PantherFlow(베타)

개요

PantherFlow는 Panther의 파이프라인화된 쿼리 언어입니다. 이해하기 쉽게 설계되었지만 강력하고 표현력이 있습니다.

Panther에서 데이터를 탐색하고 분석하려면 PantherFlow를 사용하세요. 그 연산자 와 함수을(를) 사용하면 필터링, 변환, 집계와 같은 다양한 데이터 작업을 수행할 수 있으며, 추가로 결과를 시각화할 수 있습니다 막대 또는 선 차트로. PantherFlow는 스키마에 유연하므로(스키마가 다른 소스 포함) 단일 쿼리에서 여러 데이터 소스를 원활하게 검색할 수 있습니다.

PantherFlow 쿼리는 파이프(|)를 사용하여 데이터 작업을 구분하며, 이러한 작업은 순차적으로 처리됩니다.|즉, 쿼리의 첫 번째 연산자의 출력이 두 번째 연산자의 입력으로 전달되고 그 다음으로 계속됩니다. 아래 예제 쿼리를 보세요:

okta_systemlog
| where p_event_time > time.ago(1d)
| search 'doug'
| summarize agg.count() by eventType 

PantherFlow 쿼리를 최적화하는 방법은 PantherFlow 모범 사례.

PantherFlow를 사용할 위치

Search에서 데이터를 쿼리하려면 PantherFlow를 사용하세요. 여기에서 Search에 PantherFlow를 입력하는 방법을 알아보세요뿐만 아니라, 여기에서 자연어로 PantherFlow를 생성하기 위해 AI를 사용하는 방법을 알아보세요.

쿼리 작성을 돕기 위해 Search의 PantherFlow 코드 편집기는 자동완성, 오류 밑줄, 호버 툴팁, 인레이 힌트 및 함수 시그니처 도움말을 제공합니다.

PantherFlow 쿼리가 작동하는 방식

"PantherFlow 쿼리"라는 용어는 일반적으로 테이블 식 표현문을(를) 가리키며, 이는 데이터셋을 검색하여 어떤 형태로 반환합니다(대조적으로 let 문). 테이블 식 표현문에는 보통 연산자 파이프(|)로 구분된|각 연산자는 데이터에 대해 어떤 작업(예: 필터링 또는 변환)을 수행한 다음 다음 연산자로 전달합니다. 연산자 순서는 중요하며 PantherFlow 문은 순차적으로 읽힙니다.

PantherFlow 구문 개요는 PantherFlow 빠른 참조에서 확인하거나 구문 주제를 더 자세히 살펴보세요:

• PantherFlow 문들

• PantherFlow 연산자들

• PantherFlow 데이터 유형들

• PantherFlow 표현식들

• )을 가진 결과 집합을 생성한 다음

단계별 PantherFlow 쿼리 예제

다음 PantherFlow 쿼리를 살펴보겠습니다:

요약하면, 이 쿼리는 aws_alb 테이블에서 데이터를 읽고, 지난 하루 이전에 발생한 이벤트를 필터링하고, 남은 이벤트를 시간순으로 정렬한 다음 첫 번째 10개 이벤트를 반환합니다.

각 줄을 더 자세히 살펴보겠습니다:

1. panther_logs.public.aws_alb

   • 이 문장은 데이터 소스를 식별합니다.

   • 이 쿼리는 panther_logs.public.aws_alb 테이블에서 읽고 있습니다. 쿼리에 이 줄만 포함되어 있다면 테이블의 모든 데이터가 반환될 것입니다.

2. | where p_event_time > time.ago(1d)

   • 사용자를 사용할 것이며, where PantherFlow에서 모든 로그를 검색하려면 는 표현식 을(를) 사용하여 데이터를 필터링합니다.

   • 이 쿼리는 p_event_time 필드 값이 하루 전 시간보다 큰 데이터를 요청하고 있습니다. 다시 말해, 지난 하루 이내에 발생한 이벤트를 요청하는 것입니다. time.ago() 함수는 현재 시간에서 빼기 연산을 수행하며, 그 인수(1d)는 하루를 나타내는 타임스탬프 상수입니다.

3. | sort p_event_time

   • 사용자를 사용할 것이며, sort PantherFlow에서 모든 로그를 검색하려면 는 하나 이상의 필드 값으로 이벤트를 정렬할 수 있게 해줍니다.

   • 이 쿼리는 데이터를 p_event_time로 정렬합니다. 이유는 기본 정렬 순서 가 내림차순이므로 가장 최근 이벤트가 먼저 반환됩니다.

4. | sort events desc

   • 사용자를 사용할 것이며, limit PantherFlow에서 모든 로그를 검색하려면 는 반환할 이벤트 수의 최대값을 정의합니다.

   • 이 쿼리는 최대 10개의 이벤트를 요청하고 있습니다.

추가 쿼리 예제 보기:

• PantherFlow 예제 쿼리들

• 예약 검색 예제들

PantherFlow의 제한 사항

• 다음과 같은 작업은 할 수 있지만, 저장된 검색 만들기 Panther 콘솔에서 PantherFlow를 사용하여, 다음은 불가능합니다:

  • 저장된 검색 예약(즉, 를 반환하면 다른 선택적 함수들이 실행되고 알러트가)

  • 개발자 워크플로우에서 PantherFlow를 사용하여 저장된 검색 만들기(즉, saved_query 을(를) 업로드하거나, 프로그램 방식으로 업로드할 수 있습니다 또는 REST 이전에 생성한 Snowflake 사용자 이름, 예를 들면 GraphQL API를 사용하여)

• 집계(예: summarize PantherFlow에서 모든 로그를 검색하려면)는 검색 결과 히스토그램.

• 에 대한 정보를 표시하지 않습니다. Search에서 목록 사용 가능한 필드 project, extend및 summarize.

• 는

• 사용자를 사용할 것이며, visualize 연산자마다 자체적인 제한 사항이 있습니다..