Range 연산자

개요

증가하는 행들의 시퀀스를 생성합니다 range.

range <dest> from <start> to <end> step <size>

다음을 사용할 수 있습니다 range 증가하는 행 집합으로 테이블을 생성하는 데 유용할 수 있습니다.

시퀀스의 첫 번째 값은 <start>이고, 다음 행들은 <size> 를 이전 행에 더하여 생성됩니다. 시퀀스의 최종 값은 <end>보다 작거나 같은 마지막 값입니다 — 다시 말해, 시퀀스는 <end>. <dest> 는 결과 시퀀스가 할당되는 필드의 이름입니다. <start>, <end>및 <step> 의 값은 정수여야 합니다.

range 는 다음 중 하나입니다 가능한 PantherFlow 데이터 소스이며, 테이블 소스로만 사용할 수 있습니다.

예제

시퀀스 생성

0부터 5까지(포함) 시퀀스를 생성합니다.

range N from 0 to 5 step 1

더 큰 스텝으로 시퀀스 생성

시퀀스는 <end>.

보다 작거나 같은 마지막 숫자에서 멈춥니다

출력:

data

타임스탬프 시퀀스 생성

range 는 시간 시퀀스를 생성하는 데 사용할 수 있습니다.

range data from 0 to 2 step 1
| project t = time.add(time.now(), data, 'h')

2025-03-13 15:41:46.368000

2025-03-13 16:41:46.368000

2025-03-13 17:41:46.368000

시계열 분석을 위한 시간 버킷 생성

range 다른 연산자와 결합하여 시계열 분석을 수행할 수 있습니다. 아래 예시는 Panther 감사 로그를 시간별 버킷으로 매핑합니다:

let all_times = range N from 0 to 23 step 1 
| project bucket=time.add(time.now(), -1*N, "h") 
| project bucket=time.trunc('hour', bucket);

let all_actors = panther_logs.public.panther_audit 
| where p_event_time > time.ago(1d)
| summarize by actor=actor.name;

let zeroes = all_times
| join kind=cross actors=(all_actors)
| project bucket, actor=actors.actor, eventcount=0;

panther_logs.public.panther_audit 
| where p_event_time > time.ago(1d)
| extend bucket=time.trunc('hour', p_event_time)
| summarize eventcount=agg.count() by bucket, actor=actor.name
| union zeroes
| summarize eventcount=agg.sum(eventcount) by bucket, actor
| sort bucket asc, actor asc
| visualize line xcolumn=bucket, ycolumn=eventcount, series=actor, legend=bottom, title="Count of Panther Audit Actions Per User Over Last 24 Hours"

Under a "Count of Panther Audit Actions Per User Over Last 24 Hours" header is a line chart.

이전Project 연산자 다음Sort 연산자

마지막 업데이트 9개월 전

도움이 되었나요?

hashtag개요

hashtag예제

hashtag시퀀스 생성

hashtag더 큰 스텝으로 시퀀스 생성

hashtag타임스탬프 시퀀스 생성

hashtag시계열 분석을 위한 시간 버킷 생성

개요

예제

시퀀스 생성

더 큰 스텝으로 시퀀스 생성

타임스탬프 시퀀스 생성

시계열 분석을 위한 시간 버킷 생성