> Об'єкт кореляції

Наступні об’єкти безпосередньо пов’язані з correlation API.

Кореляція

Об'єкт кореляції має такі властивості.

Властивість Тип Опис
correlationid рядок (лише читання) ID кореляції.
name
(обов'язково)
рядок Ім'я кореляції.
опис рядок Опис кореляції.
статус ціле Чи кореляція увімкнена чи вимкнена.

Можливі значення:
0 - (за замовчуванням) увімкнено;
1 - вимкнено.

Зауважте, що для деяких методів (оновлення, видалення) комбінація обов’язкових/необов’язкових параметрів відрізняється.

Операція кореляції

Об’єкт кореляційної операції визначає операцію, яка виконуватиметься під час виконання кореляції. Має такі властивості.

Властивість Тип Опис
type
(обов’язково)
ціле Тип операції.

Можливі значення:
0 - закрити старі події;
1 - закрити нову подію.

Кореляційний фільтр

Об’єкт кореляційного фільтра визначає набір умов, які мають бути виконані для виконання налаштованих операцій кореляції. Має такі властивості.

Властивість Тип Опис
evaltype
(обов’язково)
ціле Метод оцінки умови фільтра.

Можливі значення:
0 - та/або;
1 - і;
2 - або;
3 - спеціальний вираз.
conditions
(обов’язково)
масив Набір умов фільтра для використання для фільтрації результатів.
eval_formula рядок (лише для читання) Згенерований вираз, який використовуватиметься для оцінки умов фільтра. Вираз містить ідентифікатори, які посилаються на конкретні умови фільтра за його "формулою". Значення eval_formula дорівнює значенню formula для фільтрів із спеціальним виразом.
формула рядок Визначений користувачем вираз, який буде використовуватися для оцінки умов фільтрів за допомогою спеціального виразу. Вираз має містити ідентифікатори, які посилаються на конкретні умови фільтра за його "формулою". Ідентифікатори, які використовуються у виразі, мають точно відповідати ідентифікаторам, визначеним в умовах фільтра: жодна умова не може залишатися невикористаною або пропущеною.

Потрібно для фільтрів користувацьких виразів.

Умова фільтра кореляції

Об’єкт умови фільтра кореляції визначає конкретну умову, яку необхідно перевірити перед виконанням операцій кореляції.

Властивість Тип Опис
type
(обов’язково)
ціле Тип умови.

Можливі значення:
0 - старий тег події;
1 - новий тег події;
2 - нова група хостів події;
3 - пара тегів події;
4 - старе значення тегу події;
5 - нове значення тегу події.
тег рядок Тег події (старий чи новий). Необхідний, якщо тип умови: 0, 1, 4, 5.
groupid рядок Ідентифікатор групи хостів. Необхідний, якщо тип умови: 2.
oldtag рядок Старий тег події. Необхідно, якщо тип умови: 3.
новий тег рядок Новий тег події. Необхідно, якщо тип умови: 3.
значення рядок Значення тегу події (старе або нове). Необхідно, якщо тип умови: 4, 5.
formulaid рядок Довільний унікальний ідентифікатор, який використовується для посилання на умову з користувацького виразу. Може містити лише великі літери. Ідентифікатор має бути визначений користувачем під час зміни умов фільтра, але буде згенеровано заново під час їхнього запиту пізніше.
operator integer Оператор умови.

Потрібний, якщо тип умови: 2, 4, 5.

Щоб краще зрозуміти, як використовувати фільтри з різними типами виразів, перегляньте приклади на сторінках методів correlation.get і correlation.create.

Наступні оператори та значення підтримуються для кожної умови типу.

|Умова|Назва умови|Підтримувані оператори|Очікуване значення| |---------|--------------|-------------------|---- ----------| |2|Група хостів|=, <>|Ідентифікатор групи хостів.| |4|Старе значення тегу події|=, <>, подобається, не подобається|рядок| |5|Нове значення тегу події|=, <>, як, не як|рядок|