Correlationオブジェクト
次のオブジェクトは、correlationAPIに直接関連しています。
相関関係
相関関係オブジェクトには、以下のプロパティがあります。
| プロパティ | Type | 説明 |
|---|---|---|
| correlationid | ID | 相関関係のID。 Property behavior: - read-only - 更新操作で required |
| name | string | 相関関係の名前。 Property behavior: - 作成操作で required |
| description | string | 相関関係の説明。 |
| status | integer | 相関関係が有効か無効か。 使用可能な値: 0 - (default) 有効; 1 - 無効。 |
相関関係の実行内容
相関関係の実行内容オブジェクトは、相関関係が実行されたときに実行される操作を定義します。以下のプロパティがあります。
相関フィルター
相関フィルターオブジェクトは、設定された相関操作を実行するために満たす必要がある一連の条件を定義します。 このオブジェクトには、以下のプロパティがあります。
| Property | Type | Description |
|---|---|---|
| conditions | array | 結果をフィルタリングするために使用するフィルター条件のセット。条件は、formula 内で配置された順序で並べ替えられます。 Property behavior: - 必須 |
| evaltype | integer | フィルター条件の評価方法。 指定可能な値: 0 - And/Or; 1 - And; 2 - Or; 3 - カスタム式。 Property behavior: - 必須 |
| eval_formula | string | フィルター条件の評価に使用される生成済みの式。この式には、各フィルター条件をその formulaid で参照する ID が含まれます。eval_formula の値は、カスタム式を持つフィルターでは formula の値と同じです。Property behavior: - 読み取り専用 |
| formula | string | カスタム式を持つフィルターの条件評価に使用する、ユーザー定義の式。この式には、各フィルター条件をその formulaid で参照する ID を含める必要があります。式で使用する ID は、フィルター条件で定義されたものと完全に一致している必要があります。未使用または省略された条件があってはなりません。Property behavior: - evaltype が "custom expression" に設定されている場合は 必須 |
相関フィルター条件
相関フィルター条件オブジェクトは、相関操作を実行する前に確認する必要がある特定の条件を定義します。
| Property | Type | Description |
|---|---|---|
| type | integer | 条件のタイプ。 使用可能な値: 0 - 古いイベントタグ; 1 - 新しいイベントタグ; 2 - 新しいイベントのホストグループ; 3 - イベントタグのペア; 4 - 古いイベントタグ値; 5 - 新しいイベントタグ値。 Property behavior: - 必須 |
| tag | string | イベントタグ(古いまたは新しい)。 Property behavior: - type が「古いイベントタグ」、「新しいイベントタグ」、「古いイベントタグ値」、または「新しいイベントタグ値」に設定されている場合は 必須 |
| groupid | ID | ホストグループのID。 Property behavior: - type が「新しいイベントのホストグループ」に設定されている場合は 必須 |
| oldtag | string | 古いイベントタグ。 Property behavior: - type が「イベントタグのペア」に設定されている場合は 必須 |
| newtag | string | 古いイベントタグ。 Property behavior: - type が「イベントタグのペア」に設定されている場合は 必須 |
| value | string | イベントタグ(古いまたは新しい)の値。 Property behavior: - type が「古いイベントタグ値」または「新しいイベントタグ値」に設定されている場合は 必須 |
| formulaid | string | カスタム式から条件を参照するために使用される任意の一意なID。使用できるのは大文字のみです。フィルター条件を変更する際には、このIDはユーザーが定義する必要がありますが、その後に条件を要求すると新たに生成されます。 |
| operator | integer | 条件演算子。 Property behavior: - type が「新しいイベントのホストグループ」、「古いイベントタグ値」、または「新しいイベントタグ値」に設定されている場合は 必須 |
さまざまな種類の式でフィルターを使用する方法をよりよく理解するには、 correlation.get および correlation.create メソッドの ページにある例を参照してください。
以下の演算子と値が、各条件タイプでサポートされています。
| Condition | Condition name | Supported operators | Expected value |
|---|---|---|---|
| 2 | ホストグループ | =, <> | ホストグループID。 |
| 4 | 古いイベントタグ値 | =, <>, like, not like | string |
| 5 | 新しいイベントタグ値 | =, <>, like, not like | string |