search
Ctrlk
Knowledge BaseRelease NotesRequest Demo

PantherFlow 빠른 참조

PantherFlow 기능 개요

circle-info

PantherFlow는 Panther 버전 1.110부터 공개 베타로 제공되며, 모든 고객이 이용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원 팀에 공유해 주세요.

hashtag
문장

PantherFlow 쿼리는 하나 이상의 문장으로 구성됩니다. 문장에는 두 가지 유형이 있습니다:

  • 표 형식 표현식 문장: 데이터 원본을 식별하며 파이프로 구분된 연산자를 포함할 수 있습니다

    panther_logs.public.aws_cloudtrail
| where accountId != '1234567'
| summarize Count=agg.count() by eventName
| extend tooHigh = Count > 100

  • let 문장: 표 형식 표현식 또는 스칼라 표현식을 변수에 할당합니다

    // 테이블 변수 정의
let subquery_name = mytable
| where foo == 'bar';

// 스칼라 변수 정의
let my_search_term = 'quark'

// 테이블 변수 및 스칼라 변수 참조
subquery_name
| where baz == my_search_term

hashtag
연산자

Name
설명
예제

<from>

테이블에서 데이터 가져오기

table1

datatable

제공된 테스트 데이터 사용

datatable [{"foo":"bar"}]

extend

새 필드 추가

T | extend foo=bar

조인

다른 테이블과 조인

T | join kind=inner dest=(foo) on $left.id == $right.id

limit

행 수 제한

T | limit 10

project

특정 필드만 표시

T | project foo, bar

range

행의 시퀀스 생성

range N from 1 to 5 step 1

sort

정렬

T | sort time

search

값에 대한 텍스트 검색

T | search 'foo'

summarize

집계

T | summarize agg.count() by foo

union

여러 테이블 쿼리

T | union table1, table2

visualize

차트 생성

T | visualize line

where

필터

T | where foo == bar

hashtag
데이터 유형

데이터 유형
예시 허용 값

정수

1, -1

Double

1.0, -1.0

문자열

'foo', "foo"

불리언

true, false

타임스탬프

time.parse_timestamp('2023-06-01 13:14:15.00Z'), time.parse_timestamp('2023-06-01')

Timespan

15s, 2d, time.parse_timespan('1d')

Object

{key1: value1, key2: value2}, object('key1', 'foo', 'key2', 1)

Array

[A, B, C], array('apple', 'orange')

Table

tableName

Column

columnName

Null

null

hashtag
표현식

hashtag
참조

hashtag
비교

hashtag
함수

hashtag
함수

hashtag
집계

hashtag
날짜/시간

hashtag
문자열

hashtag
배열

hashtag
수학

hashtag
제어 흐름

hashtag
데이터 유형

hashtag
기타

hashtag
주석

두 개의 슬래시로 주석을 작성합니다:

이전PantherFlow (Beta)다음PantherFlow 모범 사례

마지막 업데이트

도움이 되었나요?