데이터 레이크 쿼리

개요

Panther API는 다음과 같은 데이터 레이크 작업을 지원합니다:

• 데이터 레이크 데이터베이스, 테이블 및 열 나열

• SQL을 사용한 데이터 레이크(Data Explorer) 쿼리 실행

• 검색 쿼리 실행

• 현재 실행 중인 쿼리 취소

• 이전에 실행된 쿼리의 세부 정보 가져오기

• 옵션 필터와 함께 현재 실행 중이거나 이전에 실행된 모든 쿼리 나열

Console의 API Playground 또는 GraphQL-over-HTTP API를 사용하여 Panther의 API를 호출할 수 있습니다. 이러한 방법에 대해 자세히 알아보려면 Panther API.

핵심 데이터 레이크 쿼리 작업에 대한 GraphQL 쿼리, 뮤테이션 및 엔드투엔드 워크플로 예제는 아래 섹션을 참조하세요.

일반적인 데이터 레이크 쿼리 작업

아래는 Panther에서 가장 일반적인 GraphQL 데이터 레이크 쿼리 작업들입니다. 이 예제들은 GraphQL 클라이언트(또는)로 보내야 하는 문서를 보여줍니다 curl)을 사용하여 Panther의 GraphQL API를 호출하기 위해 전송해야 하는 문서를 보여줍니다.

데이터베이스 엔티티

# `AllDatabaseEntities`는 작업의 별칭입니다
query AllDatabaseEntities {
  dataLakeDatabases {
     name
     description
     tables {
       name
       description
       columns {
         name
         description
         유형
       }
     }
   }
 }

# `DatabaseEntities`는 작업의 별칭입니다
query DatabaseEntities {
  dataLakeDatabase(name: "panther_logs.public") {
     name
     description
     tables {
       name
       description
       columns {
         name
         description
         유형
       }
     }
  }
}

쿼리 실행

데이터 레이크 또는 검색 쿼리 결과 가져오기

데이터 레이크 또는 검색 쿼리를 실행하면 결과가 돌아오는 데 몇 초에서 몇 분이 걸릴 수 있습니다. 쿼리가 완료되었는지 확인하려면 쿼리의 상태를 확인(폴링)해야 합니다.

다음 쿼리를 사용하여 쿼리 상태를 확인하고, 가능한 경우 결과도 가져올 수 있습니다:

의 예상 값 status 및 results 은(는) 쿼리의 상태에 따라 달라집니다:

• 쿼리가 아직 실행 중인 경우:

  • status 값을 갖습니다 running

  • results 값을 갖습니다 null

• 쿼리가 실패한 경우:

  • status 값을 갖습니다 failed

  • results 값을 갖습니다 null 오류 메시지는 에서 확인할 수 있습니다 message 키

• 쿼리가 완료된 경우

  • status 값을 갖습니다 succeeded

  • results 채워집니다

위의 모든 것(및 가능한 값들 status)과 함께 요청할 수 있는 추가 필드들이 있습니다. Panther API 스키마를 탐색하는 다양한 방법에 대해 여기에서 알아보세요.

데이터 레이크 또는 검색 쿼리에 대한 메타데이터 가져오기

위 예제에서는 Panther 쿼리의 를 요청했습니다. 또한 쿼리 주변의 추가 메타데이터를 요청할 수 있습니다. results 다음 예제에서는 첫 번째 결과 페이지와 함께 이러한 메타데이터를 요청합니다:

# `QueryMetadata`는 작업의 별칭입니다

첫 번째 페이지 가져오기

엔드투엔드 예제

아래에서는 일반 작업 예제를 기반으로 엔드투엔드 흐름을 보여줍니다.

// `IssueQuery`는 쿼리의 별칭입니다. 완전히 생략할 수 있습니다.

mutation IssueQuery($input: ExecuteIndicatorSearchQueryInput!) {