검색 필터 연산자
Panther 검색 도구에서 지원하는 연산자
지원되는 연산자
같음 / 같지 않음
단일 값에 유효합니다. 필터의 값과 필드가 일치/불일치하는 이벤트만 결과에 포함됩니다.
문자열, 숫자
username이 “root”
비어 있음 / 비어 있지 않음
필드 값이 지정되지 않은 이벤트에 유효합니다. 이 연산자는 데이터의 부재만 검사합니다.
문자열
errors_list가 비어 있음
목록에 있음 / 목록에 없음
여러 값에 유효합니다. 필터의 값 목록에 있는 항목과 필드가 일치/불일치하는 이벤트만 결과에 포함됩니다.
문자열
username이 [ “root”, “admin” ]에 있음
부분 문자열 포함 / 부분 문자열 미포함
단일 값에 유효합니다. 필터의 값을 필드가 포함/미포함하는 이벤트만 결과에 포함됩니다.
문자열
domain이 “.google.com”을 포함함
LIKE / NOT LIKE
단일 값에 유효합니다. 필터에 지정된 패턴과 필드가 일치하는 이벤트만 결과에 포함됩니다.
패턴에서 와일드카드를 지원합니다. 밑줄(_)은 임의의 단일 문자와 일치합니다. 퍼센트 기호(%) 또는 별표(*)는 0개 이상의 임의 문자 시퀀스와 일치합니다.
문자열
role LIKE “admin_” role LIKE "%admin%"
role LIKE "admin*"
같음(=) / 같지 않음(!=)
단일 값에 유효합니다. 필터의 값과 필드가 일치/불일치하는 이벤트만 결과에 포함됩니다.
숫자
count = 100
보다 큼
단일 값에 유효합니다. 필터의 값보다 필드가 큰 이벤트만 결과에 포함됩니다.
숫자
port > 1023
보다 작음
단일 값에 유효합니다. 필터의 값보다 필드가 작은 이벤트만 결과에 포함됩니다.
숫자
port < 1024
크거나 같음
단일 값에 유효합니다. 필터의 값보다 필드가 크거나 같은 이벤트만 결과에 포함됩니다.
숫자
count ≥ 1
작거나 같음
단일 값에 유효합니다. 필터의 값보다 필드가 작거나 같은 이벤트만 결과에 포함됩니다.
숫자
count ≤ 100
포함함 / 포함하지 않음
특정 단일 값을 포함하는 이벤트에 유효합니다. 필터의 값을 포함/미포함하는 이벤트만 결과에 포함됩니다.
배열
domain에 "google.com" 포함 domain이 값의 배열인 경우
어떤 것도 포함함 / 어떤 것도 포함하지 않음
값 배열 중 어느 하나를 포함하는 이벤트에 유효합니다. 배열의 값들 중 어느 하나라도 포함/미포함하는 이벤트만 결과에 포함됩니다.
배열
domain에 "google.com", "yahoo.com" 중 어느 하나 포함 domain이 값의 배열인 경우
참 / 거짓
단일 불리언 값에 유효합니다. 불리언 필드가 참 또는 거짓인 이벤트를 포함합니다.
불리언
success가 true
다음 이후
단일 시간 값에 유효합니다. 지정된 시간 값 이후에 발생한 이벤트를 결과에 포함합니다.
시간
timestamp가 다음 이후 2023/01/19 2:48 PM UTC
다음 이전
단일 시간 값에 유효합니다. 지정된 시간 값 이전에 발생한 이벤트를 결과에 포함합니다.
시간
timestamp가 다음 이전 2023/01/19 2:48 PM UTC
NULL 이다 / NULL이 아니다
필드 값이 null인 이벤트에 유효합니다. 이 연산자는 null 값을 검사합니다.
범용
errorCode가 null
포함함 / 포함하지 않음
객체를 포함하는 이벤트에 유효합니다. 객체가 필터의 값과 일치하는 값을 가진 필드를 포함/미포함하는지를 검사합니다. 필터에 제공된 키는 최상위일 수 있으며, 점 표기법으로 중첩된 경로를 나타낼 수 있습니다.
object
actor가 username을 포함 actor.attributes가 Admin을 포함하지 않음 actor가 중첩된 객체인 경우
지원되는 필드 유형
문자열
문자열 값
숫자
32비트 정수 또는 64비트 부동 소수점 숫자
불리언
불리언 값 부울 값 / true
배열
각 요소가 동일한 유형인 JSON 배열
시간
유효한 타임스탬프
object
JSON 객체
마지막 업데이트
도움이 되었나요?