# 검색 필터 연산자 ## 지원되는 연산자

연산자	사용 지침	지원되는 필드 유형	예제
is / is not	단일 값에 유효합니다. 결과에는 필드가 필터의 값과 일치/일치하지 않는 이벤트만 포함됩니다.	문자열, 숫자	username is “root”
is empty / is not empty	필드의 값이 지정되지 않은 이벤트에 유효합니다. 이 연산자는 데이터의 부재만 검사합니다.	문자열	errors_list is empty
is in list / is not in list	여러 값에 유효합니다. 결과에는 필드가 필터의 값 목록에 있는 항목과 일치/일치하지 않는 이벤트만 포함됩니다.	문자열	username is in [ “root”, “admin” ]
has substring / does not have substring	단일 값에 유효합니다. 결과에는 필드가 필터의 값을 포함/포함하지 않는 이벤트만 포함됩니다.	문자열	domain contains “.google.com”
like / is not like	단일 값에 유효합니다. 결과에는 필드가 필터에 지정된 패턴과 일치하는 이벤트만 포함됩니다. 패턴에서는 와일드카드를 지원합니다. 밑줄(`_`)은 임의의 단일 문자와 일치합니다. 퍼센트 기호(`%`) 또는 별표(`*`)는 0개 이상의 임의의 문자열과 일치합니다.	문자열	role like “admin_” role like "%admin%" role like "admin*"
equals / does not equal	단일 값에 유효합니다. 결과에는 필드가 필터의 값과 일치/일치하지 않는 이벤트만 포함됩니다.	숫자	count = 100
is greater than	단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 큰 이벤트만 포함됩니다.	숫자	port > 1023
is less than	단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 작은 이벤트만 포함됩니다.	숫자	port < 1024
is greater than or equal to	단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 크거나 같은 이벤트만 포함됩니다.	숫자	count ≥ 1
is less than or equal to	단일 값에 유효합니다. 결과에는 필드가 필터의 값보다 작거나 같은 이벤트만 포함됩니다.	숫자	count ≤ 100
has / does not have	특정 단일 값을 포함하는 이벤트에 유효합니다. 결과에는 필터의 값을 포함/포함하지 않는 이벤트만 포함됩니다.	배열	domain has "google.com" domain이 값의 배열인 경우
has any / does not have any	값의 배열 중 하나라도 포함하는 이벤트에 유효합니다. 결과에는 배열의 값 중 하나라도 포함/포함하지 않는 이벤트만 포함됩니다.	배열	domain has any "google.com", "yahoo.com" domain이 값의 배열인 경우
is true / is false	단일 불리언 값에 유효합니다. 결과에는 불리언 필드가 true 또는 false인 이벤트가 포함됩니다.	불리언	success is true
is after	단일 시간 값에 유효합니다. 결과에는 지정된 시간 값 이후에 발생한 이벤트만 포함됩니다.	시간	timestamp is after `01/19/2023 2:48 PM UTC`
is before	단일 시간 값에 유효합니다. 결과에는 지정된 시간 값 이전에 발생한 이벤트만 포함됩니다.	시간	timestamp is before `01/19/2023 2:48 PM UTC`
is null / is not null	필드의 값이 null인 이벤트에 유효합니다. 이 연산자는 null 값을 검사합니다.	범용	errorCode is null
contains / does not contain	필터의 값과 일치하는 값을 가진 필드를 포함/포함하지 않는 객체를 포함하는 이벤트에 유효합니다. 필터에 제공된 키는 최상위 수준일 수도 있고, 점 표기법을 사용하여 중첩 경로를 나타낼 수도 있습니다.	객체	actor contains username actor.attributes does not contain Admin actor가 중첩 객체인 경우
is within CIDR	값이 제공된 CIDR 범위 내에 있으면 유효합니다.	문자열	ip is within CIDR 10.2.3.0/24

## 지원되는 필드 유형

필드 유형	설명
`문자열`	문자열 값
`숫자`	32비트 정수 또는 64비트 부동 소수점 수
`불리언`	불리언 값 `true` / `false`
`배열`	각 요소가 동일한 유형인 JSON 배열
`시간`	유효한 타임스탬프
`객체`	JSON 객체

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/search/search-tool/filter-operators.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.