피벗 | 로그프레소 소나 사용자 인터페이스 설명서

피벗

개요

분석 > 피벗 메뉴에서는 수집된 로그, 이벤트, 데이터셋, 행위 프로파일 결과를 항목별로 묶고 집계해 관계와 분포를 분석할 수 있습니다. 로그 화면이 개별 레코드를 직접 확인하는 데 적합하다면, 피벗은 같은 데이터를 요약하고 비교해 반복 패턴이나 이상 징후를 빠르게 파악하는 데 적합합니다.

보안관제 담당자는 주로 다음 상황에서 피벗을 활용합니다.

분포 파악: 웹 접속 로그에서 봇 유형별 접근 건수나 IP 대역별 접근 빈도를 집계해 정상 트래픽과 이상 트래픽의 분포를 비교합니다.
침해 지표 교차 검증: 탭을 나누어 이벤트 로그와 위협 인텔리전스 데이터를 각각 적재한 뒤 연관 분석으로 침해 지표가 내부 로그에 나타났는지 확인합니다.
주기적 보고 자동화: 반복적으로 확인해야 하는 집계 결과를 위젯으로 저장하면 대시보드에서 자동으로 갱신해 지속적으로 모니터링할 수 있습니다.

피벗에서 만든 분석 결과는 데이터셋으로 저장해 다른 분석의 기초 데이터로 재사용하거나, 위젯으로 추가해 대시보드에서 지속적으로 모니터링할 수 있습니다. 자주 사용하는 데이터 원천 조건과 필드 배치는 .pivot 파일로 내보내 동일한 분석 구성을 빠르게 재현할 수 있습니다.

계정 권한

기능	관리자(마스터·관리자)	일반 사용자
피벗 화면 접근	✔	✔
쿼리 결과 다운로드	✔	✔
쿼리 결과 저장	✔	✔
데이터셋 저장	✔	✔
피벗 파일 내보내기·불러오기	✔	✔
위젯 추가	✔	—

피벗 화면에 접근하려면 피벗 조회 권한이 필요합니다. 이 권한은 사용자 계정에 기본으로 부여됩니다. 단, 기능 권한이 있어도 조회 대상 테이블에 대한 접근 권한이 있어야 데이터를 불러올 수 있습니다.

위젯 추가 기능은 대시보드 관리 또는 위젯 편집 권한이 있는 계정만 사용할 수 있습니다.

작업 순서

다음 그림은 피벗을 활용한 데이터 분석 과정을 도식화한 것입니다.

1 단계: 데이터 적재: 데이터 유형, 범위, 조회 대상, 스키마를 지정해 분석할 데이터를 작업 공간으로 불러옵니다.
2 단계: 데이터 가공: 입력 필터, 결과 필터, 필드 정리, 값/행/열 배치를 통해 분석에 적합한 형태로 데이터를 정리합니다.
3 단계: 데이터 분석: 피벗 테이블이나 연관 분석을 이용해 항목 간 관계를 비교하고, 분포와 집계 결과를 확인합니다.
4 단계: 분석 결과 활용: 완성한 결과를 데이터셋, 위젯, 피벗 파일 같은 형태로 저장해 반복 분석이나 대시보드 구성에 활용합니다.

화면 구성

탭

피벗은 탭 단위로 분석을 분리해 관리할 수 있습니다. 우측 상단의 + 버튼을 클릭하면 새 탭이 열리며, 기존 탭의 결과를 유지한 채 다른 조건으로 추가 분석을 진행할 수 있습니다. 탭을 나누면 연관 분석에서 두 데이터 집합을 비교하는 데에도 유용합니다.

탭 이름은 기본적으로 적재한 대상 이름으로 표시됩니다. 여러 탭을 사용할 때는 탭 이름을 분석 목적에 맞게 바꿔 두면 작업 중 구분하기 쉽습니다.

데이터 적재 전

분석 > 피벗 메뉴에 처음 진입하면 좌측에 데이터 적재 패널, 우측에 빈 작업 공간이 표시됩니다.

1. 탭: 피벗 작업은 탭 단위로 진행됩니다. 새 탭을 열어 서로 다른 조건의 분석을 나란히 수행할 수 있습니다.
2. 데이터 적재 패널: 데이터 유형, 범위, 조회 대상, 스키마를 선택해 작업 공간으로 데이터를 불러오는 영역입니다.
3. 작업 공간: 아직 데이터를 적재하지 않았을 때는 안내 문구만 표시되며, 적용을 클릭하면 결과가 출력됩니다. 이미 저장해 둔 .pivot 파일이 있다면 피벗 불러오기를 클릭해 분석 구성을 복원할 수도 있습니다.

데이터 적재 후

데이터를 적재하면 탭 이름이 선택한 대상 이름으로 바뀌고, 좌측 패널도 분석 도구 중심의 화면으로 전환됩니다.

1. 조회 정보: 적재한 조회 대상, 기간, 테이블, 스키마를 다시 확인할 수 있습니다. 정보 영역을 클릭하면 실제 실행된 쿼리를 복사하거나 수정을 눌러 조건을 다시 지정할 수 있습니다.
2. 분석 도구: 입력 필터, 결과 필터, 값, 행, 열, 필드 영역이 표시됩니다. 필드를 배치하거나 조건을 추가해 결과를 다시 구성할 수 있습니다.
3. 도구 모음: 실행, 쿼리 상태 보기, 위젯, 내보내기 같은 후속 작업 버튼이 표시됩니다. 현재 결과를 데이터셋으로 저장하거나 다운로드하려면 도구 모음 우측의 추가 메뉴 버튼을 클릭하세요.
4. 결과 그리드: 적재한 데이터가 표 형태로 표시됩니다. 아직 값, 행, 열 구성을 하지 않았다면 원본 레코드 형태의 그리드가 먼저 나타납니다. 그리드 상단의 보기 전환 버튼으로 차트 모드로 전환할 수도 있습니다.

데이터 적재

데이터 유형, 범위, 조회 대상, 스키마를 지정하고 적용 버튼을 클릭해 작업 공간에 데이터를 불러옵니다. 적재된 데이터는 이후 필드 선택, 필터, 집계 같은 가공 단계의 입력이 됩니다. 기본적으로 최대 10,000건까지 적재되며, 이 상한은 결과 필터에서 조정할 수 있습니다.

데이터 유형

조회할 데이터의 원천 유형을 선택합니다(기본값: 수집기). 선택한 유형에 따라 하단의 조회 대상, 스키마, 범위 입력 항목이 달라집니다.

수집기: 선택한 수집기에서 수집된 데이터를 조회합니다. 하나의 테이블을 여러 수집기가 공유하는 경우, 선택한 수집기를 거쳐 적재된 데이터만 조회합니다.
테이블: 선택한 테이블에 저장된 데이터를 조회합니다. 여러 수집기가 기록하는 공용 테이블이나 시스템 테이블을 직접 확인할 때 사용합니다.
데이터셋: 선택한 데이터셋을 실행해 결과를 조회합니다. 데이터셋은 고정된 쿼리를 실행하므로 범위와 스키마는 지정할 수 없습니다.
행위 프로파일: 선택한 행위 프로파일에서 최근 빌드된 데이터를 조회합니다. 사용자·엔티티 행위와의 편차를 확인해 이상 징후를 탐지하는 데 활용합니다.
이벤트: 실시간 탐지 또는 배치 탐지 시나리오가 생성한 이벤트 데이터를 조회합니다. 이벤트 스키마는 고정되어 있으므로 조회 대상과 스키마는 선택하지 않습니다.
쿼리: 쿼리문을 직접 작성해 실행합니다. 사전 정의된 유형으로 표현할 수 없는 조회 조건이 필요할 때 사용하세요.

Note

수집기와 테이블 중 선택이 고민된다면, 특정 수집기를 통해 들어온 데이터만 보려면 수집기를, 여러 수집기가 공유하는 테이블이나 시스템 테이블 전체를 보려면 테이블을 선택하세요. 테이블 목록은 system tables 쿼리로 확인할 수 있습니다.

범위

범위는 _time 필드를 기준으로 조회할 기간을 지정하는 항목입니다. 데이터 유형이 데이터셋 또는 쿼리인 경우에는 기간 조건을 지정할 수 없습니다. 기본값은 현재 시각 기준 과거 24시간이며, 행위 프로파일은 전체 기간이 기본값입니다.

날짜 범위: 지정한 시작(from)과 끝(to) 사이의 데이터를 조회합니다. 끝 시각은 범위에 포함되지 않습니다.
최근 기간: 지정한 최근(from) 시점부터 현재까지의 데이터를 조회합니다(기본값: 1일).
- 절사 단위: 선택한 단위(초, 분, 시, 일)로 _time 필드 값을 절사합니다(기본값: 선택 안 함). datetrunc() 함수를 적용한 것과 동일한 결과를 생성하므로, 통계 위젯용으로 동일 간격의 데이터를 준비할 때 유용합니다.
전체 기간: 선택한 조회 대상에 기록된 모든 데이터를 조회합니다.

조회 대상

데이터 유형에 맞는 원천 목록에서 조회할 대상을 하나 이상 선택합니다. 수집기와 테이블은 그룹 계층이 있는 트리에서 선택하고 검색어로 필터링할 수 있으며, 선택한 개수가 목록 하단에 표시됩니다. 행위 프로파일과 데이터셋은 단일 항목을 드롭다운에서 선택합니다. 이벤트와 쿼리는 별도의 조회 대상을 선택하지 않습니다.

Note

피벗 설정에서 스키마는 하나만 지정할 수 있습니다. 서로 다른 스키마가 적용된 대상을 함께 조회하려면 원본 스키마를 선택하거나, 대상별로 탭을 나누어 적재한 뒤 연관 분석으로 비교하세요.

스키마

데이터 유형이 수집기 또는 테이블인 경우에 스키마를 지정할 수 있습니다. 스키마를 지정하면 원본 필드가 스키마의 필드 이름으로 정규화되어 적재되며, 스키마에 정의되지 않은 필드는 제외됩니다. 스키마 드롭다운은 검색 입력을 지원하므로 이름의 일부만으로도 빠르게 찾을 수 있습니다.

수집기: 선택한 수집기가 참조하는 수집 모델의 정규화 규칙에 해당하는 스키마와 원본을 선택할 수 있습니다.
테이블: 테이블에 연결된 스키마가 별도로 없으므로 시스템에 등록된 모든 로그 스키마와 원본을 선택할 수 있습니다. 테이블에 데이터를 기록할 때 적용한 스키마를 선택하세요.
원본: 정규화 없이 수집된 원본 필드를 그대로 조회합니다. 이 경우 하단의 필드 목록은 나타나지 않습니다.

Note

정규화 과정에서 원본 필드가 스키마 정의와 일치하지 않으면 해당 데이터가 조회되지 않을 수 있습니다. 앱에서 제공하는 확장 스키마를 사용하면 기본 스키마보다 많은 필드를 확보할 수 있습니다.

데이터 적재 실행

조건 설정을 마친 뒤 적용 버튼을 클릭하면 작업 공간에 데이터가 적재됩니다. 적재가 완료되면 좌측 옵션 패널은 데이터 가공에 필요한 항목(필터, 값, 행, 열)으로 전환되고, 우측 본문에는 결과 표가 표시됩니다. 조건을 채우지 않고 적용하면 누락된 항목에 오류 메시지가 나타나며 적재가 진행되지 않습니다. 데이터 유형이 쿼리인 경우 Ctrl + Enter 단축키로도 적용할 수 있습니다.

재적재

다른 조건으로 데이터를 다시 불러오려면 조회 정보 영역 오른쪽의 수정 버튼을 클릭하세요. 데이터 적재 화면이 다시 나타나며, 이때 현재 조건이 그대로 채워져 있으므로 필요한 부분만 바꾼 뒤 적용 버튼을 눌러 반영합니다. 유형 자체를 바꾸는 경우에는 조회 대상과 스키마가 초기화됩니다. 조건을 바꾸지 않고 돌아가려면 취소 버튼을 클릭합니다.

데이터 원천 정보 확인

적재된 데이터가 어떤 쿼리로 조회되었는지 확인하려면 조회 정보 영역 오른쪽의 정보 아이콘을 클릭하세요. 팝오버에 실제 실행된 쿼리문이 표시되어, 수집기·테이블 기반 설정이 내부적으로 어떤 쿼리로 변환되는지 확인할 수 있습니다.

복사: 팝오버의 복사 버튼을 클릭하면 쿼리문이 클립보드에 복사됩니다. 복사한 쿼리는 쿼리 메뉴에 붙여넣어 그대로 실행하거나, 조건을 더 정교하게 조정한 뒤 피벗의 쿼리 유형으로 다시 사용할 수 있습니다.
수정: 팝오버 옆의 수정 버튼은 데이터 적재 화면으로 돌아가 조건을 바꾸는 재적재 동작과 동일합니다.

데이터 가공

데이터를 적재한 뒤에는 피벗 테이블에 적합한 형태로 가공해야 유의미한 집계 결과를 얻을 수 있습니다. 5.0 피벗은 왼쪽 분석 도구 패널에서 데이터의 흐름을 따라 입력 필터 → 값·행·열 배치 → 결과 필터 순으로 설정하며, 맨 아래 필드 목록에서 배치 영역으로 필드를 드래그해 구조를 만듭니다.

다음 작업을 통해 적재된 데이터를 피벗 형태로 가공할 수 있습니다.

필터 설정: 입력 또는 결과 단계에서 조건에 맞는 레코드만 남기거나, 사용자 정의 변수로 대시보드에서 동적으로 조건을 받습니다.
값·행·열 배치: 어떤 필드를 집계값으로 사용하고, 어떤 필드를 기준 축으로 사용할지 지정합니다.
집계 함수 변경: 값으로 배치된 필드의 집계 방식(개수, 합계, 평균 등)을 선택합니다.
필드 이름 변경·삭제·정렬: 배치된 항목의 표시 이름을 바꾸고, 불필요한 항목을 제거하며, 오름차순/내림차순 정렬을 적용합니다.

Note

가공 작업은 작업 공간에 적재된 데이터에만 적용되며, 원본 테이블이나 데이터셋에는 영향을 주지 않습니다. 변경 내용을 결과에 반영하려면 도구 모음의 실행 버튼을 눌러야 합니다.

필드 목록과 배치 영역

좌측 분석 도구 패널은 위에서부터 입력 필터, 결과 필터, 값, 행, 열, 필드 영역 순으로 구성됩니다.

입력 필터: 데이터를 집계하기 전에 적용되는 전처리 필터입니다. 여기서 걸러진 레코드는 이후 모든 단계에서 제외됩니다.
결과 필터: 값·행·열로 집계가 끝난 뒤 결과에만 적용되는 후처리 필터입니다. 기본으로 결과 개수를 10,000건으로 제한하는 limit 필터가 포함되어 있습니다.
값: 집계 대상이 될 필드입니다. 집계 함수(count, sum 등)와 함께 사용되며, 값 영역에 필드를 하나라도 배치해야 피벗 모드가 활성화됩니다.
행: 집계 결과를 그룹화할 행 기준 필드입니다. 여러 필드를 배치하면 계층 구조로 그룹화됩니다.
열: 집계 결과를 그룹화할 열 기준 필드입니다. 행과 함께 사용하면 교차 집계 테이블이 구성됩니다.
필드: 적재한 데이터의 원본 필드 목록입니다. 각 필드 왼쪽에는 데이터 유형이 표시되며, 항목을 드래그해 값·행·열 영역에 배치합니다. 목록 상단의 개수 항목은 필드 없이 전체 행 수를 세는 기본 집계 항목으로, 값 영역에만 배치할 수 있습니다.

Note

개수 항목은 행이나 열 영역으로 이동할 수 없습니다. 드래그를 시도하면 경고 메시지가 표시됩니다.

필드 영역의 항목을 직접 클릭하면 해당 필드에 대한 필터와 정렬 메뉴가 드롭다운으로 열립니다. 이 경로로 추가된 필터는 항상 입력 필터에 등록됩니다.

입력 필터

집계가 수행되기 전에 원본 레코드를 줄이려면 입력 필터를 사용하세요. 조회 대상 전체를 메모리에 올리기 전에 조건을 먼저 걸면 가공 속도가 빨라지고, 불필요한 데이터로 인한 결과 왜곡도 방지할 수 있습니다.

입력 필터 헤더 오른쪽의 버튼을 클릭하면 일반 필터와 동적 필터 두 가지 방식 중에서 선택할 수 있습니다. 동적 필터는 사용자 정의 변수를 조회할 권한이 있는 계정에게만 표시됩니다.

일반 필터

직접 로그프레소 쿼리문을 입력해 고급 조건을 적용할 때 사용합니다. 비교 연산자로 표현하기 어려운 불리언 값 비교, contains() 같은 함수 호출, 복수 조건 조합 등을 이 방식으로 작성할 수 있습니다.

입력 필터 헤더의 버튼을 클릭한 후 일반 필터를 선택하세요.
쿼리 입력란에 필터로 사용할 쿼리문을 입력하세요(예: search status == 200).
추가 버튼을 클릭하면 입력 필터 목록에 등록됩니다.

동적 필터

대시보드의 입력 컨트롤 위젯에서 입력받은 값을 필터 조건으로 사용하려면 동적 필터를 사용하세요. 대상 필드, 사용자 정의 변수, 비교 조건을 양식으로 지정하면 쿼리문이 자동으로 생성되어 필터로 등록됩니다.

대상 필드: 필터를 적용할 필드입니다. 필드 목록에서 선택하거나, 필드 직접 입력 체크박스를 켜서 필드 이름과 유형을 직접 지정할 수 있습니다.
사용자 정의 변수: 대시보드 입력 컨트롤 위젯이 전달하는 변수입니다. 목록 오른쪽 버튼으로 목록을 갱신하거나 설정 버튼으로 사용자 정의 변수 페이지를 새 창에서 열어 변수를 추가할 수 있습니다.
조건: 대상 필드 값(좌항)과 사용자 정의 변수 값(우항)을 비교할 연산자입니다. 대상 필드의 데이터 유형에 따라 선택 가능한 연산자가 달라집니다.

Note

동적 필터로 만든 필터는 설정 직후에는 쿼리로만 존재하며, 실제 필터링은 대시보드에서 입력 컨트롤 위젯으로 값을 지정했을 때 적용됩니다.

결과 필터

집계가 끝난 결과 위에 다시 조건을 걸고 싶다면 결과 필터를 사용하세요. 예를 들어 "count가 100 이상인 행만 보기"처럼 집계값을 기준으로 추려내는 조건은 입력 필터로는 불가능하며 결과 필터로만 표현할 수 있습니다.

결과 필터 헤더 오른쪽의 버튼으로 일반 필터 또는 동적 필터를 추가할 수 있습니다. 추가 방식과 입력 항목은 입력 필터와 동일합니다.

일반 필터

입력 필터와 동일하게 쿼리문을 직접 작성합니다. 결과 필터로 등록된 쿼리는 집계가 끝난 뒤의 결과 레코드에 적용됩니다.

동적 필터

입력 필터의 동적 필터와 동일한 양식으로 작성하며, 필터가 결과 필터 영역에 등록된다는 점만 다릅니다.

결과 개수 제한

결과 필터에는 기본적으로 결과를 10,000건으로 제한하는 limit 필터가 등록되어 있습니다. 이 필터는 대량의 결과가 브라우저로 전달되는 것을 막아 응답성을 유지하기 위한 안전장치입니다.

Caution

필요한 경우 ![삭제](icons/icon-delete.png) 아이콘으로 기본 `limit` 필터를 제거할 수 있지만, 결과 건수가 큰 데이터셋에서는 그리드 렌더링이 느려지거나 브라우저가 멈출 수 있습니다. 제한 값을 늘리려면 `limit` 필터를 삭제한 뒤 새로운 일반 필터로 `limit 50000`과 같이 다시 등록하세요.

필터 오른쪽의 아이콘을 클릭하면 해당 필터를 제거할 수 있으며, 이는 입력 필터와 결과 필터 모두에 공통됩니다.

값 배치

값 영역은 피벗이 집계할 대상입니다. 필드 목록에서 필드를 값 영역으로 드래그하면 자동으로 기본 집계 함수가 적용됩니다. 숫자 유형 필드는 sum, 그 외 유형은 count가 기본값입니다. 기본 개수 항목을 드래그하면 필드 없이 전체 행 수를 세는 count()가 등록됩니다.

집계 함수 변경

배치된 값 항목을 클릭하면 집계 함수를 선택하는 팝오버가 열립니다. 왼쪽 목록에서 함수를 선택하면 오른쪽에 해당 함수의 설명이 표시되고, 아래 수정 버튼을 누르면 선택한 함수로 교체됩니다.

사용할 수 있는 집계 함수는 다음과 같습니다.

함수	설명
`count`	그룹별 행 수를 계산합니다. 표현식이 지정된 경우 `null`이 아닌 값을 가진 행 수만 반환합니다.
`sum`	그룹에 속한 모든 표현식의 합을 계산합니다. 숫자가 아닌 값과 `null`은 무시됩니다.
`max`	그룹에 속한 표현식 중 최댓값을 반환합니다. `null`은 무시됩니다.
`min`	그룹에 속한 표현식 중 최솟값을 반환합니다. `null`은 무시됩니다.
`avg`	그룹에 속한 모든 표현식의 평균을 계산합니다. 숫자가 아닌 값과 `null`은 무시됩니다.
`var`	그룹에 속한 모든 표현식의 분산을 계산합니다. 숫자가 아닌 값과 `null`은 무시됩니다.
`stddev`	그룹에 속한 모든 표현식의 표준편차를 계산합니다. 숫자가 아닌 값과 `null`은 무시됩니다.
`first`	그룹에 속한 표현식 중 첫 번째 값을 반환합니다.
`last`	그룹에 속한 표현식 중 마지막 값을 반환합니다.
`values`	그룹에 속한 유일한 값의 집합을 배열로 반환합니다. 그룹당 최대 100개까지 수집합니다.
`dc`	유일한 값의 개수를 반환합니다.
`estdc`	유일한 값의 개수를 추정해 반환합니다. 대용량 데이터에서 `dc`보다 빠르게 근삿값을 얻을 때 사용합니다.

Note

같은 필드라도 집계 함수가 다르면 별개의 항목으로 등록됩니다. 예를 들어 bytes 필드에 sum과 avg를 모두 적용해 한 피벗에서 합계와 평균을 동시에 볼 수 있습니다. 단, 집계 함수와 필드 조합이 완전히 같은 항목은 중복으로 추가되지 않습니다.

팝오버 하단에서는 버튼으로 값 항목을 제거하거나, 오름차순/내림차순 정렬 버튼으로 현재 집계값을 기준으로 결과를 정렬할 수 있습니다.

값 필드 이름 변경

배치된 값 항목을 더블 클릭하면 표시 이름을 편집할 수 있는 입력 상자로 전환됩니다. 새 이름을 입력하고 Enter를 누르면 변경이 적용되며, Esc를 누르면 편집이 취소됩니다. 이름을 바꾸면 결과 그리드와 생성 쿼리의 as 절에 반영됩니다.

값 필드 삭제·정렬

값 항목을 클릭한 뒤 열리는 팝오버에서 다음 작업을 수행할 수 있습니다.

삭제: 버튼을 클릭하면 해당 집계 항목이 값 영역에서 제거됩니다.
오름차순/내림차순 정렬: 정렬 버튼을 클릭하면 해당 집계값을 기준으로 sort 필터가 추가됩니다. 오름차순은 작은 값부터, 내림차순은 큰 값부터 정렬합니다.

행 배치

필드 목록에서 행 영역으로 필드를 드래그하면 해당 필드 값을 기준으로 레코드가 그룹화됩니다. 여러 필드를 배치하면 첫 번째 필드가 상위 그룹, 다음 필드가 하위 그룹이 되는 계층형 그룹이 만들어집니다.

행 정렬·삭제·이름 변경

배치된 행 항목을 클릭하면 다음 메뉴가 포함된 드롭다운이 열립니다.

삭제: 해당 필드를 행 영역에서 제거합니다.
오름차순: 해당 필드 값을 기준으로 오름차순 정렬 필터를 추가합니다.
내림차순: 해당 필드 값을 기준으로 내림차순 정렬 필터를 추가합니다.

이름 변경은 값 영역과 동일하게 항목을 더블 클릭해 편집 상자로 전환한 뒤 새 이름을 입력합니다.

행 재배치

행 영역 안에서 항목을 드래그해 순서를 바꿀 수 있습니다. 위에 있는 필드가 상위 그룹이 되므로, 분석 관점을 바꿀 때는 항목 순서를 조정해 다시 실행하세요. 행 영역의 항목을 열 또는 값 영역으로 끌어다 놓으면 해당 영역으로 이동하고, 기존 행 영역에서는 제거됩니다.

열 배치

필드 목록에서 열 영역으로 필드를 드래그하면 해당 필드 값이 열 머리글로 펼쳐져 교차 집계 테이블이 구성됩니다. 예를 들어 행에 출발지IP, 열에 status, 값에 개수를 배치하면 IP별로 HTTP 상태 코드 분포를 한눈에 확인할 수 있습니다.

열 정렬·삭제·이름 변경

배치된 열 항목을 클릭하면 행 영역과 동일하게 삭제, 오름차순, 내림차순 메뉴가 포함된 드롭다운이 열립니다.

항목을 더블 클릭하면 표시 이름을 편집할 수 있습니다.

열 재배치

열 영역 안에서 항목을 드래그해 순서를 바꿀 수 있습니다. 열 영역의 항목을 행 또는 값 영역으로 끌어다 놓으면 해당 영역으로 이동하며, 이를 활용해 행과 열을 빠르게 전환할 수 있습니다.

필드 검색

필드 목록이 길어 원하는 필드를 찾기 어려울 때는 목록 상단의 검색 상자를 사용하세요. 입력한 문자열과 일치하는 필드만 하이라이트되며, 대소문자를 구분하지 않고 필드 이름 내 부분 일치로 동작합니다. 검색된 결과를 그대로 드래그해 값·행·열 영역에 배치할 수 있습니다.

데이터 분석

피벗 테이블을 구성하고 나면, 그리드에서 집계 결과를 탐색하고 셀 단위로 상세 정보를 조회하거나, 차트로 전환해 분포를 시각적으로 파악할 수 있습니다. 여러 탭의 데이터를 결합해 join 또는 union 연산으로 연관 분석을 수행하면, 서로 다른 로그 사이의 관계에서 위협 징후를 식별할 수 있습니다. 대량의 이벤트를 빠르게 요약해 이상 지점을 집어내고, 그 지점에서 로그 또는 이벤트 화면으로 내려가 근거를 확인하는 흐름이 일반적인 활용 시나리오입니다.

피벗 테이블 보기

쿼리가 실행되면 결과는 기본적으로 그리드 형태로 표시됩니다. 도구 모음 왼쪽의 버튼이 활성화된 상태가 그리드 보기이며, 여기에서 열 헤더나 셀을 보조 클릭해 다양한 분석 동작을 수행할 수 있습니다.

열 헤더 메뉴

특정 열을 기준으로 데이터를 재배치하거나, 필터·정렬·상위 N 추출 같은 파생 쿼리를 만들려면 열 헤더를 클릭하세요. 열 유형(문자열, 숫자, 날짜 등)에 따라 일부 항목은 표시되지 않습니다.

복사: 선택한 열의 값을 탭으로 구분된 텍스트로 클립보드에 복사합니다(단축키: Ctrl + C).
맞춤: 열 너비를 셀 내용에 맞춰 자동으로 조정합니다(단축키: Shift + F).
왼쪽 정렬, 가운데 정렬, 오른쪽 정렬: 셀 내용의 정렬 방향을 변경합니다.
숨기기: 선택한 열을 결과 그리드에서 숨깁니다(단축키: Shift + H).
처음으로 이동, 왼쪽으로 이동, 오른쪽으로 이동, 맨 뒤로 이동: 열의 표시 순서를 변경합니다. 현재 열이 가장 왼쪽이면 왼쪽 관련 항목, 가장 오른쪽이면 오른쪽 관련 항목이 숨겨집니다.
연관 분석: 해당 열의 값을 기준으로 다른 탭의 데이터와 연관 분석을 수행합니다. 자세한 내용은 연관 분석을 참고하세요.
필터링 조건: 선택한 열에 대한 조건식을 설정해 결과를 필터링합니다. 비교 연산자와 값, 여러 조건의 조합(AND/OR)을 대화상자에서 지정할 수 있습니다.
연관 필터: 다른 탭의 결과를 기준으로 현재 결과를 필터링합니다. 두 데이터 집합 사이의 공통 값만 남기거나, 한쪽에만 존재하는 값을 분리할 때 사용합니다.
시간 단위 절사: 날짜 유형의 열 값을 지정한 단위(초·분·시·일·월 등)로 절사해 새 필드를 만듭니다. 시간 구간별 집계를 만들 때 사용합니다.
시간 차이 계산: 두 날짜 필드의 차이를 계산해 새 필드를 만듭니다. 이벤트 발생 간격이나 체류 시간 같은 지표를 만들 때 사용합니다.
문자열 변환: 문자열 유형의 열에 대해 대소문자 변환, 공백 제거, 일부 추출 같은 변환을 적용해 새 필드를 만듭니다.
상위 N개, 하위 N개: 해당 열의 값을 기준으로 상위 또는 하위 N개 레코드만 남깁니다. 클릭하면 N 값을 지정하는 대화상자가 열립니다.
오름차순, 내림차순: 해당 열을 기준으로 결과를 정렬합니다. sort 명령어로 변환되어 쿼리에 반영됩니다.
천 단위 쉼표: 숫자형 열에 천 단위 구분 기호를 적용합니다. 활성화된 경우 체크 아이콘이 표시됩니다. 큰 수치를 직관적으로 파악할 때 유용합니다.
이벤트 설정: 해당 열의 값 변화가 이벤트 생성 기준이 되도록 설정합니다. 자세한 내용은 이벤트 설정을 참고하세요.
경보 설정: 해당 열의 값이 임계치를 충족할 때 경보가 발생하도록 조건을 설정합니다. 자세한 내용은 경보 설정을 참고하세요.

Note

여러 열을 한 번에 선택한 상태에서는 아래 그리드 표시 옵션만 표시됩니다.

셀 컨텍스트 메뉴

셀을 보조 클릭하면 해당 값의 출처를 추적하거나, 외부 위협 인텔리전스로 진단하거나, 셀 값 자체를 필터 조건으로 쓰는 등 분석을 깊이 있게 이어갈 수 있습니다. 표시되는 항목은 다음과 같이 셀 유형에 따라 달라집니다.

모든 데이터 셀(헤더가 아닌 행)

해석: 선택한 셀 또는 셀 내부에서 드래그로 선택한 부분 문자열의 디코딩 결과를 표시합니다. Base64·URL 인코딩된 파라미터나 페이로드를 그 자리에서 풀어볼 때 사용합니다.

IP 타입 셀

IP 주소로 정규화된 필드의 셀에서만 표시됩니다. 수집기·테이블 원본에서 문자열로 저장된 IP는 스키마를 통해 IP 타입으로 정규화해야 이 항목이 나타납니다.

최근 10분 검색: 해당 이벤트 시각을 기준으로 앞뒤 10분 내에 같은 IP가 나타난 다른 이벤트를 조회합니다(관련 명령어: fulltext). 결과에 시간 필드가 없는 경우에는 현재 시각을 기준으로 최근 10분 범위를 검색합니다.
IP 차단 목록 추가: 선택한 IP 값을 주소 그룹에 등록합니다. 반복적으로 발견되는 악성 IP를 차단 목록으로 관리하거나, 탐지 시나리오의 필터 조건으로 재사용할 때 유용합니다.
바이러스토탈 조회: 선택한 IP에 대해 VirusTotal 진단 페이지를 새 창에서 엽니다. 의심스러운 주소의 평판을 신속히 확인할 수 있습니다.

Note

외부 연결이 차단된 폐쇄망 환경에서는 **바이러스토탈 조회**를 사용할 수 없습니다.

원본 이벤트 식별자가 남아 있는 셀

탐지 규칙이 생성한 이벤트를 조회한 결과 등, 레코드에 원본 이벤트 식별자(이벤트 GUID)가 포함된 경우에만 표시됩니다.

원본 이벤트 보기: 집계된 레코드에 연결된 원본 이벤트의 상세 창을 엽니다. 집계로 축약된 결과에서 어떤 원본이 기여했는지 확인할 때 사용합니다.

값 비교가 가능한 셀

문자열·숫자·날짜 유형 등 비교 연산이 정의된 셀에서 표시됩니다. 실제 노출되는 연산자는 셀 유형에 따라 달라집니다.

셀 값 필터: 현재 셀 값과의 비교 조건(같음·다름·포함·이상·이하 등)을 필터로 추가합니다. 예를 들어 공격자 IP 한 건을 기준으로 "같은 값만 남기기"나 "이 값 제외"를 한 번의 클릭으로 적용할 수 있습니다.

Note

위 조건 중 어느 것에도 해당하지 않는 셀(예: count 집계값만 있는 피벗 결과 셀)에서 보조 클릭하면 복사, 맞춤, 정렬, 숨기기, 정렬 기준 설정 같은 열 헤더 메뉴 항목만 표시됩니다.

그리드 표시 옵션

행 번호 영역(가장 왼쪽 열) 헤더를 클릭하면 그리드 전체의 표시 방식을 조정할 수 있습니다. 선택한 옵션은 체크 아이콘으로 표시됩니다.

줄무늬 표시: 홀·짝 행에 번갈아 배경색을 적용해 행 구분을 강조합니다.
외곽선 표시: 셀 사이에 구분선을 표시합니다.
셀 간격 줄임: 행 간격을 좁혀 한 화면에 더 많은 행을 표시합니다.
컬럼 너비 조정: 열 너비를 드래그로 조정할 수 있도록 허용합니다.

Note

이 옵션은 시각적 표시 방식에만 영향을 주며, 쿼리 결과나 저장되는 데이터에는 영향을 미치지 않습니다.

페이지 이동

그리드 하단의 페이지 이동 도구를 사용해 결과 집합의 다른 페이지를 조회할 수 있습니다. 전체 페이지 수와 현재 페이지 번호가 표시되며, 입력란에 페이지 번호를 직접 입력해 이동할 수도 있습니다. 페이지당 표시되는 레코드 수는 쿼리 실행 시점의 페이지 크기를 따릅니다.

차트 보기

집계된 결과를 막대·선·원형 차트로 바로 시각화하면, 큰 폭의 증감이나 편중된 분포를 숫자를 일일이 읽지 않고도 확인할 수 있습니다. 차트 보기는 그리드 보기와 같은 쿼리 결과를 공유하므로, 피벗 구성(행·열·값)을 바꾸면 차트도 즉시 갱신됩니다.

차트 전환

도구 모음 왼쪽의 버튼을 클릭하면 그리드 보기에서 차트 보기로 전환합니다. 다시 버튼을 클릭하면 그리드로 돌아갑니다. 행 영역에 필드를 하나 이상 배치한 상태에서만 차트 보기로 전환할 수 있습니다.

차트 설정

차트 보기 상태에서 버튼을 클릭하면 위젯 설정 대화상자가 열리고, 차트 종류와 시각화 옵션을 지정할 수 있습니다.

종류: 데이터 분포에 적합한 차트 유형을 선택합니다. 제공되는 유형은 라인, 스플라인, 영역, 영역(스플라인), 가로 막대, 세로 막대, 누적 영역, 누적 영역(스플라인), 산포도, 파이, 누적 가로 막대, 누적 세로 막대, 트리맵, 경고상자, 세계 지도 (마커), 세계 지도 (버블) 입니다.
이벤트 설정: 차트에 표시되는 이벤트의 표시 조건을 설정합니다. 경보 상자 유형을 선택한 경우 블록 조건·표시 문구·소리 알림 등을 지정합니다.
시각화 옵션: 선택한 차트 유형에 따라 X축·Y축 필드, 범례 위치, 색상 등 세부 옵션이 동적으로 표시됩니다. 설정을 마친 뒤 확인을 클릭하면 결과가 반영됩니다.

연관 분석

서로 다른 보안 장비에서 수집한 데이터를 하나의 피벗 세션에 나란히 올려 두고, 공통 필드를 기준으로 결합하면 개별 로그만으로는 보이지 않던 관계를 드러낼 수 있습니다. 예를 들어 방화벽 차단 로그와 웹 서버 접근 로그를 같은 출발지 IP로 결합하면, 차단 이력이 있는 IP가 어떤 URL을 노렸는지 한 화면에서 파악할 수 있습니다.

데이터 집합을 결합하는 방식에 따라 6가지 연관 유형을 제공합니다. 목적에 맞는 유형을 선택해야 원하는 레코드만 결과에 남습니다.

Union

두 데이터 집합의 모든 레코드를 단순 결합해 출력합니다. 연관 필드 일치 여부를 따지지 않으며, 레코드는 원형 그대로 유지됩니다. 두 데이터 집합의 전체를 하나의 집합으로 합쳐 보고 싶을 때 사용합니다. 레코드의 순서는 보장되지 않습니다.

Inner

양쪽 데이터 집합에서 연관 필드 값이 일치하는 레코드만 결합해 출력합니다. 두 집합의 교집합에 해당하는 공통 항목만 분석 대상으로 삼을 때 사용합니다.

Left

왼쪽 데이터 집합의 모든 레코드를 유지하면서, 오른쪽에서 연관 필드 값이 일치하는 레코드가 있을 때 해당 정보를 덧붙입니다. 기준이 되는 집합(왼쪽)을 보존하면서 보조 정보를 덧붙이고 싶을 때 사용합니다.

Right

오른쪽 데이터 집합의 모든 레코드를 유지하며, 왼쪽에서 연관 필드 값이 일치하는 레코드가 있을 때 결합합니다. Left와 방향만 반대입니다.

Full Outer

양쪽 데이터 집합의 모든 레코드를 출력합니다. 연관 필드가 일치하면 결합된 행을, 일치하지 않으면 각 집합의 레코드를 그대로 표시합니다. 양쪽의 누락 항목까지 전부 확인해야 할 때 사용합니다.

Left Only

왼쪽 데이터 집합 중에서 오른쪽과 연관 필드 값이 일치하지 않는 레코드만 출력합니다. Inner의 반대 개념으로, 한쪽에만 나타나는 단독 항목이나 누락된 항목을 찾을 때 유용합니다.

분석 수행 절차

아래 예시는 공격자 IP 주소가 포함된 주소 그룹과 웹 서버 로그를 결합해 웹 서버에 대한 공격 현황을 집계하는 흐름입니다.

분석 대상 데이터를 준비합니다. 피벗 탭을 2개 이상 열고 각 탭에 분석할 데이터를 적재한 다음, 탭 이름을 내용이 드러나도록 지정합니다.
연관 기준이 될 필드(예: 웹 서버 로그의 출발지IP) 열 헤더를 보조 클릭한 뒤, 팝업 메뉴에서 연관 분석을 클릭합니다.
연관 분석 추가 대화상자에서 다음 항목을 설정한 뒤 확인을 클릭합니다.
- 연관 분석 유형: Union, Inner, Left, Right, Full Outer, Left Only 중에서 선택합니다.
- 왼쪽 탭: 왼쪽 데이터 집합으로 사용할 피벗 탭을 선택합니다.
- 오른쪽 탭: 오른쪽 데이터 집합으로 사용할 피벗 탭을 선택합니다.
- 왼쪽 연관 필드: 두 집합을 비교할 때 왼쪽 탭에서 사용할 필드를 선택합니다. 유형이 Union인 경우에는 표시되지 않습니다.
- 오른쪽 연관 필드: 두 집합을 비교할 때 오른쪽 탭에서 사용할 필드를 선택합니다. 유형이 Union인 경우에는 표시되지 않습니다.
결합된 결과에 대해 일반 피벗 테이블처럼 행·열·값 영역을 구성해 원하는 형태로 집계합니다.

쿼리 상태 보기

도구 모음 오른쪽의 쿼리 상태 보기를 클릭하면 그리드 아래에 현재 쿼리의 실행 상태 패널이 펼쳐집니다. 버튼이 강조된 상태가 켜짐이며, 다시 클릭하면 접힙니다. 쿼리가 예상보다 오래 걸리거나 결과 건수가 기대와 다를 때, 어느 단계에서 시간이 소모되고 몇 건이 처리됐는지 확인해 쿼리 구성을 조정할 수 있습니다. 상세 필드 해석은 쿼리 모니터 문서를 참고하세요.

분석 결과 활용

피벗에서 분석한 결과는 일회성 조회에 그치지 않고 다양한 방식으로 재활용할 수 있습니다. 보안관제 담당자는 반복되는 분석 작업을 줄이고, 분석 결과를 대시보드·티켓·외부 도구로 연결해 탐지-분석-대응 흐름을 이어갈 수 있습니다.

다음과 같이 활용하세요.

데이터셋으로 저장: 여러 위젯이나 반복 분석의 공통 기반 데이터로 재사용합니다.
쿼리 결과로 저장: 분석 시점의 결과를 서버에 보관해 이후 재조회합니다.
파일로 다운로드: CSV·JSON 등으로 내려받아 외부 보고나 오프라인 분석에 활용합니다.
위젯으로 추가: 대시보드에 배치해 실시간 모니터링 화면을 구성합니다.
피벗 파일로 내보내기: 동일한 분석 조건을 다른 소나 시스템이나 동료 분석가와 공유합니다.

도구 모음의 아이콘에 커서를 올리면 쿼리 결과 다운로드, 쿼리 결과 저장, 데이터셋 저장 메뉴가 열립니다. 위젯 추가와 피벗 내보내기는 별도 버튼으로 제공됩니다.

데이터셋 저장

분석 결과를 데이터셋으로 저장하면, 같은 쿼리를 여러 위젯에서 공유하거나 다른 피벗 분석의 기반으로 재사용할 수 있습니다. 반복적으로 조회해야 하는 분석 조건은 데이터셋으로 저장해 두면 편리합니다.

데이터셋으로 저장하기에 적합한 형태로 데이터를 구성하세요. 조회 범위는 최근 기간(예: 최근 1시간)을 사용하고, 결과 건수를 제한하는 결과 필터는 필요에 따라 제거하세요.
도구 모음에서 아이콘의 드롭다운을 연 뒤 데이터셋 저장을 클릭하세요.
데이터셋 추가 대화상자에서 항목을 입력한 뒤 추가 버튼을 클릭하세요.
- 이름: 데이터셋 이름(필수, 최대 50자)
- 설명: 데이터셋 용도나 기준을 설명하는 문구(최대 2,000자)
- 쿼리: 현재 피벗 구성으로 생성된 쿼리문이 자동으로 채워집니다. 여기서는 수정할 수 없습니다.

저장된 데이터셋은 분석 > 데이터셋 메뉴에서 확인하고 수정할 수 있습니다.

쿼리 결과 저장

특정 시점의 분석 결과를 스냅샷처럼 보관하려면 쿼리 결과로 저장하세요. 저장된 결과는 서버에 남으므로, 분석 시점 이후 데이터가 변경되더라도 당시 결과 그대로 다시 조회할 수 있습니다. 인시던트 조사나 보고서 작성 시 근거 자료로 유용합니다.

도구 모음에서 아이콘의 드롭다운을 연 뒤 쿼리 결과 저장을 클릭하세요.
쿼리 결과 저장 대화상자에서 이름(필수, 최대 100자)을 입력한 뒤 확인 버튼을 클릭하세요.

저장된 결과는 분석 > 쿼리 > 쿼리 결과 불러오기에서 확인할 수 있습니다.

쿼리 결과 다운로드

분석 결과를 로컬 PC에 파일로 내려받아 외부 분석 도구나 보고서에 활용할 수 있습니다.

도구 모음에서 아이콘의 드롭다운을 연 뒤 쿼리 결과 다운로드를 클릭하세요.
쿼리 결과 다운로드 대화상자에서 항목을 설정한 뒤 다운로드 버튼을 클릭하세요.
- 파일 이름: 저장할 파일 이름(필수, 기본값: 쿼리_{쿼리번호})
- 컬럼: 파일에 포함할 필드를 선택하세요. 기본적으로 모든 필드가 선택됩니다.
- 파일 형식: 내보낼 형식(기본값: CSV, 범위: CSV, XML, Microsoft Word, HTML, JSON, PDF)
- 파일 인코딩: 텍스트 인코딩(파일 형식이 CSV 또는 JSON일 때만 표시, 기본값은 현재 사용 중인 언어에 맞춰 결정, 범위: UTF-8, UTF-16, MS949 등)
- 범위: 내려받을 행 범위를 처음~끝 번호로 지정하세요.
- 분할 ZIP 저장: 파일 형식이 CSV일 때만 표시됩니다. 체크하면 지정한 건수 단위로 파일을 분할해 ZIP으로 묶어 내려받습니다.

위젯 추가

피벗 분석 화면은 위젯 편집 화면과 동일한 방식으로 데이터를 구성하므로, 분석 결과를 그대로 위젯으로 전환해 대시보드에 배치할 수 있습니다. 실시간 모니터링이 필요한 지표는 위젯으로 등록해 두면 별도로 조회하지 않아도 최신 값을 확인할 수 있습니다.

Note

대시보드 관리 또는 위젯 편집 권한이 있는 계정만 위젯을 추가할 수 있습니다.

그리드 보기 또는 차트 보기로 원하는 형태가 표시되도록 데이터를 구성하세요.
도구 모음에서 위젯 추가 버튼을 클릭하세요.
위젯 추가 대화상자에서 항목을 입력한 뒤 확인 버튼을 클릭하세요.
- 이름: 위젯 이름(필수, 최대 50자)
- 설명: 위젯 용도에 대한 설명(최대 2,000자)
- 주기: 위젯을 자동으로 갱신할 간격(초 단위, 기본값: 10, 범위: 1~2,147,483). 데이터량이 많은 쿼리는 부하를 고려해 여유 있게 설정하세요.
- 위젯 종류: 그리드 또는 차트 중 선택(현재 보기 상태에 따라 기본값 결정)
- 공유 계정/공유 그룹: 위젯을 공유할 계정이나 계정 그룹을 선택하세요. 지정하지 않으면 본인만 확인할 수 있습니다.

추가된 위젯은 대시보드 > 위젯 관리 메뉴에서 확인하거나 편집할 수 있습니다.

그리드 위젯

그리드 보기 상태에서 위젯을 추가하면 분석 결과가 표 형태로 표시되는 그리드 위젯이 생성됩니다. 대량의 행을 빠르게 훑어보거나 필드 값에 따라 셀 색상을 강조해야 할 때 적합합니다. 그리드 위젯에서는 열 단위 이벤트와 경보를 설정할 수 있습니다.

그리드에서 열 머리글을 보조 클릭하면 이벤트 설정과 경보 설정 메뉴가 나타납니다.

차트 위젯

차트 보기 상태에서 위젯을 추가하면 데이터를 시각화한 차트 위젯이 생성됩니다. 시간대별 추이나 항목 간 비율을 한눈에 파악해야 할 때 활용합니다.

차트 종류와 색상, 축 구성 등은 차트 도구 모음의 설정 버튼을 통해 변경합니다. 차트 종류별 권장 용도는 데이터 분석 > 차트 설정 섹션을 참고하세요.

이벤트 설정 (열 단위)

그리드 위젯에서 사용자가 셀을 클릭했을 때 실행할 동작을 지정합니다. 예를 들어 IP 주소 셀을 클릭하면 해당 IP를 필터로 적용하거나 관련 쿼리를 새 창에서 실행하도록 만들 수 있습니다. 이벤트를 설정하면 대시보드 조회 중 바로 상세 분석으로 이어져 조사 시간을 줄일 수 있습니다.

그리드에서 대상 열의 머리글을 보조 클릭한 뒤 이벤트 설정을 클릭하세요.
이벤트 설정 대화상자에서 실행할 동작을 선택하고 적용 버튼을 클릭하세요.
- 필터 적용: 셀 값을 대시보드 전역 필터로 적용합니다.
- 쿼리 실행: 지정한 쿼리를 새 쿼리 창에서 실행합니다. 쿼리문에 $필드이름$ 매크로로 셀 값을 참조할 수 있습니다.
- 브라우저 열기: 셀 값을 URL로 삼아 새 브라우저 창에서 엽니다. URL 필드에 값이 들어 있는 경우에 사용합니다.
- 화면 전환: 현재 웹 콘솔 안에서 지정한 URL로 이동합니다.

Note

차트 위젯의 이벤트는 위젯 설정 대화상자의 이벤트 항목에서 설정합니다. 클릭뿐 아니라 드래그(구간 선택) 이벤트도 지원됩니다.

경보 설정 (열 단위)

그리드 위젯에서 특정 열 값이 설정한 임계치를 초과할 때 셀 색상을 강조하고 알림음이나 브라우저 알림을 띄울 수 있습니다. 정상 범위를 벗어난 값을 빠르게 인지해야 하는 실시간 모니터링 화면에 유용합니다.

그리드에서 대상 열의 머리글을 보조 클릭한 뒤 경보 설정을 클릭하세요.
경보 설정 대화상자의 공통 설정에서 알림 동작을 지정합니다. 알림음, 알림 메시지 템플릿, 경보 무시 주기 등을 이곳에서 설정합니다.
조건 영역에서 조건별로 비교 연산자와 임계치, 적용할 글자색·배경색, 알림 여부를 추가한 뒤 적용 버튼을 클릭하세요.

Note

알림 메시지는 운영체제와 브라우저 환경에 따라 데스크톱 알림, 브라우저 알림, 웹 콘솔 내부 알림 중 하나로 표시됩니다.

피벗 내보내기

현재 피벗 구성을 .pivot 파일로 내보내면 동일한 분석 조건을 다른 소나 시스템에 그대로 옮기거나, 동료 분석가와 공유할 수 있습니다. 데이터 자체가 아니라 분석 조건(데이터 원천, 필드, 필터, 피벗 구성 등)만 저장되므로 파일 크기가 작습니다.

도구 모음에서 내보내기 버튼을 클릭하세요.
피벗 내보내기 대화상자에서 이름(필수)을 입력한 뒤 내보내기 버튼을 클릭하세요. 확장자 .pivot은 자동으로 붙습니다.

Caution

파일 이름에는 영문자, 숫자, 밑줄(`_`)만 사용할 수 있습니다. 내보낸 파일이 참조하는 데이터 원천(수집기, 테이블, 데이터셋, 행위 프로파일 등)이 가져오는 쪽 시스템에 없으면 불러오기에 실패할 수 있습니다.

피벗 불러오기

내보낸 .pivot 파일을 불러오면 동일한 분석 조건으로 피벗을 복원할 수 있습니다. 데이터 조회 시각은 파일을 불러온 시점이 기준이 되므로, 범위를 최근 1일로 저장했다면 불러온 시점 기준 최근 1일 데이터가 조회됩니다.

분석 > 피벗 화면에서 도구 모음의 불러오기 버튼(또는 빈 화면 가운데의 피벗 불러오기 버튼)을 클릭하세요.
피벗 불러오기 대화상자에서 .pivot 파일을 선택한 뒤 확인 버튼을 클릭하세요.

Note

불러올 수 있는 피벗 파일의 최대 크기는 10MB이며, 확장자는 .pivot이어야 합니다.

불러오는 파일이 참조하는 데이터 원천 중 일부가 현재 시스템에 없거나, 접근 권한이 없는 항목이 포함된 경우 피벗 불러오기 결과 리포트가 표시됩니다. 리포트에는 누락된 항목의 종류, 이름, 사유가 표 형태로 나열되므로, 어떤 원천을 복구해야 하는지 한눈에 확인할 수 있습니다.

불러오기가 실패할 수 있는 상황은 다음과 같습니다.

내보낼 당시 사용한 수집기, 테이블, 데이터셋, 행위 프로파일 등이 현재 시스템에 존재하지 않는 경우
내보낼 당시와 같은 이름의 테이블이 존재하지 않는 경우
피벗 파일에 포함된 데이터 원천에 현재 계정이 접근할 수 없는 경우
파일이 손상되었거나 확장자가 .pivot이 아닌 경우

일부 원천만 누락된 경우에는 존재하는 항목만으로 불러오기가 계속 진행됩니다.

도구 모음

적재 후 화면 상단 도구 모음에서는 현재 피벗 결과를 다시 실행하거나 다른 작업으로 이어갈 수 있습니다.

실행: 현재 피벗 구성을 다시 실행합니다. 값·행·열 배치나 필터를 변경한 뒤 이 버튼을 눌러야 변경 내용이 결과에 반영됩니다.
쿼리 상태 보기: 실행 중인 작업의 상태와 로그프레소가 생성한 쿼리문을 확인할 수 있습니다.
위젯: 현재 결과를 위젯으로 저장하는 흐름을 시작합니다. 대시보드에서 주기적으로 확인할 지표를 만들 때 사용합니다.
내보내기: 현재 피벗 구성을 .pivot 파일로 저장합니다.