발생합니다. 이 경우 해당 테이블을 직접 쿼리하거나 데이터셋으로 정의하세요.
계정 권한
기능관리자일반 사용자
룩업 목록 조회
룩업 레코드 조회
룩업 추가·수정·삭제
레코드 추가·수정·삭제
레코드 업로드·다운로드

일반 사용자에게 룩업 데이터를 제한적으로 제공해야 할 때는 프로시저나 별도 조회 흐름으로 노출 범위를 제어하세요.

룩업 목록 조회/검색

분석 > 룩업에서 등록된 룩업 목록을 조회할 수 있습니다.

룩업 목록

  • 이름: 룩업의 고유 이름입니다. 행을 클릭하면 오른쪽 패널에서 해당 룩업을 엽니다.
  • 설명: 룩업의 용도나 관리 목적을 설명하는 텍스트입니다.
  • 건수: 현재 룩업에 저장된 레코드 수입니다.

목록 상단 검색 상자에 검색어를 입력한 뒤 검색하면 이름 또는 설명에 해당 문자열이 포함된 룩업만 필터링됩니다. 검색은 대소문자를 구분하지 않습니다.

목록 다운로드

룩업 목록을 파일로 저장하려면 도구 모음에서 다운로드를 클릭하세요.

룩업 목록 다운로드

  • 이름: 내려받을 파일 이름입니다.
  • 컬럼: 파일에 포함할 룩업 속성입니다.
  • 형식: 저장할 파일 형식입니다.
  • 인코딩: 파일 문자 인코딩입니다.
  • 범위: 내려받을 목록 건수입니다.
목록 새로 고침

룩업 목록을 최신 상태로 다시 불러오려면 도구 모음에서 새로 고침을 클릭하세요.

룩업 데이터 조회

목록에서 특정 룩업 행을 클릭하면 오른쪽 상세 패널이 열리고, 기본 탭에서 해당 룩업의 레코드를 조회할 수 있습니다.

룩업 레코드 조회

레코드 화면에서는 룩업에 저장된 데이터를 그리드 형태로 확인할 수 있습니다. 첫 번째 필드는 키 필드로 사용되며, 레코드 추가와 수정, 삭제, 업로드, 다운로드 작업도 이 화면에서 수행합니다.

룩업 스키마 조회

기존 룩업의 구조를 확인하려면 상세 패널 상단의 룩업 스키마 탭을 클릭하세요.

룩업 스키마 조회

스키마 탭에서는 이름, 설명, 필드 목록과 각 필드의 길이, 빈 값 허용 여부를 확인할 수 있습니다.

  • 첫 번째 필드는 키 필드이며 빈 값을 허용할 수 없습니다.
  • 기존 룩업에서는 필드 추가와 삭제 버튼이 비활성화됩니다.
  • 룩업 스키마는 생성 시점에만 정의할 수 있으므로, 기존 룩업에서는 이름설명만 수정할 수 있습니다.
Note
필드 수는 최대 40개입니다. 각 필드 길이는 최대 2,000자이고, 첫 번째 키 필드는 최대 255자까지 사용할 수 있습니다.

룩업 추가

새 기준 데이터를 등록해야 할 때는 새 룩업을 먼저 만들고 스키마를 정의하세요.

  1. 분석 > 룩업의 도구 모음에서 추가를 클릭하세요.

  2. 룩업 추가 화면에서 기본 속성을 입력하세요.

    룩업 기본 속성

    • 이름: 룩업의 고유 이름입니다. 영문, 숫자, 밑줄(_)만 사용할 수 있습니다. (필수, 최대 240자)
    • 설명: 룩업의 용도와 관리 목적입니다. (최대 2,000자)

  3. 같은 화면에서 룩업 스키마를 정의하세요.

    룩업 스키마 설정

    • 필드 이름: 필드의 고유 이름입니다. 영문, 숫자, 밑줄만 사용할 수 있으며 created, created_at, updated, updated_at은 사용할 수 없습니다. (필수, 최대 255자)
    • 길이: 각 필드에 저장할 값의 최대 길이입니다. (필수, 범위: 1~2000)
    • 빈 값 허용: 해당 필드에 빈 값을 허용할지 결정합니다.
    • 첫 번째 필드는 키 필드로 사용되며 빈 값을 허용할 수 없습니다.
    • 새 필드를 눌러 필드를 추가할 수 있으며, 첫 번째 필드를 제외한 나머지 필드는 삭제 버튼으로 제거할 수 있습니다.

  4. 입력한 내용을 검토한 뒤 저장을 클릭하세요.

Caution
룩업은 생성한 뒤 스키마를 바꿀 수 없습니다. 필드 이름, 길이, 빈 값 허용 여부가 정확한지 저장 전에 반드시 확인하세요.

룩업 수정

기존 룩업의 이름이나 설명을 정리해야 할 때는 스키마 탭에서 기본 속성만 수정할 수 있습니다.

  1. 목록에서 수정할 룩업을 클릭하세요.

  2. 상세 패널에서 룩업 스키마 탭을 클릭하세요.

  3. 이름설명을 수정한 뒤 저장을 클릭하세요.

    룩업 기본 속성 수정

Note
기존 룩업에서는 필드 이름, 길이, 빈 값 허용 여부를 수정할 수 없습니다. 스키마를 바꿔야 하면 새 룩업을 만들어 데이터를 다시 적재하세요.

룩업 삭제

더 이상 사용하지 않는 룩업을 제거하려면 목록에서 여러 건을 선택해 한 번에 삭제할 수 있습니다.

  1. 삭제할 룩업 행의 체크박스를 선택하세요.

  2. 선택 액션 영역에서 삭제를 클릭하세요.

  3. 룩업 삭제 확인 창에서 삭제 대상을 검토한 뒤 삭제를 클릭하세요.

    룩업 삭제

룩업 레코드 관리

룩업을 연 뒤 기본 조회 탭에서 레코드를 직접 관리할 수 있습니다. 이 영역에서는 단건 추가, 일괄 입력, CSV 업로드, 삭제, CSV 다운로드를 모두 수행합니다.

도구 모음

룩업 레코드 도구 모음

다음 도구를 사용할 수 있습니다.

(1) 레코드 필터
전체 레코드 또는 체크한 레코드만 보이도록 전환합니다.
(2) 검색
검색어를 입력한 뒤 Enter를 누르거나 검색을 실행하면 해당 문자열이 포함된 레코드를 찾습니다.
(3) 특정 행으로 이동
행 번호를 입력한 뒤 이동하면 해당 번호 위치로 바로 스크롤합니다.
(4) 조회 건수
현재 화면에서 조회 중인 레코드 수를 표시합니다.
(5) 새 레코드
단건 입력 상자를 열어 레코드를 한 건 추가합니다.
(6) 일괄 입력
편집 그리드 모드로 전환해 여러 레코드를 한 번에 입력합니다.
(7) 업로드
CSV 파일을 업로드해 레코드를 추가합니다.
(8) 다운로드
현재 룩업 레코드를 CSV 파일로 내려받습니다.
(9) 삭제
선택한 레코드를 삭제합니다.
(10) 새로 고침
레코드 목록을 다시 불러옵니다.
단일 입력

레코드를 한 건만 추가할 때는 새 레코드를 사용하세요.

  1. 레코드 조회 화면에서 새 레코드를 클릭하세요.

  2. 입력 상자에 각 필드 값을 입력한 뒤 추가를 클릭하세요.

    레코드 단일 입력

  3. 입력값이 스키마 제약 조건에 맞지 않으면 오류 메시지를 확인하고 값을 수정하세요.

    레코드 단일 입력 오류

단일 입력에서는 다음과 같은 오류가 발생할 수 있습니다.

  • 키 필드가 비어 있는 경우
  • 키 값이 이미 등록된 경우
  • 필드 값이 최대 길이를 초과한 경우
  • 빈 값을 허용하지 않는 필드에 값을 입력하지 않은 경우
일괄 입력

여러 레코드를 한 번에 추가할 때는 일괄 입력을 사용하세요. 이 모드는 스프레드시트처럼 여러 셀을 직접 편집하거나 외부 표 데이터를 붙여넣는 작업에 적합합니다.

  1. 레코드 조회 화면에서 일괄 입력을 클릭하세요.

  2. 편집 모드에서 값을 입력하거나 스프레드시트 내용을 붙여넣으세요.

    레코드 일괄 입력

  3. 입력이 끝나면 저장을 클릭하세요.

일괄 입력은 최대 1,000행까지 지원합니다. 각 행은 현재 룩업 스키마의 필드 순서와 제약 조건을 따라야 합니다.

  • 키 필드는 반드시 값을 포함해야 합니다.
  • 키 값은 현재 입력 중인 데이터 내부에서도 중복되면 안 됩니다.
  • 각 필드는 정의된 최대 길이를 넘을 수 없습니다.
  • 빈 값을 허용하지 않는 필드는 값을 반드시 입력해야 합니다.

유효하지 않은 셀은 오류 상태로 표시됩니다.

레코드 일괄 입력 오류

오류가 있는 행만 따로 확인하려면 필터를 오류로 전환하세요.

일괄 입력 오류 필터

파일 업로드

대량의 레코드를 별도 파일로 관리하고 있다면 CSV 업로드를 사용하세요.

  1. 레코드 조회 화면의 헤더 도구 모음에서 업로드를 클릭하세요.

  2. 룩업 파일 업로드 창에서 CSV 파일과 문자 인코딩을 선택한 뒤 업로드를 클릭하세요.

    룩업 레코드 업로드

    • 파일: 업로드할 CSV 파일입니다. .csv 파일만 지원합니다.
    • 인코딩: UTF-8, UTF-16 BE, 확장완성형(MS949) 중 하나를 선택합니다.

  3. 업로드할 CSV 파일은 다음 조건을 만족해야 합니다.

    • 첫 행에 룩업 스키마의 필드 이름이 포함되어 있어야 합니다.
    • 키 필드는 반드시 값을 포함해야 합니다.
    • 각 필드는 스키마에 정의된 길이와 빈 값 허용 조건을 따라야 합니다.

  4. 파일 검증에 실패하면 업로드 오류 창이 열립니다. 대표적인 오류는 다음과 같습니다.

    • CSV 헤더와 룩업 스키마의 필드 구성이 맞지 않는 경우

      룩업 업로드 헤더 오류

    • 키 필드가 비어 있거나 중복된 경우, 또는 값 길이가 스키마 길이를 초과한 경우

      룩업 업로드 값 오류

  5. 검증이 끝나고 저장이 완료되면 완료 메시지가 표시됩니다.

    룩업 업로드 완료

레코드 삭제

  1. 레코드 조회 화면에서 삭제할 행을 체크하세요.

    삭제할 레코드 선택

  2. 헤더 도구 모음의 삭제를 클릭하세요.

  3. 레코드 삭제 확인 창에서 삭제 건수를 검토한 뒤 삭제를 클릭하세요.

    룩업 레코드 삭제

레코드 백업

  1. 현재 룩업의 레코드를 CSV 파일로 백업하려면 레코드 조회 화면의 헤더 도구 모음에서 다운로드를 클릭하세요.

    레코드 도구 모음의 다운로드 버튼

  2. 룩업 레코드 다운로드 창에서 파일 이름과 범위를 확인한 뒤 확인을 클릭하세요.

    룩업 레코드 백업

레코드 백업은 CSV 형식으로 제공되며, 현재 룩업의 데이터 보관이나 외부 검토에 사용할 수 있습니다.