> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/pantherflow/operators/visualize.md). # Visualize 연산자 ## 개요 {% hint style="info" %} 해당 `시각화` operator는 Panther 버전 1.110부터 오픈 베타이며, 모든 고객이 사용할 수 있습니다. 특히 다음 사항에 유의하세요 [제한 사항](#limitations) 아래에 나열된 항목을 확인하고, 버그 보고와 기능 요청은 Panther 지원 팀과 공유해 주세요. {% endhint %} 다음을 사용하세요 `시각화` 쿼리 결과의 막대형, 선형, 숫자형, 파이 차트 또는 표를 생성하는 operator입니다. ```kusto | visualize =[, ...] ``` 다음을 사용할 수 있습니다 `시각화` 두 개의 필드가 있고 그중 적어도 하나가 숫자형인 모든 결과 집합에 사용할 수 있습니다. 특히 다음과 함께 사용하는 것이 유용합니다 `시각화` 와 함께 [`요약`](/ko/pantherflow/operators/summarize.md) 및 다음과 같은 집계 [`agg.count()`](https://docs.panther.com/ko/pantherflow/operators/pages/c558177b40b82223aa5247e48b550d9e8e0ee9b1#agg.count). 다음은 `시각화` operator는 PantherFlow 쿼리에서 마지막에 사용해야 하며, 데이터를 필터링하거나 변환하지 않습니다. {% hint style="info" %} 시각화를 생성한 후에는 다음에 추가할 수 있습니다 [사용자 지정 대시보드](/ko/search/visualization-and-dashboards/custom.md). {% endhint %} 기본적으로 `시각화` 세로 막대 차트를 표시하지만, 다음을 사용하여 `선형`, `막대형`, `number`, `파이`, 또는 `표` 를 유형으로 설정할 수 있습니다. 다음을 사용해 시각화를 더 세밀하게 조정할 수 있습니다. [지원되는 주석](#supported-annotations). ### 제한 사항 * 차트(`선형`, `막대형`, 그리고 `파이` 시각화)에서는 다음을 선언할 때 잘못된 열이 선택될 수 있습니다 `series=` 하지만 다음은 아닙니다 `xcolumn=`, 또는 그 반대(`xcolumn=` 하지만 다음은 아닙니다 `series`) * 세로 막대 차트를 가로로(왼쪽/오른쪽) 이동하려면 세로로(위/아래) 스크롤해야 합니다 * 최대 999개의 데이터 포인트를 시각화할 수 있습니다 * 데이터는 정렬된 순서로 표시됩니다. 시계열 데이터의 경우, 그래프에서 시간 순서대로 보이게 하려면 시간 기준으로 데이터를 정렬해야 합니다 * 막대 차트에서는 열이 알파벳 순으로 정렬되며 다시 배치할 수 없습니다 ## 지원되는 시각화 유형 * `막대형` (기본값): 범주형 데이터는 직사각형 막대로 표시됩니다. * `선형`: 시간에 따른 추세를 보여주는 데 흔히 사용되며, 데이터 포인트는 직선으로 연결됩니다. * 차트를 만들려면 `선형` 차트에서 x축에 표시되는 필드는 날짜/시간 데이터 유형이어야 합니다. * `number`: 단일 집계 값을 크고 눈에 띄는 숫자로 표시합니다. * 이 차트 유형은 총 개수, 합계, 평균, 최댓값 또는 최솟값과 같은 주요 지표를 단일 값으로 강조 표시할 때 사용합니다. * 첫 번째 결과 행에 숫자 열이 최소 하나 필요합니다. 다음과 같은 집계 함수를 사용하세요 [`agg.count()`](https://docs.panther.com/ko/pantherflow/operators/pages/c558177b40b82223aa5247e48b550d9e8e0ee9b1#agg.count), [`agg.sum()`](https://docs.panther.com/ko/pantherflow/operators/pages/c558177b40b82223aa5247e48b550d9e8e0ee9b1#agg.sum), [`agg.avg()`](https://docs.panther.com/ko/pantherflow/operators/pages/c558177b40b82223aa5247e48b550d9e8e0ee9b1#agg.avg), [`agg.max()`](https://docs.panther.com/ko/pantherflow/operators/pages/c558177b40b82223aa5247e48b550d9e8e0ee9b1#agg.max), 또는 [`agg.min()`](https://docs.panther.com/ko/pantherflow/operators/pages/c558177b40b82223aa5247e48b550d9e8e0ee9b1#agg.min) 숫자 열을 생성하기 위해 * `파이`: 데이터를 원형 차트의 조각으로 표시하며, 비율과 전체의 일부를 보여주는 데 유용합니다. * 범주형 데이터에서 카테고리 간 상대적 크기나 백분율 분포를 시각화할 때 이 차트 유형을 사용합니다. * `표`: 데이터가 표 형식으로 표시됩니다. * 이는 이미 다음에 표시된 결과 테이블과 유사하지만 [검색](/ko/search/search-tool.md), 다음을 사용하는 것은 `표` 표 형식 데이터를 다음에 추가하고 싶다면 유용할 수 있습니다 [사용자 지정 대시보드](/ko/search/visualization-and-dashboards/custom.md). ## 지원되는 주석 다음을 사용하여 주석을 `시각화` 최종 시각화를 사용자 지정하세요. 여러 주석은 쉼표로 구분합니다. 예를 들면: ```kusto | visualize bar legend=left, orientation=horizontal, title="내 차트" ``` {% hint style="info" %} 아래 주석 중 하나를 사용하려면, 쿼리에서 시각화 유형도 명시적으로 설정해야 합니다 (`막대형`, `선형`, `number`, 또는 `파이`). {% endhint %}
주석설명지원되는 시각화 유형지원되는 값예시
제목차트 제목입니다. 제공되지 않으면 기본값은 <x축 필드 이름> 대 <y축 필드 이름> 는 차트 유형에 사용되며, 숫자 다음과 같은 number 시각화에 사용됩니다. 값에 공백이 포함되면 따옴표로 묶어야 합니다.막대형, 선형, number, 파이, <문자열>title="내 차트"
방향차트의 방향입니다. 만약 xcolumn, ycolumn, 또는 series 이 설정되어 있으면 다음보다 우선할 수 있습니다 방향.막대형세로 (기본값)
가로		orientation=horizontal
범례

차트 범례의 존재 여부와 위치입니다.

기본값은 숨김 단일 시리즈 데이터의 경우이며 하단 다중 시리즈 데이터의 경우입니다.

범례를 숨기려면 다음을 사용하세요 숨김.

막대형, 선형, 파이숨김 (단일 시리즈 데이터의 기본값)
표시 (기본값: 하단)
상단
하단 (다중 시리즈 데이터의 기본값)
왼쪽
오른쪽		legend=right
xcolumnx축에 표시되어야 하는 필드의 이름입니다. (x축 레이블이 아닙니다.)막대형, 선형<문자열>xcolumn=mean
ycolumny축에 표시되어야 하는 필드의 이름입니다. (y축 레이블이 아닙니다.)막대형, 선형<문자열>ycolumn=디택션Id
series

데이터 그룹화에 사용될 필드의 이름입니다.

차트는 다음과 같이 될 수 있습니다:

  • 단일 시리즈: 다음에 대해 하나의 선으로 표시됩니다 선형 차트와 다음에 대해 단일 색상으로 구성된 막대로 표시됩니다 막대형 차트
  • 다중 시리즈: 다음에 대해 각기 다른 색상의 여러 선으로 표시됩니다 선형 차트와 다음에 대해 여러 색상으로 구성된 막대로 표시됩니다 막대형 차트

만약 series 가 제공되지 않으면, PantherFlow는 어떤 필드를 series로 취급해야 하는지 추정합니다 series 값도 복사하세요.

막대형, 선형<문자열>series=email
## 예시 {% hint style="info" %} 예제 데이터 ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 }, { "actionName": "CREATE_알러트_DESTINATION", "events": 2 }, { "actionName": "CREATE_USER", "events": 4 }, { "actionName": "CREATE_룰", "events": 10 } ]; ``` {% endhint %} ### 기본 막대 차트 ```kusto my_table | visualize ```
A table with the title "actionName vs events" is shown, with four vertical columns.
### 다음이 있는 막대 차트 `범례`, `방향`, 그리고 `제목` 설정됨 ```kusto my_table | visualize bar legend=left, orientation=horizontal, title="내 차트" ```
A table titled "My Chart" with four horizontal columns are shown.
### 다음이 있는 막대 차트 `agg.count()` 이 예시는 두 개보다 많은 필드를 가진 샘플 데이터(대부분의 실제 데이터 세트와 유사)를 사용합니다. 쿼리는 다음을 사용합니다 `summarize events = agg.count() by actionName` 두 개의 필드를 가진 결과 집합을 생성하기 위해(`actionName` 그리고 `events`) 전에 `시각화` 가 사용됩니다. 집계에 대해 자세히 알아보려면 [PantherFlow 함수](/ko/pantherflow/functions.md#aggregations) 그리고 `요약` 에서 [요약 연산자](/ko/pantherflow/operators/summarize.md). 이 쿼리에는 고유한 예제 데이터가 있습니다: {% hint style="info" %} 예제 데이터 ```kusto let panther_audit = datatable [ { "actionName": "SIGN_IN", "id": "222ef2375b1bf394f687ea842065", "p_event_time": time.parse_timestamp("2024-11-14 00:00:00") }, { "actionName": "CREATE_알러트_DESTINATION", "id": "320a3b11b854c5ceebb2d08420d99d09", "p_event_time": time.parse_timestamp("2024-10-16 00:00:00") }, { "actionName": "CREATE_알러트_DESTINATION", "id": "86a6c88c5b39ede087d3e98420e022", "p_event_time": time.parse_timestamp("2024-11-04 00:00:00") }, { "actionName": "CREATE_USER", "id": "5a0cbd047f5bf380c281d68420bec709", "p_event_time": time.parse_timestamp("2024-11-12 00:00:00") }, { "actionName": "CREATE_USER", "id": "4b0d0f487a2ae459c3976f8420d1a810", "p_event_time": time.parse_timestamp("2024-11-11 00:00:00") }, { "actionName": "CREATE_USER", "id": "7c1e1a59f6bcf4b6d5b83f8420baf911", "p_event_time": time.parse_timestamp("2024-10-27 00:00:00") }, { "actionName": "CREATE_USER", "id": "9d2f2b60a7cdb58ff6a96f8420fa0b12", "p_event_time": time.parse_timestamp("2024-11-09 00:00:00") }, { "actionName": "CREATE_룰", "id": "1e3f3c7189eec6c1e8ca7f8420e3c213", "p_event_time": time.parse_timestamp("2024-11-13 00:00:00") }, { "actionName": "CREATE_룰", "id": "2f404d82aa1fe7d3f9d58f8420e5d314", "p_event_time": time.parse_timestamp("2024-10-31 00:00:00") }, { "actionName": "CREATE_룰", "id": "603f5e93bb20f8e509e79f8420e7e415", "p_event_time": time.parse_timestamp("2024-11-03 00:00:00") } ]; ``` {% endhint %} ```kusto panther_audit | summarize events = agg.count() by actionName | sort actionName desc | limit 4 | visualize ```
A table titled "actionName vs events" is shown with four vertical columns.
### 다음이 있는 선 차트 `제목` 설정됨 이 쿼리에는 고유한 예제 데이터가 있습니다: {% hint style="info" %} 예제 데이터 ```kusto let my_table = datatable [ { "p_event_time": time.parse_timestamp("2024-08-14 00:00:00"), "events": 120 }, { "p_event_time": time.parse_timestamp("2024-08-13 00:00:00"), "events": 20 }, { "p_event_time": time.parse_timestamp("2024-08-12 00:00:00"), "events": 150 }, { "p_event_time": time.parse_timestamp("2024-08-11 00:00:00"), "events": 200 }, { "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 }, { "p_event_time": time.parse_timestamp("2024-08-09 00:00:00"), "events": 80 }, { "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 } ]; ``` {% endhint %} ```kusto my_table | visualize line title="지난주의 이벤트" ```
A line chart titled "Last week's events" is shown, with seven data points.
### 시간별 작업 수를 측정하는 선 차트 아래 쿼리는 다음을 표시합니다 [Panther 감사 로그](/ko/data-onboarding/supported-logs/panther-audit-logs.md) 지난 2일 동안의 시간별 작업 수를 표시하며, 데이터를 시간 단위로 버킷팅합니다. 각 `actionName`. {% hint style="info" %} 이 페이지의 다른 예시 쿼리와 달리, 다음을 `datatable` 모의 데이터를 제공하는 대신, 아래 쿼리는 다음의 실제 데이터에서 가져옵니다 `panther_logs` 데이터베이스. {% endhint %} ```kusto panther_logs.public.panther_audit | where p_event_time >= time.ago(2d) | summarize count = agg.count() by actionName, hour = time.trunc('hour', p_event_time) | sort hour asc | visualize line legend=bottom, title='시간별 작업 수' ```
### 디택션Id별 알러트 수를 측정하는 선 차트 아래 쿼리는 다음 기준의 알러트 수를 표시합니다 `디택션Id` 지난 2주 동안 일별로. {% hint style="info" %} 이 페이지의 다른 예시 쿼리와 달리, 다음을 `datatable` 모의 데이터를 제공하는 대신, 아래 쿼리는 다음의 실제 데이터에서 가져옵니다 `panther_signals` 데이터베이스. {% endhint %} ```kusto panther_signals.public.signal_알러트s | where p_event_time >= time.ago(14d) | summarize count = agg.count() by 디택션Id, hour = time.trunc('day', p_event_time) | sort hour asc | visualize line title="일별 디택션Id별 알러트 수" ```
### 디택션까지의 평균 시간을 측정하는 막대 차트 아래 쿼리는 이벤트가 수집된 시점과 디택션이 트리거된 시점 사이의 평균 시간을 표시하며, 가장 느린 15개의 룰에 대해 `디택션Id`. {% hint style="info" %} 이 페이지의 다른 예시 쿼리와 달리, 다음을 `datatable` 모의 데이터를 제공하는 대신, 아래 쿼리는 다음의 실제 데이터에서 가져옵니다 `panther_signals` 데이터베이스. {% endhint %} ```kusto panther_signals.public.signal_알러트s | where p_event_time >= time.ago(7d) and ingestTimeTo디택션Seconds != null | summarize mean = agg.avg(ingestTimeTo디택션Seconds) by 디택션Id | sort mean desc | limit 15 | visualize bar xcolumn=mean, ycolumn=디택션Id, legend=right, orientation=horizontal, title='평균 디택션 시간' ```
### 다음을 사용하는 막대 차트 `series` 이 쿼리에는 고유한 예제 데이터가 있습니다: {% hint style="info" %} 예제 데이터: ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 , "user": "alice"}, { "actionName": "SIGN_IN", "events": 7 , "user": "bob"}, { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"}, { "actionName": "CREATE_알러트_DESTINATION", "events": 2, "user": "alice"}, { "actionName": "CREATE_알러트_DESTINATION", "events": 3, "user": "chris"}, { "actionName": "CREATE_알러트_DESTINATION", "events": 5, "user": "emily"}, { "actionName": "CREATE_USER", "events": 1, "user": "alice" }, { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"}, { "actionName": "CREATE_USER", "events": 3 , "user": "ross"}, { "actionName": "CREATE_룰", "events": 12, "user": "betsy" }, { "actionName": "CREATE_룰", "events": 6, "user": "bob" }, { "actionName": "CREATE_룰", "events": 6, "user": "casey" } ]; ``` {% endhint %} ```kusto my_table | visualize bar series=user ```
Under an actionName vs events header is a bar chart. There are four vertical columns, and each column in separated into three colors.
### 도시, 국가별 로그인 수를 표시하는 막대 차트 {% hint style="info" %} 이 페이지의 다른 예시 쿼리와 달리, 다음을 `datatable` 모의 데이터를 제공하는 대신, 아래 쿼리는 다음의 실제 데이터에서 가져옵니다 `okta_systemlog` 데이터베이스. {% endhint %} ```kusto panther_logs.public.okta_systemlog | where eventType == 'user.session.start' and p_event_time > time.ago(90d) | extend country = client.geographicalContext.country, city = client.geographicalContext.city | summarize events = agg.count() by country, city | project country, events, city | sort events desc | limit 10 | visualize bar orientation=horizontal,title='도시, 국가별 로그인' ```
A bar char is shown, titled "Logins by city, country." There are four bars, labeled Atlanta, Maplewood, Athens, and Thessaloniki.
### 비례 데이터가 있는 파이 차트 시각화 이 예시는 다양한 작업 유형의 분포를 비례 데이터로 표시합니다: {% hint style="info" %} 예제 데이터 ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 }, { "actionName": "CREATE_알러트_DESTINATION", "events": 2 }, { "actionName": "CREATE_USER", "events": 4 }, { "actionName": "CREATE_룰", "events": 10 } ]; ``` {% endhint %} ```kusto my_table | visualize pie title="작업 분포" ```
### 집계 데이터가 있는 파이 차트 아래 쿼리는 지난주 Panther 감사 작업의 유형별 분포를 표시합니다: ```kusto panther_logs.public.panther_audit | where p_event_time >= time.ago(7d) | summarize events = agg.count() by actionName | sort events desc | limit 8 | visualize pie title="작업 유형 분포 (최근 7일)" ```
### 총 알러트 수를 표시하는 숫자 시각화 해당 `number` 시각화는 단일 집계 값을 눈에 띄게 표시합니다. 다음과 함께 사용하세요 `요약` 한 행을 생성하는 ```kusto panther_signals.public.correlation_signals | where p_알러트_creation_time > time.ago(24h) | summarize total_알러트s = agg.count() | visualize number title="알러트(최근 24시간)" ```
### 평균 수집-디택션 시간을 표시하는 숫자 시각화 ```kusto panther_signals.public.signal_알러트s | where p_event_time >= time.ago(7d) and ingestTimeTo디택션Seconds != null | summarize avg_seconds = agg.avg(ingestTimeTo디택션Seconds) | visualize number title="평균 디택션 시간(초)" ```
### 예제 데이터를 사용하는 숫자 시각화 {% hint style="info" %} 예제 데이터 ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 }, { "actionName": "CREATE_알러트_DESTINATION", "events": 2 }, { "actionName": "CREATE_USER", "events": 4 }, { "actionName": "CREATE_룰", "events": 10 } ]; ``` {% endhint %} ```kusto my_table | summarize total = agg.sum(events) | visualize number title="총 이벤트" ```
### 다음을 사용하는 표 시각화 `제목` 설정됨 이 쿼리에는 고유한 예제 데이터가 있습니다: {% hint style="info" %} 예제 데이터: ```kusto let my_table = datatable [ { "actionName": "SIGN_IN", "events": 12 , "user": "alice"}, { "actionName": "SIGN_IN", "events": 7 , "user": "bob"}, { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"}, { "actionName": "CREATE_알러트_DESTINATION", "events": 2, "user": "alice"}, { "actionName": "CREATE_알러트_DESTINATION", "events": 3, "user": "chris"}, { "actionName": "CREATE_알러트_DESTINATION", "events": 5, "user": "emily"}, { "actionName": "CREATE_USER", "events": 1, "user": "alice" }, { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"}, { "actionName": "CREATE_USER", "events": 3 , "user": "ross"}, { "actionName": "CREATE_룰", "events": 12, "user": "betsy" }, { "actionName": "CREATE_룰", "events": 6, "user": "bob" }, { "actionName": "CREATE_룰", "events": 6, "user": "casey" } ]; ``` {% endhint %} ```kusto my_table | visualize table title='사용자별 작업' ```
Under an "Actions by user" title is a table with three columns, labeled actionName, events, and user.
--- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/pantherflow/operators/visualize.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.