On this page
Oggetto Correlazione
I seguenti oggetti sono direttamente correlati all'API correlation.
Correlazione
L'oggetto correlazione ha le seguenti proprietà.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| correlationid | ID | ID della correlazione. Comportamento della proprietà: - sola lettura - obbligatoria per le operazioni di aggiornamento |
| name | string | Nome della correlazione. Comportamento della proprietà: - obbligatoria per le operazioni di creazione |
| description | string | Descrizione della correlazione. |
| status | integer | Indica se la correlazione è abilitata o disabilitata. Valori possibili: 0 - (predefinito) abilitata; 1 - disabilitata. |
Operazione di correlazione
L'oggetto operazione di correlazione definisce un'operazione che verrà eseguita quando una correlazione viene eseguita. Ha le seguenti proprietà.
| Proprietà | Type | Descrizione |
|---|---|---|
| type | integer | Tipo di operazione. Valori possibili: 0 - chiudi eventi precedenti; 1 - chiudi nuovo evento. Comportamento della proprietà: - obbligatorio |
Filtro di correlazione
L'oggetto filtro di correlazione definisce un insieme di condizioni che devono essere soddisfatte per eseguire le operazioni di correlazione configurate. Ha le seguenti proprietà.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| conditions | array | Insieme di condizioni del filtro da utilizzare per filtrare i risultati. Le condizioni verranno ordinate nell'ordine in cui sono posizionate nella formula. Comportamento della proprietà: - obbligatoria |
| evaltype | integer | Metodo di valutazione delle condizioni del filtro. Valori possibili: 0 - And/Or; 1 - And; 2 - Or; 3 - Espressione personalizzata. Comportamento della proprietà: - obbligatoria |
| eval_formula | string | Espressione generata che verrà utilizzata per valutare le condizioni del filtro. L'espressione contiene ID che fanno riferimento a specifiche condizioni del filtro tramite il relativo formulaid. Il valore di eval_formula è uguale al valore di formula per i filtri con un'espressione personalizzata.Comportamento della proprietà: - sola lettura |
| formula | string | Espressione definita dall'utente da utilizzare per valutare le condizioni dei filtri con un'espressione personalizzata. L'espressione deve contenere ID che fanno riferimento a specifiche condizioni del filtro tramite il relativo formulaid. Gli ID utilizzati nell'espressione devono corrispondere esattamente a quelli definiti nelle condizioni del filtro: nessuna condizione può rimanere inutilizzata o essere omessa.Comportamento della proprietà: - obbligatoria se evaltype è impostato su "custom expression" |
Condizione del filtro di correlazione
L'oggetto condizione del filtro di correlazione definisce una condizione specifica che deve essere verificata prima di eseguire le operazioni di correlazione.
| Property | Type | Description |
|---|---|---|
| type | integer | Tipo di condizione. Valori possibili: 0 - tag del vecchio evento; 1 - tag del nuovo evento; 2 - gruppo host del nuovo evento; 3 - coppia di tag evento; 4 - valore del tag del vecchio evento; 5 - valore del tag del nuovo evento. Property behavior: - obbligatorio |
| tag | string | Tag evento (vecchio o nuovo). Property behavior: - obbligatorio se type è impostato su "tag del vecchio evento", "tag del nuovo evento", "valore del tag del vecchio evento" o "valore del tag del nuovo evento" |
| groupid | ID | ID del gruppo host. Property behavior: - obbligatorio se type è impostato su "gruppo host del nuovo evento" |
| oldtag | string | Tag del vecchio evento. Property behavior: - obbligatorio se type è impostato su "coppia di tag evento" |
| newtag | string | Tag del vecchio evento. Property behavior: - obbligatorio se type è impostato su "coppia di tag evento" |
| value | string | Valore del tag evento (vecchio o nuovo). Property behavior: - obbligatorio se type è impostato su "valore del tag del vecchio evento" o "valore del tag del nuovo evento" |
| formulaid | string | ID univoco arbitrario utilizzato per fare riferimento alla condizione da un'espressione personalizzata. Può contenere solo lettere maiuscole. L'ID deve essere definito dall'utente durante la modifica delle condizioni del filtro, ma verrà generato nuovamente quando verranno richieste in seguito. |
| operator | integer | Operatore della condizione. Property behavior: - obbligatorio se type è impostato su "gruppo host del nuovo evento", "valore del tag del vecchio evento" o "valore del tag del nuovo evento" |
Per comprendere meglio come utilizzare i filtri con vari tipi di espressioni, vedere gli esempi nelle pagine dei metodi correlation.get e correlation.create.
Per ciascun tipo di condizione sono supportati i seguenti operatori e valori.
| Condition | Condition name | Supported operators | Expected value |
|---|---|---|---|
| 2 | Gruppo host | =, <> | ID del gruppo host. |
| 4 | Valore del tag del vecchio evento | =, <>, like, not like | string |
| 5 | Valore del tag del nuovo evento | =, <>, like, not like | string |