# PantherFlow 문
## 개요
{% hint style="info" %}
PantherFlow는 Panther 버전 1.110부터 오픈 베타로 제공되며, 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청이 있으면 Panther 지원팀에 공유해 주세요.
{% endhint %}
PantherFlow 쿼리는 하나 이상의 문으로 구성됩니다. 문에는 두 가지 유형이 있습니다: [표 형식 표현식 문](#tabular-expression-statements) 및 [`let` 문](#let-statements).
같은 쿼리 안의 여러 문은 세미콜론(`;`)으로 구분해야 합니다. 마지막 문에는 세미콜론이 필요하지 않습니다.
## 표 형식 표현식 문
표 형식 표현식 문은 보통 "파이프드 쿼리"라고 들을 때 떠올리는 것입니다—데이터 원본과 일반적으로 하나 이상의 연산자로 구성되며, 파이프 문자(`|`)로 구분됩니다. 각 연산자는 데이터를 받아 작업을 수행한 다음, 변환된 데이터를 다음 연산자에 전달합니다.
{% hint style="info" %}
다음의 [검색](/ko/search/search-tool.md#using-pantherflow-in-search), 데이터베이스와 테이블 이름(아래에 표시됨) 또는 `union` 연산자로 쿼리를 시작할 수 있습니다. 이 둘 중 어느 것도 제공되지 않으면 Search는 [데이터베이스 및 테이블 드롭다운 필드](/ko/search/search-tool.md#using-database-table-and-date-range-filters).
{% endhint %}
```kusto
panther_logs.public.aws_cloudtrail
| where accountId != '1234567'
| summarize Count=agg.count() by eventName
| extend tooHigh = Count > 100
| where tooHigh
| sort Count
| limit 10
```
### 데이터 원본
각 PantherFlow 쿼리에는 데이터 원본을 지정해야 합니다. 다음 중 아무 것이나 데이터 원본으로 사용할 수 있습니다:
* 표 형식 표현식 문
* [테이블 변수](#table-variables)
* [`datatable`](/ko/pantherflow/operators/datatable.md)
* [`union`](/ko/pantherflow/operators/union.md)
* [`range`](/ko/pantherflow/operators/range.md)
## `let` 문
A `let` 문은 변수에 값을 할당하며, 이 변수는 이후의 문에서 사용할 수 있습니다. `let` 문은 두 가지 유형의 변수를 정의할 수 있습니다:
* **테이블 변수**: 표 형식 표현식을 나타내며, 나중에 테이블처럼 사용할 수 있음
* **스칼라 변수**: 스칼라 값을 나타내거나, 스칼라 값으로 평가되는 표현식
변수는 참조되기 전에 `let` 문에서 정의되어야 합니다. 모든 `let` 문은 다른 문이 뒤따를 경우 세미콜론(`;`)으로 끝나야 합니다.
### 테이블 변수
테이블 변수는 `let`를 사용해 표 형식 표현식 문을 변수에 할당할 때 생성됩니다. 그러면 이를 표 형식 표현식 문처럼 참조할 수 있습니다(즉, 가능한 [데이터 원본](#data-sources)).
테이블 변수에 할당된 표 형식 표현식 문은 이후 문에서 해당 변수가 참조되거나 "호출"될 때까지 실행되지 않습니다.
다음과 같은 경우 테이블 변수로 쿼리에 이름을 지정하는 것이 유용할 수 있습니다:
* 같은 쿼리를 두 번 이상 작성하고 싶지 않을 때
* 다른 사람들이 쿼리가 무엇을 하는지 더 쉽게 이해하도록 하고 싶을 때
**예시**
다음 예제는 테이블 변수 `elbOK`를 선언합니다. 아래에서 `elbOK` 는 `let` 문에서 정의된 그대로 정확히 실행됩니다:
```kusto
let elbOK = panther_logs.public.aws_alb
| where elbStatusCode == 200;
elbOK
```
여기서 추가 연산자가 `elbOK` 표 형식 표현식 문 내에서 적용됩니다:
```kusto
let elbOK = panther_logs.public.aws_alb
| where elbStatusCode == 200;
elbOK
| where p_event_time > time.ago(1h)
```
테이블 변수를 데이터셋을 참조하는 곳이면 어디에서나 사용할 수 있으며, 다음도 포함됩니다: [`union` 연산자](/ko/pantherflow/operators/union.md):
```kusto
let ec2Events = panther_logs.public.aws_cloudtrail
| where p_event_time > time.ago(1h)
| where eventSource == "ec2.amazonaws.com";
let s3Events = panther_logs.public.aws_cloudtrail
| where p_event_time > time.ago(1h)
| where eventSource == "s3.amazonaws.com";
union ec2Events, s3Events
| summarize count=agg.count() by eventName, eventSource
| sort count desc
```
### 스칼라 변수
스칼라 변수는 비표 형식 표현식을 변수에 할당할 때 생성됩니다. 그런 다음 스칼라 변수는 이후의 쿼리 전반에서 참조할 수 있습니다.
스칼라 변수를 선언하는 것은 다음과 같은 경우 유용할 수 있습니다:
* 특히 같은 값을 여러 번 사용할 때 쿼리를 더 읽기 쉽고 유지 관리하기 쉽게 만들기
* 그렇지 않으면 오해될 수 있는 값에 이름 붙이기
아래의 [스칼라 변수 제한 사항을 참고하세요](#scalar-variable-limitations).
#### **예시**
다음 예제는 스칼라 변수 `threshold`를 선언한 다음, 이를 [`where`](/ko/pantherflow/operators/where.md) 절에서 참조합니다:
```kusto
let threshold = 100;
panther_logs.public.aws_cloudtrail
| where p_event_time > time.ago(1d)
| summarize count=agg.count() by eventName
| where count > threshold
```
스칼라 변수의 값은 [함수](/ko/pantherflow/functions.md)를 사용할 수 있으며, 스칼라 변수는 함수의 매개변수로 사용할 수 있습니다:
```kusto
let domain = "example.com";
let searchSuffix = strings.cat("@", domain);
panther_logs.public.aws_cloudtrail
| where strings.ends_with(userIdentity.principalId, searchSuffix)
| summarize count=agg.count() by eventName
```
스칼라 변수와 함께 산술 표현식도 사용할 수 있습니다:
```kusto
let hourInSeconds = 60 * 60;
let dayInSeconds = hourInSeconds * 24;
let weekInSeconds = dayInSeconds * 7;
panther_logs.public.aws_cloudtrail
| extend ageInSeconds = time.diff("s", p_event_time, time.now())
| extend ageCategory = case(
ageInSeconds < hourInSeconds, "1시간 미만",
ageInSeconds < dayInSeconds, "1일 미만",
ageInSeconds < weekInSeconds, "1주 미만",
"1주 초과"
)
| summarize count=agg.count() by ageCategory
```
강력한 쿼리를 위해 스칼라 변수와 테이블 변수를 함께 사용할 수 있습니다:
```kusto
// 스칼라 변수
let minSeverity = 3;
let timeRange = 7d;
let criticalServices = ["ec2.amazonaws.com", "iam.amazonaws.com", "s3.amazonaws.com"];
// 테이블 변수
let baseQuery = panther_logs.public.aws_cloudtrail
| where p_event_time > time.ago(timeRange)
| where eventSource in criticalServices;
// 테이블 변수
let failedActions = baseQuery
| where errorCode != ""
| extend severity = case(
errorCode == "AccessDenied", 4,
errorCode == "UnauthorizedOperation", 3,
strings.starts_with(errorCode, "Client"), 2,
1
);
// 표 형식 표현식 문
failedActions
| where severity >= minSeverity
| summarize count=agg.count() by eventSource, errorCode, severity
| sort severity desc, count desc
```
### 변수 명명 규칙
변수 이름은 다음 규칙을 따라야 합니다:
* 첫 글자는 문자, 밑줄(`_`), 또는 달러 기호(`$`).
* )여야 합니다. 첫 글자 이후의 문자는 문자, 숫자, 또는 밑줄이어야 합니다.
* 기존 테이블 이름은 변수 이름으로 사용할 수 없습니다.
* 예를 들어, 이미 `aws_cloudtrail`라는 이름의 테이블이 있다면 `aws_cloudtrail` 를 변수 이름으로 사용할 수 없습니다.
* 한 번 사용된 변수 이름은 같은 PantherFlow 검색에서 다시 사용할 수 없습니다. 즉, 변수는 재정의할 수 없습니다.
**예시**
| 유효한 변수 이름 | 유효하지 않은 변수 이름 |
|---|
myVar123 | 123myVar (숫자로 시작) |
my_var | my-var (잘못된 문자) |
_my_var | my.var (잘못된 문자) |
$my_var | my_var$ ($ 첫 글자에만 허용) |
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/pantherflow/statements.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.