Documentation
Table of Contents
> Об'єкт кореляції
Наступні об’єкти безпосередньо пов’язані з correlation API.
Кореляція
Об'єкт кореляції має такі властивості.
| Властивість | Тип | Опис |
|---|---|---|
| correlationid | рядок | (лише читання) ID кореляції. |
| name (обов'язково) |
рядок | Ім'я кореляції. |
| опис | рядок | Опис кореляції. |
| статус | ціле | Чи кореляція увімкнена чи вимкнена. Можливі значення: 0 - (за замовчуванням) увімкнено; 1 - вимкнено. |
Зауважте, що для деяких методів (оновлення, видалення) комбінація обов’язкових/необов’язкових параметрів відрізняється.
Операція кореляції
Об’єкт кореляційної операції визначає операцію, яка виконуватиметься під час виконання кореляції. Має такі властивості.
| Властивість | Тип | Опис |
|---|---|---|
| type (обов’язково) |
ціле | Тип операції. Можливі значення: 0 - закрити старі події; 1 - закрити нову подію. |
Кореляційний фільтр
Об’єкт кореляційного фільтра визначає набір умов, які мають бути виконані для виконання налаштованих операцій кореляції. Має такі властивості.
| Властивість | Тип | Опис |
|---|---|---|
| evaltype (обов’язково) |
ціле | Метод оцінки умови фільтра. Можливі значення: 0 - та/або; 1 - і; 2 - або; 3 - спеціальний вираз. |
| conditions (обов’язково) |
масив | Набір умов фільтра для використання для фільтрації результатів. |
| eval_formula | рядок | (лише для читання) Згенерований вираз, який використовуватиметься для оцінки умов фільтра. Вираз містить ідентифікатори, які посилаються на конкретні умови фільтра за його "формулою". Значення eval_formula дорівнює значенню formula для фільтрів із спеціальним виразом. |
| формула | рядок | Визначений користувачем вираз, який буде використовуватися для оцінки умов фільтрів за допомогою спеціального виразу. Вираз має містити ідентифікатори, які посилаються на конкретні умови фільтра за його "формулою". Ідентифікатори, які використовуються у виразі, мають точно відповідати ідентифікаторам, визначеним в умовах фільтра: жодна умова не може залишатися невикористаною або пропущеною. Потрібно для фільтрів користувацьких виразів. |
Умова фільтра кореляції
Об’єкт умови фільтра кореляції визначає конкретну умову, яку необхідно перевірити перед виконанням операцій кореляції.
| Властивість | Тип | Опис |
|---|---|---|
| type (обов’язково) |
ціле | Тип умови. Можливі значення: 0 - старий тег події; 1 - новий тег події; 2 - нова група хостів події; 3 - пара тегів події; 4 - старе значення тегу події; 5 - нове значення тегу події. |
| тег | рядок | Тег події (старий чи новий). Необхідний, якщо тип умови: 0, 1, 4, 5. |
| groupid | рядок | Ідентифікатор групи хостів. Необхідний, якщо тип умови: 2. |
| oldtag | рядок | Старий тег події. Необхідно, якщо тип умови: 3. |
| новий тег | рядок | Новий тег події. Необхідно, якщо тип умови: 3. |
| значення | рядок | Значення тегу події (старе або нове). Необхідно, якщо тип умови: 4, 5. |
| formulaid | рядок | Довільний унікальний ідентифікатор, який використовується для посилання на умову з користувацького виразу. Може містити лише великі літери. Ідентифікатор має бути визначений користувачем під час зміни умов фільтра, але буде згенеровано заново під час їхнього запиту пізніше. |
| operator | integer | Оператор умови. Потрібний, якщо тип умови: 2, 4, 5. |
Щоб краще зрозуміти, як використовувати фільтри з різними типами виразів, перегляньте приклади на сторінках методів correlation.get і correlation.create.
Наступні оператори та значення підтримуються для кожної умови типу.
|Умова|Назва умови|Підтримувані оператори|Очікуване значення| |---------|--------------|-------------------|---- ----------| |2|Група хостів|=, <>|Ідентифікатор групи хостів.| |4|Старе значення тегу події|=, <>, подобається, не подобається|рядок| |5|Нове значення тегу події|=, <>, як, не як|рядок|