search
Knowledge BaseRelease NotesRequest Demo

합집합(Union) 연산자

hashtag
개요

다중 테이블을 쿼리합니다 union.

union <table1> [, ...]

또는

| union <table1> [, ...]

다음을 사용하세요 union 기존 쿼리에 여러 테이블을 동시에 쿼리하거나 데이터를 주입하려면 테이블 이름에 와일드카드 문자를 포함할 수 있습니다 * 같은 데이터베이스나 접미사를 가진 테이블처럼 유사한 이름을 가진 테이블을 간결하게 쿼리하려면 union 다음 중 하나입니다 가능한 PantherFlow 데이터 소스.

모든 로그를 가로질러 검색하기 위해 union 사용에 대해 자세히 알아보려면 PantherFlow 모범 사례.

hashtag
이 기능은 규칙이 많은 수의 일치 이벤트를 생성하여 위협의 성격을 파악하기 어려울 때 특히 유용합니다. 알림 요약은 각 이벤트를 수동으로 검토하지 않고도 모든 일치 이벤트의 개요를 제공합니다.

circle-info

이(가) 제공되지 않으면 PantherFlow는 어떤 필드를

let aws_alb = datatable [
  {"type": "https", "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34"},
  {"type": "https", "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1"},
  {"type": "https", "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7"}
];

let aws_cloudtrail = datatable [
  {"aws_region": "us-east-2", "p_event_time": "2023-09-16 05:23:30.812", "eventName": "AssumeRole"}
];

hashtag
여러 소스 테이블 쿼리

EVENT

{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "type": "https" }

{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "type": "https" }

{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "type": "https" }

{ "p_event_time": "2023-09-16 05:23:30.812", "aws_region": "us-east-2", "eventName": "AssumeRole" }

hashtag
기존 쿼리에 테이블 주입

EVENT

{ "p_event_time": "2023-09-16 05:45:34.863", "clientIp": "192.168.11.34", "type": "https" }

{ "p_event_time": "2023-09-16 05:59:04.058", "clientIp": "192.168.1.1", "type": "https" }

{ "p_event_time": "2023-09-16 05:36:09.017", "clientIp": "10.168.22.7", "type": "https" }

{ "p_event_time": "2023-09-16 05:23:30.812", "aws_region": "us-east-2", "eventName": "AssumeRole" }

hashtag
와일드카드 문자를 사용하여 여러 테이블 쿼리

이 문장은 이름이 접두사로 시작하는 모든 테이블을 쿼리합니다 액션 수를 시간별로 집계하여 표시합니다. 각.

Previous요약 연산자Next시각화 연산자

Last updated

Was this helpful?