대시보드에 차트 시각화 추가

대시보드에 차트 또는 기타 시각화를 추가하려면 시각화 타일을 사용합니다. 시각화 타일에는 타일을 만들 때 선택하는 Explore라고 부르는 연결된 LookML 뷰에서 가져온 데이터가 표시됩니다. 이 문서에서는 다음을 설명합니다.

• 시각화 타일을 사용하여 차트 및 기타 시각화를 만드는 방법
• 특정 사용 사례를 충족하는 데이터 시각화를 만드는 방법

절차 개요

대략적으로 다음 작업을 수행해서 대시보드에서 시각화를 만듭니다.

1. 대시보드에 시각화 타일을 추가합니다.
2. Explore를 선택합니다. Explore는 새 타일의 시작점으로 사용되며 특정 데이터 모델을 구현합니다.
3. 시각화할 데이터 필드를 선택합니다. 사전 정의된 필드는 다음 유형 중 하나로 그룹화됩니다.
   • 측정기준: 데이터를 기술하는 데이터의 속성입니다. 예: 박물관 데이터 세트에서 건물의 면적과 건축 재료는 측정기준이 서로 다릅니다.
   • 측정값: 하나 이상의 측정기준 또는 개수 또는 평균과 같은 고유 데이터 속성을 숫자로 표현한 값입니다.
   • 필터 전용 필드: 필터에만 사용할 수 있는 사전 정의된 필드입니다.
4. 선택적으로 커스텀 필드를 만들고 특정 사용 사례를 지원하는 타일에 추가합니다.
5. 다음을 선택하여 타일을 구성합니다.
   • 시각화: 시각적으로 선택한 필드를 표시합니다. 예를 들어 선 차트는 시간 경과에 따른 추세를 표시할 수있습니다.
   • 필터: 관심 데이터만 표시하도록 시각화를 제한합니다. Explore의 모든 필드를 사용해서 필터를 만들 수 있습니다.
6. 시각화를 실행해서 결과의 미리보기를 확인합니다.
7. 시각화 타일을 저장합니다.

이 문서의 다음 섹션에서는 시각화 타일에서 각 구성요소를 구성하는 방법을 자세히 설명합니다.

예: 데이터 테이블 만들기

다음 단계에서는 시각화 타일을 사용해서 데이터 테이블을 만드는 방법을 자세히 설명하고 타일 수정 대화상자의 구성 옵션을 보여줍니다.

1. 개인 대시보드 또는 공유 대시보드에서 대시보드를 선택한 후 more_vert 대시보드 작업 > 대시보드 수정을 클릭합니다.
2. 추가 > 시각화를 클릭합니다.
3. Explore 데이터 모델을 선택합니다. 타일 수정 대화상자가 표시됩니다.
4. 고유한 타일 이름을 입력합니다.
5. 모든 필드에서 사전 정의된 필드로 측정기준 및 측정값을 선택합니다. 일반적으로 시각화를 만들려면 필드를 2개 이상 선택해야 합니다. 선택한 필드가 데이터 섹션에 표시됩니다.
6. 선택적으로 시각화에 필요한 커스텀 필드를 만들고 추가합니다. 데이터 섹션에 표시됩니다.
7. 시각화 섹션에서 시각화 유형으로 테이블을 선택합니다. 이 시각화로 테이블에 선택한 데이터 필드가 표시됩니다.
8. 필터 섹션에서 관심 데이터만 표시하도록 시각화를 제한하는 필터를 정의합니다. Explore의 모든 필드를 사용해서 필터를 만들 수 있습니다.
9. 데이터 섹션에서 다음을 수행합니다.
   • Explore 필드 헤더를 클릭하여 오름차순 또는 내림차순으로 필드를 정렬합니다.
   • 행 한도를 설정해서 시각화에 표시되는 행 수를 제한합니다.
10. 실행을 클릭하여 Google Security Operations SIEM 데이터를 사용해 시각화를 미리 봅니다.
11. 저장을 클릭합니다. 대시보드에 새로 추가된 파일이 표시됩니다.

다음 이미지는 타일 수정 대화상자에서 이러한 단계를 수행하는 위치를 보여줍니다.

구성 가능한 타일 수정 대화상자

Explore 데이터 모델 선택

Google Security Operations SIEM은 대시보드 빌드에 사용할 수 있는 여러 데이터 모델을 제공합니다. 각 데이터 모델은 UDM 필드 하위 집합을 정의하는 Looker Explore입니다.

Explore는 새 시각화 타일을 만들 때 시작점으로 사용됩니다. 이것은 특정 데이터 모델을 탐색하도록 설계되었습니다. 각 시각화 타일에 대해 하나의 데이터 모델 Explore를 선택합니다.

Google Security Operations SIEM은 다음과 같은 데이터 모델 Explore를 제공합니다.

• 항목 그래프
• IOC 일치
• 수집 통계가 포함된 수집 측정항목
• 수집 측정항목
• 수집 통계
• 규칙 감지
• 감지가 포함된 규칙 세트
• UDM 이벤트
• UDM 이벤트 집계

선택적으로 생성된 타일에서만 사용되도록 커스텀 필드를 만들 수 있습니다.

차트 시각화에 사용할 필드 선택

타일에 대해 Explore를 선택하면 사전 정의된 UDM 필드가 Explore 대화상자의 모든 필드 탭 아래에 표시됩니다.

모든 필드 탭에서 필드를 선택하면 사용 중 탭과 데이터 섹션에 모두 표시됩니다. 다음 하위 섹션에서는 차트 시각화를 만들 때 선택할 수 있는 필드 유형에 대해 설명합니다.

사전 정의된 필드

각 Explore에는 사전 정의된 서로 다른 UDM 필드 집합이 포함됩니다. 타일에서 사용 가능한 사전 정의된 필드는 Explore 선택 대화상자에서 선택하는 데이터 모델에 따라 달라집니다.

사전 정의된 필드는 다음 유형으로 분류됩니다.

• 측정기준
• 측정값
• 필터 전용 필드

각 필드 옆의 아이콘은 더 많은 정보를 표시하고 필드로 필터링, 피벗 데이터, 집계, 구간, 그룹과 같은 사용 가능한 옵션을 보여줍니다. 정보 아이콘을 클릭하면 필드의 도움말 텍스트를 볼 수 있습니다. 이러한 아이콘은 필드 위로 포인터를 가져갔을 때 표시됩니다. 자세한 내용은 필드별 정보와 동작을 참조하세요.

사전 정의된 필드를 사용해서 커스텀 측정기준, 커스텀 측정값, 테이블 계산을 만들고 타일에 필터를 적용할 수 있습니다.

Explore에는 더 이상 지원되지 않는 지원 중단된 필드가 포함될 수 있습니다. 지원 중단된 필드는 필드 이름과 함께 표시된 [D]로 식별됩니다.

특정 데이터 모델에는 필터에만 사용할 수 있는 사전 정의된 필터 전용 필드가 포함됩니다. 데이터 모델의 필터 전용 필드에는 다음과 같은 필드 유형이 하나 이상 포함될 수 있습니다.

• 개별 UDM 필드
• 그룹화된 UDM 필드

UDM 이벤트와 같은 일부 Explore 데이터 모델에는 타임스탬프를 저장하는 필드에 대해 보다 세분화된 측정값이 포함됩니다(예: principal.artifact.first_seen_time 및 security_result.about.file.last_modification_time).

이러한 측정값은 타임스탬프를 시간, 일, 주, 연도와 같이 보다 세분화된 단위로 구분합니다. 이 모델은 또한 각 증분에 대한 최소 및 최대 측정값을 제공합니다. 이렇게 하면 시간 및 시간 증분을 기준으로 이벤트 수를 집계하는 보다 자세한 차트를 만들 수 있습니다.

커스텀 필드

커스텀 필드는 데이터 모델에서 타일에 대해 제공되는 사전 정의된 필드를 사용하여 만드는 필드입니다. 이러한 커스텀 필드는 해당 타일에서만 사용할 수 있습니다.

다음 유형의 커스텀 필드를 만들 수 있습니다.

• 커스텀 측정기준
• 커스텀 측정값
• 커스텀 테이블 표현식

타일 수정 대화상자의 커스텀 필드 메뉴에 액세스하려면 모든 필드 > 커스텀 필드 섹션에서 + 추가를 클릭합니다. 다음 이미지는 메뉴 위치를 보여줍니다.

커스텀 측정기준 만들기

커스텀 측정기준은 데이터를 기술하는 데 도움이 되는 고유한 속성입니다. 예를 들어 사용자의 이름과 성을 조합하여 커스텀 측정기준을 만들 수 있습니다.

커스텀 측정기준을 타일에 추가하려면 다음 단계를 수행합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 수정할 타일을 엽니다.
3. 타일 수정 대화상자의 커스텀 필드 섹션에서 + 추가 > 커스텀 측정기준을 클릭합니다. 커스텀 측정기준 만들기 대화상자가 표시됩니다.
4. 커스텀 측정기준 만들기 대화상자에서 다음을 수행합니다.
   1. 표현식 필드에 Looker 함수 및 연산자를 사용하여 값을 정의하는 Looker 표현식을 입력합니다. Looker 표현식 편집기에 필드 이름이 제안되고 사용하려는 함수의 구문 도움말이 표시됩니다. 표현식 예시는 다음과 같습니다.
      • IOC 피드 이름과 OC 값을 연결합니다. 이 예시는 IOC 일치 Explore에서만 사용할 수 있습니다. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • 비어 있지 않은 첫 번째 값을 반환합니다. 호스트 이름이 먼저 표시되고 그 다음 IP 주소가 표시됩니다. 둘 다 없으면 _이 표시됩니다. 이 예시는 Entity Graph Explore에서만 사용할 수 있습니다. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. 형식 메뉴에서 형식을 선택합니다.
   3. 이름 필드에 커스텀 측정기준 이름을 지정합니다. 이 값은 모든 필드 탭과 데이터 테이블에 표시됩니다.
   4. + 설명 추가를 선택하여 설명 필드에 설명을 추가합니다.
   5. 저장을 클릭합니다.

모든 필드 탭에 커스텀 필드 섹션의 필드가 표시됩니다. 다른 필드와 마찬가지로 커스텀 측정기준을 선택하여 타일에서 추가하거나 삭제할 수 있습니다.

커스텀 측정값 만들기

측정값은 개수 또는 평균과 같이 하나 이상의 측정기준(또는 데이터의 고유 속성)을 숫자로 표현한 값입니다. 측정값을 사용하면 핵심성과지표(KPI)를 계산할 수 있으며 다른 여러 집계된 속성을 사용해서 데이터를 분석하는 데 도움이 됩니다.

커스텀 측정값을 사용하면 필드에 대해 특정 숫자 계산을 정의할 수 있습니다. 필드 유형에 따라 특정 유형의 측정값만 사용할 수 있습니다.

커스텀 측정값을 타일에 추가하려면 다음 단계를 수행합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 수정할 타일을 엽니다.
3. 타일 수정 대화상자의 커스텀 필드 섹션에서 + 추가를 클릭하고 커스텀 측정값을 선택합니다. 커스텀 측정값 만들기 대화상자가 표시됩니다.

4. 커스텀 측정값 만들기 대화상자에서 다음을 수행합니다.

   1. 측정할 필드 메뉴에서 필드를 선택합니다.
   2. 측정값 유형 메뉴에서 측정값 유형을 선택합니다.
   3. 이름 필드에 이름을 지정합니다. 이름이 필드 선택 도구와 데이터 테이블에 표시됩니다.

   4. 필터 섹션에서 다음을 수행합니다.

      1. 필터 조건을 추가하기 위해 필터 이름 메뉴에서 필드를 선택합니다. add_circle_outline 및 remove_circle_outline 필터 값 버튼을 각각 사용해서 필터 조건을 추가하거나 삭제합니다.
      2. 커스텀 필터 옆에 있는 화살표를 선택해서 커스텀 필터에서 사용할 수 있는 Looker 함수 및 연산자를 사용하여 커스텀 필터 표현식을 만듭니다. Looker 표현식 편집기에 필드 이름이 제안되고 사용하려는 함수의 구문 도움말이 표시됩니다. 표현식 예시는 다음과 같습니다.
         • 고유 값에 대한 측정값 IOC 피드 로그. 이 예시는 IOC 일치 Explore에서만 사용할 수 있습니다. ${ioc_matches.feed_log_type} != ""
         • 측정값 IOC 일 버킷 초: ${ioc_matches.day_bucket_seconds}

   5. 필드 세부정보 탭에서 다음을 수행합니다.

      • 형식 메뉴에서 형식을 선택합니다.
      • 선택적으로 설명 필드에 최대 255자 설명을 추가하여 커스텀 필드에 대한 추가 세부정보를 다른 사용자에게 제공합니다.

   6. 저장을 클릭합니다.

모든 필드 탭에 커스텀 필드 섹션의 필드가 표시됩니다. 다른 필드에서와 같이 타일에 추가할 커스텀 필드를 선택할 수 있습니다.

커스텀 테이블 계산 만들기

테이블 계산은 임시 측정항목을 만들 수 있게 해줍니다. 테이블 계산은 Google Sheets와 같은 스프레드시트 도구에서 제공되는 공식과 비슷합니다.

Google Security Operations는 커스텀 계산을 타일에 추가하는 옵션을 제공합니다. 이러한 커스텀 테이블 계산은 Looker 표현식을 사용하여 빌드됩니다. Explore에 있는 필드만 사용하여 테이블 계산을 만들 수 있습니다.

테이블 계산을 만들고 이를 타일에 추가하려면 다음 단계를 수행합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 수정할 타일을 엽니다.
3. 타일 수정 대화상자의 커스텀 필드 섹션에서 + 추가 > 테이블 계산을 클릭합니다. 테이블 계산 만들기 대화상자가 표시됩니다.
4. 테이블 계산 만들기 대화상자에서 다음을 수행합니다.
   1. 계산 메뉴에서 계산 유형을 선택합니다. 기본적으로 커스텀 표현식의 옵션이 표시됩니다.
   2. 필드에 Looker 표현식을 입력하여 계산을 정의합니다. 다음은 테이블 계산 표현식 예시입니다.
      • 다음 표현식은 diff hours 함수를 사용해서 두 타임스탬프 간의 차이를 표시합니다. 이 예시는 Rule Detections Explore에서만 사용할 수 있습니다. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • 다음 표현식은 IOS 값을 계산합니다. 이 예시는 IOC 일치 Explore에서만 사용할 수 있습니다. count(${ioc_matches.ioc_value})
   3. 형식 메뉴에서 형식을 선택합니다.
   4. 이름 필드에 계산 이름을 입력합니다.
   5. + 설명 추가를 선택해서 선택적인 설명을 추가하여 다른 사용자에게 테이블 계산에 대해 더 많은 컨텍스트를 제공합니다.
   6. 저장을 클릭합니다.

모든 필드 탭에 커스텀 필드 섹션의 필드가 표시됩니다. 다른 필드에서와 같이 타일에서 추가 또는 삭제하려는 커스텀 계산 필드를 선택할 수 있습니다.

시각화 차트 유형 선택

시각화는 이상치 및 추세를 파악하는 데 도움이 될 수 있도록 데이터를 시각적으로 표시합니다. Google Security Operations SIEM 대시보드는 Looker 시각화를 포함한 Looker 기술을 기반으로 합니다.

다음은 Google Security Operations SIEM 대시보드에서 사용할 수 있는 시각화 유형입니다.

• 열 차트 옵션
• 막대 차트 옵션
• 분산형 차트 옵션
• 선 차트 옵션
• 영역 차트 옵션
• 박스플롯 차트 옵션
• 폭포형 차트 옵션
• 원형 차트 옵션
• 도넛 배수 차트 옵션
• 유입경로 차트 옵션
• 타임라인 차트 옵션
• 단일 값 차트 옵션
• 단일 레코드 차트 옵션
• 테이블 차트 옵션
• 테이블(기존) 차트 옵션
• 워드 클라우드 차트 옵션
• Google 지도 차트 옵션
• 지도 차트 옵션
• 정적 지도(리전) 차트 옵션
• 정적 지도(포인트) 차트 옵션

타일 수정 대화상자에서 실행 버튼을 사용하고 선택한 필드 및 시각화 유형을 사용해서 미리보기를 표시할 수 있습니다. 실행을 클릭하여 타일 구성을 조정하고 수정한 후 미리보기를 새로고침합니다.

필터로 사용할 필드 선택

필터를 사용하면 관심 데이터만 표시하도록 시각화에 표시되는 데이터를 제한할 수 있습니다. Explore 데이터 모델의 필드를 사용해서 필터를 만듭니다.

Google Security Operations SIEM 대시보드는 Looker 필터를 포함한 Looker 기술을 기반으로 합니다. 타일에 다음 유형의 필터를 만들 수 있습니다.

• 표준 필터는 사전 정의된 필드 또는 커스텀 필드를 사용해서 필터를 만듭니다. 타일 수정 대화상자의 필터 섹션을 사용해서 이러한 필터를 정의합니다.
• Looker 표현식이 있는 커스텀 필터: 자세한 비즈니스 로직을 지정하거나, AND 및 OR 로직을 모두 조합하거나, Looker 함수를 사용합니다. 타일 수정 대화상자의 필터 섹션에서 커스텀 표현식 버튼을 클릭합니다.

일부 사전 정의된 필드는 필터에서 사용할 수 있습니다. 이러한 필드는 데이터 모델에 필터 전용 필드가 포함된 경우에만 모든 필드 섹션에 표시됩니다.

타일에 필터를 추가하려면 다음 단계를 완료합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 수정할 타일을 엽니다.
3. 모든 필드 섹션에서 각 필드 이름 옆에 있는 filter_list 필드로 필터링을 클릭하여 필터로 사용하려는 필드를 선택합니다.

4. 필터 섹션에서 다음 중 하나를 수행할 수 있습니다.

   • 필터 섹션에 나열된 각 필드의 필터 조건을 정의합니다.
   • 커스텀 표현식을 클릭하고 커스텀 필터 필드에 값을 추가합니다.

5. 실행을 클릭하여 시각화 미리보기를 업데이트합니다.

특정 사용 사례를 해결하는 예시

다음 섹션에서는 특정 사용 사례를 지원하는 시각화를 만드는 방법을 설명합니다.

IOC 유형을 표시하는 타일 만들기

IOC 유형을 모니터링하기 위해 대시보드에 타일을 추가하려면 다음 단계를 수행합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 추가 > 시각화를 클릭합니다.
3. Explore 선택 대화상자에서 IOC 일치를 선택합니다.
4. 타일 이름을 입력합니다.
5. 측정기준: Ioc 유형 및 이벤트 타임스탬프 날짜 > 날짜를 선택합니다.
6. 측정값: 개수를 선택합니다.
7. 사용 중 탭에서 날짜 이벤트 타임스탬프 날짜 필드 위로 포인터를 가져간 후 filter_list 필드로 필터링을 선택합니다. 이렇게 하면 필터 섹션에 필드를 추가합니다.
8. 필터 섹션에 사용하려는 필터 조건을 적용합니다.
9. 시각화 섹션에서 열 아이콘을 선택합니다.

10. 데이터 섹션에서 다음을 수행합니다.

    • Ioc 일치 수 헤더를 클릭하여 오름차순 또는 내림차순으로 필드를 정렬합니다.
    • 행 한도를 일정한 값(예: 50)으로 설정해서 시각화에 표시되는 행을 제한합니다.

11. 타일을 구성한 후 실행을 클릭하여 Google Security Operations 데이터를 사용해 시각화를 미리 봅니다. 미리보기는 이벤트 타임스탬프 날짜 기준의 IOC 일치에 따라 IOC 유형과 함께 표시됩니다.

    다음 이미지는 이러한 단계로 생성된 차트 예시를 보여줍니다.

    

12. 저장을 클릭합니다.

대시보드 페이지가 새로 추가된 타일과 함께 표시됩니다.

열거된 필드로 타일 만들기

Google Security Operations SIEM 통합 데이터 모델에는 텍스트와 숫자로 저장된 값이 있는 열거된 필드 여러 개가 포함됩니다. 각 열거형 필드와 연결된 값은 UDM 필드 목록에서 찾을 수 있습니다.

일부 Explore에서 열거형 필드 텍스트 값과 숫자 값은 별개의 필드에 저장됩니다. 예를 들어 metadata.event_type 필드에서 열거형 값 중 하나는 FILE_CREATION이고 연결된 숫자는 14001입니다.

Explore에서 다음 필드에 metadata.event_type 값이 저장됩니다.

• metadata.event_type에는 숫자 값 14001이 저장됩니다.
• metadata.event_type_enum_name에는 텍스트 값 FILE_CREATION이 저장됩니다.

타일에 열거된 필드를 추가할 때는 숫자 대신 텍스트 값을 저장하는 필드를 추가합니다.

다음 안내에 따라 열거된 필드가 있는 타일을 대시보드에 추가합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 추가 > 시각화를 클릭합니다.
3. Explore 선택 대화상자에서 UDM 이벤트를 선택합니다.
4. 타일 이름을 입력합니다.
5. 필드 찾기에서 metadata.event_type과 같은 UDM 필드를 검색합니다.
6. 측정기준에서 metadata.event_type_enum_name 및 security_result.action_enum_name을 선택합니다.
7. 측정값에서 개수를 선택합니다.
8. 사용 중 탭에서 포인터를 security_result.action_enum_name 필드 위로 가져간 후 filter_list필드로 필터링을 선택합니다. 그러면 필터 섹션에 선택한 필드의 필터가 표시됩니다.
9. 필터 섹션에서 같음을 선택한 후 값으로 BLOCK을 선택합니다.
10. 시각화 섹션에서 테이블 아이콘을 선택합니다.

11. 데이터 섹션에서 다음을 수행합니다.

    • UDM 수 헤더를 클릭하여 오름차순 또는 내림차순으로 필드를 정렬합니다.
    • 행 한도를 일정한 값(예: 50)으로 설정해서 시각화에 표시되는 행을 제한합니다.

12. 실행을 클릭하여 Google Security Operations 데이터를 사용해 시각화를 미리 봅니다. metadata.event_type 값을 개수별로 보여주는 미리보기가 표시됩니다. 여기서 security_result.action_enum 이름은 BLOCK입니다.

    다음 이미지는 이러한 단계로 생성된 차트 예시를 보여줍니다.

    

13. 저장을 클릭합니다.

대시보드 페이지가 새로 추가된 타일에 표시됩니다.

데이터 테이블에서 피벗 사용

피벗을 사용해서 여러 측정기준 간의 이벤트 수를 표시할 수 있습니다.

다음 타일은 metadata.event_type_enum_name 및 security_result_action_enum_name 필드에 있는 값 사이의 이벤트 수를 표시합니다. 이 예시에서는 피벗이 security_result_action_enum_name 필드에 적용됩니다.

다음 단계를 수행하여 피벗이 포함된 데이터 테이블을 만듭니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 추가 > 시각화를 클릭합니다.
3. Explore 선택 대화상자에서 UDM 이벤트를 선택합니다.
4. 타일 이름을 입력합니다.
5. 측정기준 필드 metadata.event_type_enum_name 및 security_result_action_enum_name을 선택합니다.
6. 측정값 필드 Count를 선택합니다.
7. 필터 섹션에서 다음 필터를 만듭니다.
   • UDM metadata_event_timestamp는 이전 2시간 동안의 값입니다.
   • UDM security_result.action_enum_name은 null이 아닙니다.
8. 사용 중 탭에서 다음 필드가 표시되었는지 확인합니다. 누락된 경우 이전 단계를 반복해서 타일을 구성합니다.
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 데이터 섹션에서 security_result.action_enum_name 열 제목에 있는 settings 아이콘을 클릭한 후 피벗을 선택합니다.
10. 데이터 아래의 그리드에 새 행이 표시됩니다.
11. 시각화 섹션에서 테이블 아이콘을 선택합니다.
12. 실행을 클릭하여 시각화 미리보기를 표시합니다.

다음 이미지는 타일 수정 대화상자에 있는 이러한 구성 옵션을 보여줍니다.

데이터 테이블의 피벗 구성 옵션

날짜 필드가 있는 피벗을 사용하여 시간 차트 만들기

날짜 필드가 있는 피벗을 사용해서 시간 차트를 만들 수 있습니다. 다음 타일은 security_result_action_enum_name 필드에 있는 값의 시간별 이벤트 수를 표시합니다.

이 예시에서는 피벗이 security_result_action_enum_name 필드에 적용됩니다. 이 필터는 날짜 범위를 제한하고 데이터를 필터링합니다. 여기서 security_result_action_enum_name 값은 null입니다. 이 필터는 시간별로 데이터를 파티셔닝하는 사전 정의된 metadata.event_timestamp Hour 날짜 필드를 사용합니다.

데이터 필드가 있는 피벗을 사용하려면 다음을 수행합니다.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.
2. 추가 > 시각화를 클릭합니다.
3. Explore 선택 대화상자에서 UDM 이벤트를 선택합니다.
4. 타일 이름을 입력합니다.
5. 측정기준 필드 metadata.event_timestamp Hour 및 security_result_action_enum_name을 선택합니다.
6. 측정값 필드 Count를 선택합니다.
7. 필터 섹션에서 다음 필터를 만듭니다.
   • UDM metadata_event_timestamp가 범위 내에 표시되고, 시작 및 종료 날짜와 시간을 선택합니다.
   • UDM security_result.action_enum_name은 null이 아닙니다.
8. 사용 중 탭에서 다음 필드가 표시되었는지 확인합니다. 누락된 경우 이전 단계를 반복해서 타일을 구성합니다.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 데이터 섹션에서 security_result.action_enum_name 열 제목에 있는 settings 아이콘을 클릭한 후 피벗을 선택합니다. 새 행이 데이터 그리드에 표시됩니다.
10. 시각화 섹션에서 테이블 아이콘을 선택합니다.
11. 실행을 클릭하여 시각화 미리보기를 표시합니다.

다음 이미지는 타일 수정 대화상자에 있는 이러한 구성 옵션을 보여줍니다.

날짜 필드의 피벗 구성 옵션

자세한 타임스탬프 측정값으로 차트 만들기

가장 오래된 이벤트(min) 및 최근(max) 이벤트 타임스탬프와 함께 각 로그 유형의 이벤트 수로 차트를 만들 수 있습니다. 이 차트는 metadata.product_name 필드를 사용하여 로그 유형을 식별합니다.

min 또는 max 타임스탬프가 있는 차트를 만들려면 다음 단계를 따르세요.

1. 기존의 수정할 대시보드 또는 새 대시보드 만들기를 엽니다.

2. 추가 > 시각화를 클릭합니다.

3. Explore 선택 대화상자에서 UDM 이벤트를 선택합니다.

4. 타일 이름을 입력합니다.

5. 측정기준 필드 metadata.product_name을 선택합니다.

6. 측정값 필드 Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date를 선택합니다.

7. 실행을 클릭하여 시각화 미리보기를 확인합니다. metadata.event_timestamp (min) Date 및 metadata.event_timestamp (max) Date 값을 날짜 형식으로 보여주는 미리보기가 표시됩니다.

8. 저장을 클릭합니다. 대시보드 페이지가 새로 추가된 차트에 표시됩니다. 차트에는 값이 있는 metadata.product_name, UDM, metadata.event_timestamp (min) Date, and metadata.event_timestamp (max) Date 열이 포함됩니다.