PantherFlow 빠른 참조

문장

PantherFlow 쿼리는 하나 이상의 문장으로 구성됩니다. 문장에는 두 가지 유형이 있습니다:

• 테이블 형식 표현문: 데이터 소스를 식별하며 파이프(|)로 구분된 연산자를 포함할 수 있습니다

  복사

  panther_logs.public.aws_cloudtrail
  | where accountId != '1234567'
  | summarize Count=agg.count() by eventName
  | extend tooHigh = Count > 100

• let 문: 테이블 표현식이나 스칼라 표현식을 변수에 할당합니다

  복사

  // 테이블 변수를 정의
  let subquery_name = mytable
  | where foo == 'bar';
  
  // 스칼라 변수를 정의
  let my_search_term = 'quark'
  
  // 테이블 변수와 스칼라 변수를 참조
  subquery_name
  | where baz == my_search_term

연산자

데이터 타입

식

참조

• 배열: array[X]

• 객체: object['X'], object.X

비교

• 동등: ==, !=

• 부울: 와, 이전에 생성한 Snowflake 사용자 이름, 예를 들면, Enterprise 조직

• 숫자형: <, <=, >, >=, +, -, *, /, %

• 배열: 에서, not in

• 사이: between, not between

함수

• 익명 함수: fn ([arg1] [, arg2...]]) { <expr> }

함수

집계 함수

• agg.avg()

• agg.count()

• agg.count_distinct()

• agg.make_set()

• agg.max()

• agg.min()

• agg.percentile_cont()

• agg.stddev()

• agg.sum()

• agg.take_any()

날짜/시간

• time.add()

• time.ago()

• time.diff()

• time.now()

• time.parse_timespan()

• time.parse_timestamp()

• time.slice()

• time.trunc()

문자열

• strings.cat()

• strings.contains()

• strings.ends_with()

• strings.ilike()

• strings.join()

• strings.len()

• strings.like()

• strings.lower()

• strings.split()

• strings.starts_with()

• strings.upper()

배열

• arrays.difference()

• arrays.filter()

• arrays.flatten()

• arrays.intersection()

• arrays.len()

• arrays.map()

• arrays.overlap()

• arrays.sort()

• arrays.union()

수학

• math.abs()

• math.ceil()

• math.floor()

• math.round()

제어 흐름

• case()

데이터 타입

• array()

• object()

기타

• coalesce()

• toscalar()

주석

두 개의 슬래시로 주석을 작성: