Visualize 연산자

개요

사용자를 사용할 것이며, visualize operator는 Panther 버전 1.110부터 오픈 베타 상태이며 모든 고객이 사용할 수 있습니다. 특히 다음 항목에 주의하시고 Panther 지원팀과 버그 리포트 및 기능 요청을 공유하세요. 제한 사항 아래에 나열된 항목을 확인하시고 Panther 지원팀과 버그 리포트 및 기능 요청을 공유하세요.

다음을 사용하세요 visualize operator는 쿼리 결과의 막대 또는 선 차트 또는 표를 생성하는 데 사용됩니다.

| visualize <bar|line|table> <annotation>=<expression>[, ...]

다음 도구를 사용할 수 있습니다 visualize 적어도 하나의 필드가 숫자형인 두 필드를 가진 결과 집합과 함께 사용할 수 있습니다. 특히 visualize 에서 생성된 검색은 summarize 및 다음과 같은 집계에서 유용합니다 agg.count(). visualize operator는 PantherFlow 쿼리에서 반드시 마지막에 사용되어야 하며 데이터를 필터링하거나 변환하지 않습니다.

시각화를 생성한 후에는 이를 사용자 정의 대시보드.

기본적으로 visualize 는 수직 막대 차트를 표시하지만, 선, 막대, 또는 표 를 사용하여 유형을 설정할 수 있습니다. 또한 다음을 사용하여 시각화를 추가로 사용자화할 수 있습니다 지원되는 주석.

제한 사항

차트의 경우 (선 와 막대 시각화)에서, series= 를 선언할 때 잘못된 열이 선택될 수 있습니다 하지만xcolumn=하지만 는 선택되지 않았거나 그 반대일 수 있습니다 ( 하지만)
series
수직 막대 차트를 수평으로(왼쪽/오른쪽) 이동하려면 세로로(위/아래) 스크롤해야 합니다
최대 999개의 데이터 포인트를 시각화할 수 있습니다
데이터는 정렬된 순서로 표시됩니다. 시계열 데이터의 경우 그래프에 시간 순서대로 표시되길 원하면 반드시 시간으로 정렬해야 합니다

막대 차트에서는 열이 알파벳순으로 정렬되며 재배열할 수 없습니다

막대 지원되는 시각화 유형
선(기본값): 범주형 데이터는 직사각형 막대로 표현됩니다.
- : 일반적으로 시간 경과에 따른 추세를 보여주는 데 사용되며, 데이터 포인트는 직선으로 연결됩니다. 선 차트를 생성하려면 x축에 표시되는 필드가 날짜/시간 데이터 유형이어야 합니다.
표: 데이터가 표 형식으로 표현됩니다.
- 이는 이미 로그 소스가 구성된 후에는 수집된 데이터를 사용하여 검색할 수 있습니다에 표시된 결과 표와 유사하지만, 표 를 사용하면 표 형식 데이터를 사용자 정의 대시보드.

에 추가하고 싶을 때 유용할 수 있습니다

지원되는 주석 visualize 시각화와 함께 주석을 사용하여 결과 시각화를 사용자화하세요. 여러 주석은 쉼표로 구분합니다. 예:

| visualize bar legend=left, orientation=horizontal, title="My Chart"

아래의 주석을 사용하려면 쿼리가 명시적으로 시각화 유형을 설정해야 합니다 (막대 이전에 생성한 Snowflake 사용자 이름, 예를 들면 선).

주석

설명

막대 차트에서는 열이 알파벳순으로 정렬되며 재배열할 수 없습니다

지원되는 값

예시

title

차트의 제목입니다. 제공되지 않으면 기본값은 <x축 필드 이름> vs <y축 필드 이름>입니다. 값에 공백이 포함된 경우 따옴표로 묶어야 합니다.

막대, 선, 표

<문자열>

title="My Chart"

orientation

차트의 방향입니다. 만약 xcolumn, ycolumn, 또는 하지만 이 설정되어 있으면 이들이 orientation.

막대

보다 우선할 수 있습니다 (기본값) vertical

horizontal

orientation=horizontal

legend 차트 범례의 존재 및 위치. 기본값은 hidden 단일 시리즈 데이터의 경우 및 bottom

다중 시리즈 데이터의 경우입니다. 차트 범례의 존재 및 위치. 기본값은.

막대, 선

차트 범례의 존재 및 위치. 기본값은 범례를 숨기려면 (단일 시리즈 데이터의 기본값) (정의되어 있지 않으면 기본값은 단일 시리즈 데이터의 경우 및) visible 단일 시리즈 데이터의 경우 및 top (다중 시리즈 데이터의 기본값) left

right

xcolumn

legend=right

막대, 선

<문자열>

x축에 표시되어야 하는 필드의 이름입니다. (이것은 x축의 레이블이 아닙니다.)

ycolumn

xcolumn=mean

막대, 선

<문자열>

y축에 표시되어야 하는 필드의 이름입니다. (이것은 y축의 레이블이 아닙니다.)

하지만

ycolumn=detectionId

데이터를 그룹화하는 데 사용되어야 하는 필드의 이름입니다. 차트는 다음과 같이 될 수 있습니다: 선 단일 시리즈: 단일 선으로 표현되는 막대 차트 및 단일 색상으로 구성된 막대의
차트 선 다중 시리즈: 각기 다른 색의 여러 선으로 표현되는 막대 차트 및 단일 색상으로 구성된 막대의

만약 하지만 차트, 그리고 여러 색으로 구성된 막대의 하지만 값을 복사하세요.

막대, 선

<문자열>

차트

예제

예제 데이터

가 제공되지 않으면 PantherFlow는 어떤 필드를
  series=email
  로 취급해야 할지에 대해 가정합니다
  let my_table = datatable [
  { "actionName": "SIGN_IN", "events": 12 },
];

{ "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },

{ "actionName": "CREATE_USER", "events": 4 },
{ "actionName": "CREATE_RULE", "events": 10 }

A table with the title "actionName vs events" is shown, with four vertical columns.

기본 막대 차트 `orientation=horizontal`, `orientation`및 `title` my_table

{ "actionName": "CREATE_USER", "events": 4 },
| visualize bar legend=left, orientation=horizontal, title="My Chart"

A table titled "My Chart" with four horizontal columns are shown.

기본 막대 차트 `agg.count()`

| visualize 다음이 설정된 막대 차트 이 예제는 실제 데이터 세트처럼 두 개 이상의 필드를 가진 샘플 데이터를 사용합니다. 쿼리는summarize events = agg.count() by actionName 와 를 사용하여 두 필드(actionName visualize events )을 가진 결과 집합을 생성한 다음 와 summarize 켜기 가 사용됩니다. 집계에 대해 자세히 알아보려면.

PantherFlow 함수

예제 데이터

Summarize 연산자
  이 쿼리는 고유한 예제 데이터를 포함합니다:
  let panther_audit = datatable [
  { "actionName": "SIGN_IN", "id": "222ef2375b1bf394f687ea842065", "p_event_time": time.parse_timestamp("2024-11-14 00:00:00") },
  { "actionName": "CREATE_ALERT_DESTINATION", "id": "320a3b11b854c5ceebb2d08420d99d09", "p_event_time": time.parse_timestamp("2024-10-16 00:00:00") },
  { "actionName": "CREATE_ALERT_DESTINATION", "id": "86a6c88c5b39ede087d3e98420e022", "p_event_time": time.parse_timestamp("2024-11-04 00:00:00") },
  { "actionName": "CREATE_USER", "id": "5a0cbd047f5bf380c281d68420bec709", "p_event_time": time.parse_timestamp("2024-11-12 00:00:00") },
  { "actionName": "CREATE_USER", "id": "4b0d0f487a2ae459c3976f8420d1a810", "p_event_time": time.parse_timestamp("2024-11-11 00:00:00") },
  { "actionName": "CREATE_USER", "id": "7c1e1a59f6bcf4b6d5b83f8420baf911", "p_event_time": time.parse_timestamp("2024-10-27 00:00:00") },
  { "actionName": "CREATE_USER", "id": "9d2f2b60a7cdb58ff6a96f8420fa0b12", "p_event_time": time.parse_timestamp("2024-11-09 00:00:00") },
  { "actionName": "CREATE_RULE", "id": "1e3f3c7189eec6c1e8ca7f8420e3c213", "p_event_time": time.parse_timestamp("2024-11-13 00:00:00") },
];

{ "actionName": "CREATE_RULE", "id": "2f404d82aa1fe7d3f9d58f8420e5d314", "p_event_time": time.parse_timestamp("2024-10-31 00:00:00") },
{ "actionName": "CREATE_RULE", "id": "603f5e93bb20f8e509e79f8420e7e415", "p_event_time": time.parse_timestamp("2024-11-03 00:00:00") }
panther_audit
| summarize events = agg.count() by actionName
{ "actionName": "CREATE_RULE", "events": 10 }

A table titled "actionName vs events" is shown with four vertical columns.

| sort actionName desc `title` my_table

PantherFlow 함수

예제 데이터

가 제공되지 않으면 PantherFlow는 어떤 필드를
  | limit 4
  설정된 선 차트
  { "p_event_time": time.parse_timestamp("2024-08-14 00:00:00"), "events": 120 },
  { "p_event_time": time.parse_timestamp("2024-08-13 00:00:00"), "events": 20 },
  { "p_event_time": time.parse_timestamp("2024-08-12 00:00:00"), "events": 150 },
  { "p_event_time": time.parse_timestamp("2024-08-11 00:00:00"), "events": 200 },
  { "p_event_time": time.parse_timestamp("2024-08-10 00:00:00"), "events": 50 },
];

{ "actionName": "CREATE_USER", "events": 4 },
{ "p_event_time": time.parse_timestamp("2024-08-09 00:00:00"), "events": 80 },

A line chart titled "Last week's events" is shown, with seven data points.

{ "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 }

| visualize line title="지난주 이벤트" 알러트에 대한 응답은 알러트에 대한 사용자의 권한에 기반해 접근이 제한됩니다. 시간별 액션 수를 측정하는 선 차트 summarize events = agg.count() by actionName.

아래 쿼리는 지난 이틀간의 시간별 액션 수를 시간 단위로 버킷화하여 표시합니다. 각 datatable 마다 별도의 차트 선이 추가됩니다 이 페이지의 다른 예제 쿼리들과 달리, 모의 데이터를 제공하기 위해 를 사용한 것이 아니라 아래 쿼리는 라이브 데이터를 귀하의

panther_logs
데이터베이스에서 가져옵니다.
panther_logs.public.panther_audit
| where p_event_time >= time.ago(2d)
| summarize count = agg.count() by actionName, hour = time.trunc('hour', p_event_time)

| sort hour asc

| visualize line legend=bottom, title='시간별 액션 수' detectionId별 경고 수를 일별로 측정하는 선 차트 아래 쿼리는 지난 2주 동안의

아래 쿼리는 지난 이틀간의 시간별 액션 수를 시간 단위로 버킷화하여 표시합니다. 각 datatable 마다 별도의 차트 선이 추가됩니다 detectionId별 경고 수를 일별로 표시합니다. 를 사용한 것이 아니라 아래 쿼리는 라이브 데이터를 귀하의

panther_signals
panther_signals.public.signal_alerts
| where p_event_time >= time.ago(14d)
| where p_event_time >= time.ago(2d)
| summarize count = agg.count() by detectionId, hour = time.trunc('day', p_event_time)

| visualize line title="detectionId별 일일 경고 수"

평균 탐지 시간(Mean Time to Detect)을 측정하는 막대 차트 detectionId별 경고 수를 일별로 측정하는 선 차트.

panther_signals
아래 쿼리는 이벤트가 수집된 시점과 탐지가 트리거된 시점 사이의 평균 시간을 표시합니다. 탐지 시간이 가장 느린 상위 15개 룰에 대해
| where p_event_time >= time.ago(7d) and ingestTimeToDetectionSeconds != null
| summarize mean = agg.avg(ingestTimeToDetectionSeconds) by detectionId
| sort mean desc
| limit 15

| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='Mean Time to Detect' `하지만`

PantherFlow 함수

를 사용하는 막대 차트

가 제공되지 않으면 PantherFlow는 어떤 필드를  
  예제 데이터:
  { "actionName": "SIGN_IN", "events": 12 , "user": "alice"},
  { "actionName": "SIGN_IN", "events": 7 , "user": "bob"},
  { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"},
  { "actionName": "CREATE_USER", "events": 1, "user": "alice" },
  { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},
  { "actionName": "CREATE_USER", "events": 3 , "user": "ross"},
  { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
  { "actionName": "CREATE_RULE", "events": 6, "user": "bob" },
];

{ "actionName": "CREATE_USER", "events": 4 },
{ "actionName": "CREATE_RULE", "events": 6, "user": "casey" }

Under an actionName vs events header is a bar chart. There are four vertical columns, and each column in separated into three colors.

| visualize bar series=user

아래 쿼리는 지난 이틀간의 시간별 액션 수를 시간 단위로 버킷화하여 표시합니다. 각 datatable 마다 별도의 차트 선이 추가됩니다 도시, 국가별 로그인 수를 표시하는 막대 차트 를 사용한 것이 아니라 아래 쿼리는 라이브 데이터를 귀하의

okta_systemlog
panther_logs.public.okta_systemlog
| where eventType == 'user.session.start' and p_event_time > time.ago(90d)
| extend country = client.geographicalContext.country, city = client.geographicalContext.city
| summarize events = agg.count() by country, city
| project country, events, city
| sort events desc
| limit 10

A bar char is shown, titled "Logins by city, country." There are four bars, labeled Atlanta, Maplewood, Athens, and Thessaloniki.

| visualize bar orientation=horizontal,title='도시, 국가별 로그인 수' `title` my_table

PantherFlow 함수

를 사용하는 막대 차트

가 제공되지 않으면 PantherFlow는 어떤 필드를  
  예제 데이터:
  { "actionName": "SIGN_IN", "events": 12 , "user": "alice"},
  { "actionName": "SIGN_IN", "events": 7 , "user": "bob"},
  { "actionName": "SIGN_IN", "events": 4 , "user": "charlie"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 2, "user": "alice"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 3, "user": "chris"},
  { "actionName": "CREATE_ALERT_DESTINATION", "events": 5, "user": "emily"},
  { "actionName": "CREATE_USER", "events": 1, "user": "alice" },
  { "actionName": "CREATE_USER", "events": 4 , "user": "frankie"},
  { "actionName": "CREATE_USER", "events": 3 , "user": "ross"},
  { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
  { "actionName": "CREATE_RULE", "events": 6, "user": "bob" },
];

{ "actionName": "CREATE_USER", "events": 4 },
다음이 있는 표 시각화입니다: | visualize table title='사용자별 액션'

Under an "Actions by user" title is a table with three columns, labeled actionName, events, and user.

이전Union 연산자 다음Where 연산자

마지막 업데이트 7개월 전

도움이 되었나요?

hashtag개요

hashtag제한 사항

hashtag막대 차트에서는 열이 알파벳순으로 정렬되며 재배열할 수 없습니다

hashtag에 추가하고 싶을 때 유용할 수 있습니다

hashtag예제

hashtag{ "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },

hashtag기본 막대 차트 orientation=horizontal, orientation및 title my_table

hashtag기본 막대 차트 agg.count()

hashtag| sort actionName desc title my_table

hashtag{ "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 }

hashtag| sort hour asc

hashtag| visualize line title="detectionId별 일일 경고 수"

hashtag| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='Mean Time to Detect' 하지만

hashtag| visualize bar series=user

hashtag| visualize bar orientation=horizontal,title='도시, 국가별 로그인 수' title my_table

개요

제한 사항

막대 차트에서는 열이 알파벳순으로 정렬되며 재배열할 수 없습니다

에 추가하고 싶을 때 유용할 수 있습니다

예제

{ "actionName": "CREATE_ALERT_DESTINATION", "events": 2 },

기본 막대 차트 `orientation=horizontal`, `orientation`및 `title` my_table

기본 막대 차트 `agg.count()`

| sort actionName desc `title` my_table

{ "p_event_time": time.parse_timestamp("2024-08-08 00:00:00"), "events": 10 }

| sort hour asc

| visualize line title="detectionId별 일일 경고 수"

| visualize bar xcolumn=mean, ycolumn=detectionId, legend=right, orientation=horizontal, title='Mean Time to Detect' `하지만`

| visualize bar series=user

| visualize bar orientation=horizontal,title='도시, 국가별 로그인 수' `title` my_table