검색 필터 연산자
Panther의 검색 도구에서 지원되는 연산자
지원되는 연산자
~이다 / ~가 아니다
단일 값에 대해 유효합니다. 필터의 값과 필드가 일치/일치하지 않는 이벤트만 결과에 포함됩니다.
문자열, 숫자
username이 “root”입니다
비어 있음 / 비어 있지 않음
필드 값이 지정되지 않은 이벤트에 대해 유효합니다. 이 연산자는 데이터의 부재만 검사합니다.
문자열
errors_list가 비어 있음
목록에 있음 / 목록에 없음
다중 값에 대해 유효합니다. 필터의 값 목록에 있는 항목과 필드가 일치/일치하지 않는 이벤트만 결과에 포함됩니다.
문자열
username이 [ “root”, “admin” ]에 있음
부분 문자열을 포함함 / 포함하지 않음
단일 값에 대해 유효합니다. 필터의 값을 포함/포함하지 않는 필드가 있는 이벤트만 결과에 포함됩니다.
문자열
domain에 “.google.com”이 포함됨
유사함 / 유사하지 않음
단일 값에 대해 유효합니다. 필터에 지정된 패턴과 필드가 일치하는 이벤트만 결과에 포함됩니다.\n\n패턴에서 와일드카드를 지원합니다. 밑줄 (_)는 임의의 단일 문자 하나와 일치합니다. 퍼센트 기호 (%) 또는 별표 (*)는 0개 이상의 문자 시퀀스와 일치합니다.
문자열
role like “admin_”\nrole like "%admin%"
role like "admin*"
같음 / 같지 않음
단일 값에 대해 유효합니다. 필터의 값과 필드가 일치/일치하지 않는 이벤트만 결과에 포함됩니다.
숫자
count = 100
보다 큼
단일 값에 대해 유효합니다. 필드가 필터의 값보다 큰 이벤트만 결과에 포함됩니다.
숫자
port > 1023
보다 작음
단일 값에 대해 유효합니다. 필드가 필터의 값보다 작은 이벤트만 결과에 포함됩니다.
숫자
port < 1024
크거나 같음
단일 값에 대해 유효합니다. 필드가 필터의 값보다 크거나 같은 이벤트만 결과에 포함됩니다.
숫자
count ≥ 1
작거나 같음
단일 값에 대해 유효합니다. 필드가 필터의 값보다 작거나 같은 이벤트만 결과에 포함됩니다.
숫자
count ≤ 100
포함함 / 포함하지 않음
특정 단일 값을 포함하는 이벤트에 대해 유효합니다. 필터의 값을 포함/포함하지 않는 이벤트만 결과에 포함됩니다.
배열
domain에 "google.com" 포함 domain이 값의 배열인 경우
어느 것이라도 포함 / 어느 것도 포함하지 않음
값 배열 중 아무 항목이라도 포함하는 이벤트에 대해 유효합니다. 배열의 값 중 하나라도 포함/포함하지 않는 이벤트만 결과에 포함됩니다.
배열
domain에 any "google.com", "yahoo.com" 포함 domain이 값의 배열인 경우
참이다 / 거짓이다
단일 부울 값에 대해 유효합니다. 부울 필드가 true 또는 false인 이벤트를 포함합니다.
부울
success가 true입니다
이후
단일 시간 값에 대해 유효합니다. 지정된 시간 이후에 발생한 이벤트를 결과에 포함합니다.
시간
타임스탬프가 이후 2023/01/19 2:48 PM UTC
이전
단일 시간 값에 대해 유효합니다. 지정된 시간 이전에 발생한 이벤트를 결과에 포함합니다.
시간
타임스탬프가 이전 2023/01/19 2:48 PM UTC
널이다 / 널이 아니다
필드 값이 null인 이벤트에 대해 유효합니다. 이 연산자는 null 값을 검사합니다.
보편적
errorCode가 null입니다
포함함 / 포함하지 않음
객체를 포함하는 이벤트에서 필터의 값과 일치하는 값을 가진 필드를 포함/포함하지 않는지에 대해 유효합니다. 필터에 제공된 키는 최상위일 수 있으며 중첩 경로를 나타내기 위해 점 표기법을 사용할 수 있습니다.
객체
actor가 username을 포함\nactor.attributes가 Admin을 포함하지 않음 actor가 중첩된 객체인 경우
지원되는 필드 형식
문자열
문자열 값
숫자
32비트 정수 또는 64비트 부동 소수점 숫자
부울
부울 값 연관된 / false
배열
각 요소가 동일한 형식인 JSON 배열
시간
유효한 타임스탬프
객체
JSON 객체
Last updated
Was this helpful?