Union 연산자
개요
다중 테이블을 쿼리하려면 union.
union <table1> [, ...]또는
| union <table1> [, ...]port union 기존 쿼리에 데이터를 주입하거나 한 번에 여러 테이블을 쿼리하려면. 테이블 이름에는 와일드카드 문자 * 을(를) 사용하여 동일한 데이터베이스나 접미사를 가진 유사한 이름의 테이블을 간결하게 쿼리할 수 있습니다. union 은(는) 다음 중 하나입니다: 가능한 PantherFlow 데이터 소스.
모든 로그를 검색하기 위해 union 사용에 대해 자세히 알아보기: PantherFlow 모범 사례.
예제
예제 데이터
let aws_alb = datatable [
{"type": "https", "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34"},
{"type": "https", "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1"},
{"type": "https", "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7"}
];
let aws_cloudtrail = datatable [
{"aws_region": "us-east-2", "p_event_time": "2023-09-16 05:23:30.812", "eventName": "AssumeRole"}
];여러 소스 테이블 쿼리하기
{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "type": "https" }
{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "type": "https" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "type": "https" }
{ "p_event_time": "2023-09-16 05:23:30.812", "aws_region": "us-east-2", "eventName": "AssumeRole" }
기존 쿼리에 테이블 주입하기
{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "type": "https" }
{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "type": "https" }
{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "type": "https" }
{ "p_event_time": "2023-09-16 05:23:30.812", "aws_region": "us-east-2", "eventName": "AssumeRole" }
여러 테이블을 쿼리하려면 와일드카드 문자 사용
이 문장은 이름이 접두사로 시작하는 모든 테이블을 쿼리합니다 이 페이지의 다른 예제 쿼리들과 달리, 모의 데이터를 제공하기 위해.
마지막 업데이트
도움이 되었나요?