Ctrlk

Knowledge Base Release Notes Request Demo

PantherFlow 빠른 참조

PantherFlow 기능 개요

PantherFlow는 Panther 버전 1.110부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고서나 기능 요청은 Panther 지원팀과 공유해 주세요.

문장

PantherFlow 쿼리는 하나 이상의 문장으로 구성됩니다. 문장에는 두 가지 유형이 있습니다:

테이블식 표현 문장: 데이터 소스를 식별하며 파이프로 구분된 연산자를 포함할 수 있습니다

panther_logs.public.aws_cloudtrail
| where accountId != '1234567'
| summarize Count=agg.count() by eventName
| extend tooHigh = Count > 100

let 문: 테이블식 표현이나 스칼라 표현을 변수에 할당합니다

// 테이블 변수를 정의하기
let subquery_name = mytable
| where foo == 'bar';

// 스칼라 변수를 정의하기
let my_search_term = 'quark'

// 테이블 변수 및 스칼라 변수 참조하기
subquery_name
| where baz == my_search_term

연산자

이름

설명

예시

<from>

테이블에서 데이터 가져오기

table1

제공된 테스트 데이터 사용

datatable [{"foo":"bar"}]

새 필드 추가

T | extend foo=bar

다른 테이블과 조인

T | join kind=inner dest=(foo) on $left.id == $right.id

행 수 제한

T | limit 10

특정 필드만 표시

T | project foo, bar

행 시퀀스 생성

range N from 1 to 5 step 1

sort

정렬

T | sort time

search

값에 대한 텍스트 검색

T | search 'foo'

집계

T | summarize agg.count() by foo

union

여러 테이블 쿼리

T | union table1, table2

차트 생성

T | visualize line

where

필터

T | where foo == bar

데이터 유형

데이터 타입

허용 가능한 예시 값

1, -1

1.0, -1.0

'foo', "foo"

true, false

타임스탬프

time.parse_timestamp('2023-06-01 13:14:15.00Z'), time.parse_timestamp('2023-06-01')

15s, 2d, time.parse_timespan('1d')

{key1: value1, key2: value2}, object('key1', 'foo', 'key2', 1)

[A, B, C], array('apple', 'orange')

tableName

columnName

null

표현식

참조

배열: array[X]
객체들: object['X'], object.X

비교

동등성: ==, !=
불리언: 및, 또는, 아님
수치 연산: <, <=, >, >=, +, -, *, /, %
배열: in, not in
범위(사이에 있음): between, not between

함수

익명 함수: fn ([arg1] [, arg2...]]) { <expr> }

함수

집계 함수

날짜/시간

문자열

배열

수학

제어 흐름

case()

데이터 유형

기타

주석

두 개의 슬래시로 주석을 작성하세요:

PreviousPantherFlow(베타)NextPantherFlow 모범 사례

Last updated 8 months ago

Was this helpful?