# 검색 필터 연산자

## 지원되는 연산자

<table data-full-width="false"><thead><tr><th width="164">연산자</th><th width="322">사용 지침</th><th width="148">지원되는 필드 유형</th><th>예제</th></tr></thead><tbody><tr><td>is / is not</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값과 일치/일치하지 않는 이벤트만 포함됩니다.</td><td>문자열, 숫자</td><td>username is “root”</td></tr><tr><td>is empty / is not empty</td><td>필드의 값이 지정되지 않은 이벤트에 유효합니다. 이 연산자는 데이터의 부재만 검사합니다.</td><td>문자열</td><td>errors_list is empty</td></tr><tr><td>is in list / is not in list</td><td>여러 값에 유효합니다. 결과에는 필드가 필터의 값 목록에 있는 항목과 일치/일치하지 않는 이벤트만 포함됩니다.</td><td>문자열</td><td>username is in [ “root”, “admin” ]</td></tr><tr><td>has substring / does not have substring</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값을 포함/포함하지 않는 이벤트만 포함됩니다.</td><td>문자열</td><td>domain contains “.google.com”</td></tr><tr><td>like / is not like</td><td>단일 값에 유효합니다. 결과에는 필드가 필터에 지정된 패턴과 일치하는 이벤트만 포함됩니다.<br><br>패턴에서는 와일드카드를 지원합니다. 밑줄(<code>_</code>)은 임의의 단일 문자와 일치합니다. 퍼센트 기호(<code>%</code>) 또는 별표(<code>*</code>)는 0개 이상의 임의의 문자열과 일치합니다.</td><td>문자열</td><td><p>role like “admin_”<br>role like "%admin%"</p><p>role like "admin*"</p></td></tr><tr><td>equals / does not equal</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값과 일치/일치하지 않는 이벤트만 포함됩니다.</td><td>숫자</td><td>count = 100</td></tr><tr><td>is greater than</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 큰 이벤트만 포함됩니다.</td><td>숫자</td><td>port > 1023</td></tr><tr><td>is less than</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 작은 이벤트만 포함됩니다.</td><td>숫자</td><td>port &#x3C; 1024</td></tr><tr><td>is greater than or equal to</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 크거나 같은 이벤트만 포함됩니다.</td><td>숫자</td><td>count ≥ 1</td></tr><tr><td>is less than or equal to</td><td>단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 작거나 같은 이벤트만 포함됩니다.</td><td>숫자</td><td>count ≤ 100</td></tr><tr><td>has / does not have</td><td>특정 단일 값을 포함하는 이벤트에 유효합니다. 결과에는 필터의 값을 포함/포함하지 않는 이벤트만 포함됩니다.</td><td>배열</td><td>domain has "google.com"<br><br><em>domain이 값의 배열인 경우</em></td></tr><tr><td>has any / does not have any</td><td>값의 배열 중 하나라도 포함하는 이벤트에 유효합니다. 결과에는 배열의 값 중 하나라도 포함/포함하지 않는 이벤트만 포함됩니다.</td><td>배열</td><td>domain has any "google.com", "yahoo.com"<br><br><em>domain이 값의 배열인 경우</em></td></tr><tr><td>is true / is false</td><td>단일 불리언 값에 유효합니다. 결과에는 불리언 필드가 true 또는 false인 이벤트가 포함됩니다.</td><td>불리언</td><td>success is true</td></tr><tr><td>is after</td><td>단일 시간 값에 유효합니다. 결과에는 지정된 시간 값 이후에 발생한 이벤트만 포함됩니다.</td><td>시간</td><td>timestamp is after <code>01/19/2023 2:48 PM UTC</code></td></tr><tr><td>is before</td><td>단일 시간 값에 유효합니다. 결과에는 지정된 시간 값 이전에 발생한 이벤트만 포함됩니다.</td><td>시간</td><td>timestamp is before <code>01/19/2023 2:48 PM UTC</code></td></tr><tr><td>is null / is not null</td><td>필드의 값이 null인 이벤트에 유효합니다. 이 연산자는 null 값을 검사합니다.</td><td>범용</td><td>errorCode is null</td></tr><tr><td>contains / does not contain</td><td>필터의 값과 일치하는 값을 가진 필드를 포함/포함하지 않는 객체를 포함하는 이벤트에 유효합니다. 필터에 제공된 키는 최상위 수준일 수도 있고, 점 표기법을 사용하여 중첩 경로를 나타낼 수도 있습니다.</td><td>객체</td><td>actor contains username<br>actor.attributes does not contain Admin<br><br><em>actor가 중첩 객체인 경우</em></td></tr><tr><td>is within CIDR</td><td>값이 제공된 <a href="https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing">CIDR</a> 범위 내에 있으면 유효합니다.</td><td>문자열</td><td>ip is within CIDR 10.2.3.0/24</td></tr></tbody></table>

## 지원되는 필드 유형

<table><thead><tr><th width="153">필드 유형</th><th>설명</th></tr></thead><tbody><tr><td><code>문자열</code></td><td>문자열 값</td></tr><tr><td><code>숫자</code></td><td>32비트 정수 또는 64비트 부동 소수점 수</td></tr><tr><td><code>불리언</code></td><td>불리언 값 <code>true</code> / <code>false</code></td></tr><tr><td><code>배열</code></td><td>각 요소가 동일한 유형인 JSON 배열</td></tr><tr><td><code>시간</code></td><td>유효한 타임스탬프</td></tr><tr><td><code>객체</code></td><td>JSON 객체</td></tr></tbody></table>