# PantherFlow 표현식 {% hint style="info" %} PantherFlow는 Panther 버전 1.110부터 공개 베타로 제공되며, 모든 고객이 이용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요. {% endhint %} ## 참조 ### 배열 참조
구문설명예제
array[X]X의 값 가져오기foo[1]
### 개체 참조
구문설명예제
object['X']X의 값 가져오기foo['bar']
object.XX의 값 가져오기foo.bar
## 비교 ### 동등 비교
연산자설명예제연산자의미
==동등A == B==
!=부등A != B!=
### 불리언 비교
연산자설명예제연산자의미
Run Panther AI논리 ANDA and BRun Panther AI
또는논리 ORA or B또는
not논리 NOTnot Anot
### 수치 비교
구문설명예제
<보다 작음A < B
<=보다 작거나 같음A <= B
>보다 큼A > B
>=보다 크거나 같음A >= B
+더하기A + B
-빼기A - B
*곱하기A * B
/나누기A / B
%나머지A % B
### 배열 비교
구문설명예제
in값이 배열 안에 있음X in [X, Y, Z], '10.10.10.100' in p_any_ip_addresses
not in값이 배열 안에 없음X not in [A, B, C]
### 범위 비교
연산자설명예제
between값이 두 값 사이에 있음(포함), 값들은 다음으로 구분됨 ..<foo> between <begin> .. <end>
not between값이 두 값 사이에 없음(미포함), 값들은 다음으로 구분됨 ..<foo> not between <begin> .. <end>
## 함수 ### 익명 함수 익명 함수, 또는 "람다 함수"는 이름 없는 함수로, 다음의 인자로 사용할 수 있습니다. `arrays.map()` Run Panther AI `arrays.filter()` 함수. 익명 함수는 0개 이상의 매개변수와 표현식인 본문을 가집니다: ```kusto fn ([arg1] [, arg2...]]) { } ``` #### 예시: **에서 숫자에 1 더하기 `arrays.map()`** 아래 예제에서 익명 함수는 첫 번째 인자로 제공된 배열의 각 요소에 적용됩니다. `arrays.map()`: ```kusto arrays.map([1, 2, 3], fn (r) { r + 1 }) ``` 이후 `arrays.map()` 함수가 각 요소에 적용되면, 배열은 다음과 같이 됩니다: ```kusto [2, 3, 4] ``` #### **예: null과 비교하기 `arrays.filter()`** 아래 예제에서, `arrays.filter()` 익명 함수를 필터 조건으로 사용합니다: ```kusto arrays.filter([null, 5, null, 6], fn (elem) { elem != null }) ``` 이후 `arrays.filter()` 익명 함수를 사용해 목록을 필터링하면, 다음과 같이 됩니다: ```kusto [5, 6] ``` #### **예: 여러 익명 함수 중첩하기** 익명 함수를 중첩하거나, 다른 익명 함수의 본문에서 익명 함수를 사용하는 것이 가능합니다. 이는 배열 안의 배열을 추출할 때 유용할 수 있습니다: ```kusto let source = datatable [{ "results": [ { "cats": [ { "Name": "Whiskers", "Breed": "Siamese", "FurLength": "Short", "ID": "AAAAA" }, { "Name": "Mittens", "Breed": "Maine Coon", "FurLength": "Long", "ID": "BBBBB" } ] }, { "cats": [ { "Name": "Mr. Meow", "Breed": "Orange Tabby", "FurLength": "Short", "ID": "CCCCC" }, { "Name": "Mrs. Meow", "Breed": "Persian", "FurLength": "Long", "ID": "DDDDD" } ] } ] }]; source | project results=arrays.flatten( arrays.map(results, fn (result) { arrays.map(result.cats, fn (cat) { object("CatName", cat.Name, "ID", cat.ID) }) }) ) ``` | results | | --------------------------------------------------------------------------------------------------------------------------------------------------- | | `[{"CatName":"Whiskers","ID":"AAAAA"},{"CatName":"Mittens","ID":"BBBBB"},{"CatName":"Mr. Meow","ID":"CCCCC"},{"CatName":"Mrs. Meow","ID":"DDDDD"}]` | --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/pantherflow/expressions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.