На странице
Объект корреляции
Следующие объекты напрямую связаны с API корреляций (correlation).
Корреляция
Объект корреляции имеет следующие свойства.
| Property | Type | Description |
|---|---|---|
| correlationid | ID | ID корреляции. Поведение свойства: - только для чтения - обязательно для операций обновления |
| name | string | Имя корреляции. Поведение свойства: - обязательно для операций создания |
| description | string | Описание корреляции. |
| status | integer | Включена корреляция или отключена. Возможные значения: 0 - (по умолчанию) включена; 1 - отключена. |
Операция корреляции
Объект операции корреляции определяет операцию, которая будет выполнена при запуске корреляции. Он имеет следующие свойства.
| Property | Type | Description |
|---|---|---|
| type | integer | Тип операции. Возможные значения: 0 - закрыть старые события; 1 - закрыть новое событие. Поведение свойства: - required |
Фильтр корреляции
Объект фильтра корреляции определяет набор условий, которые должны быть выполнены для выполнения настроенных операций корреляции. Он имеет следующие свойства.
| Property | Type | Description |
|---|---|---|
| conditions | array | Набор условий фильтра для использования при фильтрации результатов. Условия будут отсортированы в порядке их размещения в формуле. Поведение свойства: - required |
| evaltype | integer | Метод оценки условий фильтра. Возможные значения: 0 - And/Or; 1 - And; 2 - Or; 3 - Custom expression. Поведение свойства: - required |
| eval_formula | string | Сгенерированное выражение, которое будет использоваться для оценки условий фильтра. Выражение содержит идентификаторы, которые ссылаются на конкретные условия фильтра по их formulaid. Значение eval_formula равно значению formula для фильтров с пользовательским выражением.Поведение свойства: - read-only |
| formula | string | Определяемое пользователем выражение, которое будет использоваться для оценки условий фильтров с пользовательским выражением. Выражение должно содержать идентификаторы, которые ссылаются на конкретные условия фильтра по их formulaid. Идентификаторы, используемые в выражении, должны в точности совпадать с теми, что определены в условиях фильтра: ни одно условие не может остаться неиспользованным или опущенным.Поведение свойства: - required если evaltype установлен в значение "custom expression" |
Условие фильтра корреляции
Объект условия фильтра корреляции определяет конкретное условие, которое должно быть проверено перед выполнением операций корреляции.
| Property | Type | Description |
|---|---|---|
| type | integer | Тип условия. Возможные значения: 0 - старый тег события; 1 - новый тег события; 2 - новая группа узлов сети события; 3 - пара тегов события; 4 - значение старого тега события; 5 - значение нового тега события. Поведение свойства: - required |
| tag | string | Тег события (старый или новый). Поведение свойства: - required если type установлено в "old event tag", "new event tag", "old event tag value" или "new event tag value" |
| groupid | ID | ID группы узлов сети. Поведение свойства: - required если type установлено в "new event host group" |
| oldtag | string | Старый тег события. Поведение свойства: - required если type установлено в "event tag pair" |
| newtag | string | Старый тег события. Поведение свойства: - required если type установлено в "event tag pair" |
| value | string | Значение тега события (старого или нового). Поведение свойства: - required если type установлено в "old event tag value" или "new event tag value" |
| formulaid | string | Произвольный уникальный ID, который используется для ссылки на условие из пользовательского выражения. Может содержать только заглавные буквы. ID должен быть задан пользователем при изменении условий фильтра, но будет сгенерирован заново при последующем запросе. |
| operator | integer | Оператор условия. Поведение свойства: - required если type установлено в "new event host group", "old event tag value" или "new event tag value" |
Чтобы лучше понять, как использовать фильтры с различными типами выражений, см. примеры на страницах методов correlation.get и correlation.create.
Для каждого типа условия поддерживаются следующие операторы и значения.
| Condition | Condition name | Supported operators | Expected value |
|---|---|---|---|
| 2 | Группа узлов сети | =, <> | ID группы узлов сети. |
| 4 | Значение старого тега события | =, <>, like, not like | string |
| 5 | Значение нового тега события | =, <>, like, not like | string |