На странице
Объект корреляции
Следующие объекты напрямую связаны с API корреляций (correlation).
Корреляция
Объект корреляции имеет следующие свойства.
| Свойство | Тип | Описание |
|---|---|---|
| correlationid | ID | ID корреляции. Поведение свойства: - только для чтения - обязательно для операций обновления |
| name | string | Имя корреляции. Поведение свойства: - обязательно для операций создания |
| description | string | Описание корреляции. |
| status | integer | Включена или отключена корреляция. Возможные значения: 0 - (по умолчанию) включена; 1 - отключена. |
Операция корреляции
Объект операции корреляции определяет операцию, которая будет выполнена при выполнении корреляции. Он имеет следующие свойства.
| Свойство | Type | Описание |
|---|---|---|
| type | integer | Тип операции. Возможные значения: 0 — закрыть старые события; 1 — закрыть новое событие. Поведение свойства: - обязательно |
Фильтр корреляции
Объект фильтра корреляции определяет набор условий, которые должны быть выполнены для выполнения настроенных операций корреляции. Он имеет следующие свойства.
| Свойство | Type | Описание |
|---|---|---|
| conditions | array | Набор условий фильтра, используемых для фильтрации результатов. Условия будут отсортированы в порядке их размещения в формуле. Поведение свойства: - обязательно |
| evaltype | integer | Метод вычисления условий фильтра. Возможные значения: 0 - And/Or; 1 - And; 2 - Or; 3 - Пользовательское выражение. Поведение свойства: - обязательно |
| eval_formula | string | Сгенерированное выражение, которое будет использоваться для вычисления условий фильтра. Выражение содержит идентификаторы, которые ссылаются на определённые условия фильтра по их formulaid. Значение eval_formula равно значению formula для фильтров с пользовательским выражением.Поведение свойства: - только для чтения |
| formula | string | Определяемое пользователем выражение, используемое для вычисления условий фильтров с пользовательским выражением. Выражение должно содержать идентификаторы, которые ссылаются на определённые условия фильтра по их formulaid. Идентификаторы, используемые в выражении, должны в точности соответствовать идентификаторам, определённым в условиях фильтра: ни одно условие не должно остаться неиспользованным или пропущенным.Поведение свойства: - обязательно, если evaltype установлено в "custom expression" |
Условие фильтра корреляции
Объект условия фильтра корреляции определяет конкретное условие, которое должно быть проверено перед выполнением операций корреляции.
| Свойство | Type | Описание |
|---|---|---|
| type | integer | Тип условия. Возможные значения: 0 - старый тег события; 1 - новый тег события; 2 - новая группа узлов сети события; 3 - пара тегов события; 4 - значение старого тега события; 5 - значение нового тега события. Поведение свойства: - обязательно |
| tag | string | Тег события (старый или новый). Поведение свойства: - обязательно, если type установлен в "старый тег события", "новый тег события", "значение старого тега события" или "значение нового тега события" |
| groupid | ID | ID группы узлов сети. Поведение свойства: - обязательно, если type установлен в "новая группа узлов сети события" |
| oldtag | string | Старый тег события. Поведение свойства: - обязательно, если type установлен в "пара тегов события" |
| newtag | string | Старый тег события. Поведение свойства: - обязательно, если type установлен в "пара тегов события" |
| value | string | Значение тега события (старого или нового). Поведение свойства: - обязательно, если type установлен в "значение старого тега события" или "значение нового тега события" |
| formulaid | string | Произвольный уникальный ID, который используется для ссылки на условие из пользовательского выражения. Может содержать только заглавные буквы. ID должен быть определен пользователем при изменении условий фильтра, но будет сгенерирован заново при последующем их запросе. |
| operator | integer | Оператор условия. Поведение свойства: - обязательно, если type установлен в "новая группа узлов сети события", "значение старого тега события" или "значение нового тега события" |
Чтобы лучше понять, как использовать фильтры с различными типами выражений, смотрите примеры на страницах методов correlation.get и correlation.create.
Для каждого типа условия поддерживаются следующие операторы и значения.
| Условие | Название условия | Поддерживаемые операторы | Ожидаемое значение |
|---|---|---|---|
| 2 | Группа узлов сети | =, <> | ID группы узлов сети. |
| 4 | Значение старого тега события | =, <>, like, not like | string |
| 5 | Значение нового тега события | =, <>, like, not like | string |