Documentation
Table of Contents
> Объект корреляции
Следующие объекты напрямую связаны с correlation API.
Корреляция
Объект корреляции имеет следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| correlationid | строка | (только чтение) ID корреляции. |
| name (требуется) |
строка | Имя корреляции. |
| description | строка | Описание корреляции. |
| status | целое число | Активирована корреляция или нет. Возможные значения: 0 - (по умолчанию) активирована; 1 - деактивирована. |
Операция корреляции
Объект операции корреляции определяет операцию, которая будет выполнена при выполнении корреляции. Этот объект имеет следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| type (требуется) |
целое число | Тип операции. Возможные значения: 0 - закрыть старые события; 1 - закрыть новое событие. |
Фильтр корреляции
Объект фильтра корреляции определяет набор условий, которые должны быть соблюдены для выполнения добавленных операций корреляции. Этот объект имеет следующие свойства.
| Свойства | Тип | Описание |
|---|---|---|
| evaltype (требуется) |
целое число | Метод вычисления условия фильтрации. Возможные значения: 0 - и/или; 1 - и; 2 - или; 3 - пользовательские выражение. |
| conditions (требуется) |
массив | Набор условий фильтрации, которые используются для фильтрации результатов. |
| eval_formula | строка | (только чтение) Сгенерированное выражение, которое будет использоваться для вычисления условий фильтрации. Выражение содержит ID, которые являются ссылкой на определенные условия фильтрации по их formulaid полю. Значение eval_formula равно значению formula для фильтров с пользовательским выражением. |
| formula | строка | Заданное пользователем выражение, которое используется для вычисления условий фильтров с пользовательским выражением. Выражение должно содержать ID, которые являются ссылкой на определенные условия фильтрации по их formulaid. Эти ID используемые в выражении должны в точности совпадать с выражениями, которые заданы в условиях фильтрации: ни одно условие не должно остаться неиспользуемым или пропущенным.Требуется для фильтров с пользовательским выражением. |
Условие фильтра корреляции
Объект условия фильтрации корреляции задает определенное условие, которое необходимо проверить до выполнения операций корреляции.
| Свойство | Тип | Описание |
|---|---|---|
| type (требуется) |
целое число | Тип условия. Возможные значения: 0 - тег старого события; 1 - тег нового события; 2 - группа узлов сети нового события; 3 - пара тегов событий; 4 - значение тега старого события; 5 - значение тега нового события. |
| tag | строка | Тег события (старое или новое). Требуется при типах условия: 0, 1, 4, 5. |
| groupid | строка | ID группы узлов сети. Требуется при типе условия: 2. |
| oldtag | строка | Тег старого события. Требуется при типе условия: 3. |
| newtag | строка | Тег нового события. Требуется при типе условия: 3. |
| value | строка | Значение тега события (старого или нового). Требуется при типах условия: 4, 5. |
| formulaid | строка | Произвольный уникальный ID, который используется в качестве ссылки на условие из пользовательского выражения. Может содержать только буквы в верхнем регистре. Этот ID должен быть задан пользователем при изменении условий фильтрации, однако ID будут сгенерированы заново при последующих их запросах. |
| operator | целое число | Оператор условия. Требуется при типах условия: 2, 4, 5. |
Чтобы лучше понимать как использовать фильтры с различными типами выражений, смотрите примеры на страницах correlation.get и correlation.create методов.
У каждого типа условия поддерживаются следующие операторы и значения.
| Условие | Имя условия | Поддерживаемые операторы | Ожидаемое значение |
|---|---|---|---|
| 2 | Группа узлов сети | =, <> | ID группы узлов сети. |
| 4 | Значение тега старого события | =, <>, содержит, не содержит | строка |
| 5 | Значение тега нового события | =, <>, содержит, не содержит | строка |