On this page
Korrelationsobjekt
Die folgenden Objekte stehen in direktem Zusammenhang mit der correlation API.
Korrelation
Das Korrelationsobjekt hat die folgenden Eigenschaften.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| correlationid | ID | ID der Korrelation. Verhalten der Eigenschaft: - schreibgeschützt - erforderlich für Aktualisierungsvorgänge |
| name | string | Name der Korrelation. Verhalten der Eigenschaft: - erforderlich für Erstellungsvorgänge |
| description | string | Beschreibung der Korrelation. |
| status | integer | Gibt an, ob die Korrelation aktiviert oder deaktiviert ist. Mögliche Werte: 0 - (Standard) aktiviert; 1 - deaktiviert. |
Korrelationsoperation
Das Objekt für die Korrelationsoperation definiert eine Operation, die ausgeführt wird, wenn eine Korrelation ausgeführt wird. Es hat die folgenden Eigenschaften.
| Property | Type | Description |
|---|---|---|
| type | integer | Typ der Operation. Mögliche Werte: 0 - alte Ereignisse schließen; 1 - neues Ereignis schließen. Verhalten der Eigenschaft: - erforderlich |
Korrelationsfilter
Das Korrelationsfilter-Objekt definiert eine Reihe von Bedingungen, die erfüllt sein müssen, um die konfigurierten Korrelationsoperationen auszuführen. Es hat die folgenden Eigenschaften.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| conditions | array | Menge von Filterbedingungen, die zum Filtern von Ergebnissen verwendet werden. Die Bedingungen werden in der Reihenfolge ihrer Platzierung in der Formel sortiert. Verhalten der Eigenschaft: - erforderlich |
| evaltype | integer | Auswertungsmethode der Filterbedingungen. Mögliche Werte: 0 - Und/Oder; 1 - Und; 2 - Oder; 3 - Benutzerdefinierter Ausdruck. Verhalten der Eigenschaft: - erforderlich |
| eval_formula | string | Generierter Ausdruck, der zur Auswertung der Filterbedingungen verwendet wird. Der Ausdruck enthält IDs, die über formulaid auf bestimmte Filterbedingungen verweisen. Der Wert von eval_formula entspricht dem Wert von formula bei Filtern mit einem benutzerdefinierten Ausdruck.Verhalten der Eigenschaft: - schreibgeschützt |
| formula | string | Benutzerdefinierter Ausdruck, der zur Auswertung von Bedingungen in Filtern mit einem benutzerdefinierten Ausdruck verwendet wird. Der Ausdruck muss IDs enthalten, die über formulaid auf bestimmte Filterbedingungen verweisen. Die im Ausdruck verwendeten IDs müssen exakt mit den in den Filterbedingungen definierten IDs übereinstimmen: Keine Bedingung darf ungenutzt bleiben oder ausgelassen werden.Verhalten der Eigenschaft: - erforderlich, wenn evaltype auf "custom expression" gesetzt ist |
Korrelationsfilterbedingung
Das Objekt für die Korrelationsfilterbedingung definiert eine bestimmte Bedingung, die vor der Ausführung der Korrelationsoperationen geprüft werden muss.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| type | integer | Typ der Bedingung. Mögliche Werte: 0 - altes Ereignis-Tag; 1 - neues Ereignis-Tag; 2 - neue Ereignis-Hostgruppe; 3 - Ereignis-Tag-Paar; 4 - Wert des alten Ereignis-Tags; 5 - Wert des neuen Ereignis-Tags. Verhalten der Eigenschaft: - erforderlich |
| tag | string | Ereignis-Tag (alt oder neu). Verhalten der Eigenschaft: - erforderlich, wenn type auf „altes Ereignis-Tag“, „neues Ereignis-Tag“, „Wert des alten Ereignis-Tags“ oder „Wert des neuen Ereignis-Tags“ gesetzt ist |
| groupid | ID | ID der Hostgruppe. Verhalten der Eigenschaft: - erforderlich, wenn type auf „neue Ereignis-Hostgruppe“ gesetzt ist |
| oldtag | string | Altes Ereignis-Tag. Verhalten der Eigenschaft: - erforderlich, wenn type auf „Ereignis-Tag-Paar“ gesetzt ist |
| newtag | string | Altes Ereignis-Tag. Verhalten der Eigenschaft: - erforderlich, wenn type auf „Ereignis-Tag-Paar“ gesetzt ist |
| value | string | Wert des Ereignis-Tags (alt oder neu). Verhalten der Eigenschaft: - erforderlich, wenn type auf „Wert des alten Ereignis-Tags“ oder „Wert des neuen Ereignis-Tags“ gesetzt ist |
| formulaid | string | Beliebige eindeutige ID, die verwendet wird, um aus einem benutzerdefinierten Ausdruck auf die Bedingung zu verweisen. Darf nur Großbuchstaben enthalten. Die ID muss vom Benutzer definiert werden, wenn Filterbedingungen geändert werden, wird jedoch bei einer späteren Abfrage erneut generiert. |
| operator | integer | Bedingungsoperator. Verhalten der Eigenschaft: - erforderlich, wenn type auf „neue Ereignis-Hostgruppe“, „Wert des alten Ereignis-Tags“ oder „Wert des neuen Ereignis-Tags“ gesetzt ist |
Um besser zu verstehen, wie Filter mit verschiedenen Ausdruckstypen verwendet werden, siehe die Beispiele auf den Seiten der Methoden correlation.get und correlation.create.
Die folgenden Operatoren und Werte werden für jeden Bedingungstyp unterstützt.
| Bedingung | Bedingungsname | Unterstützte Operatoren | Erwarteter Wert |
|---|---|---|---|
| 2 | Hostgruppe | =, <> | Hostgruppen-ID. |
| 4 | Wert des alten Ereignis-Tags | =, <>, like, not like | string |
| 5 | Wert des neuen Ereignis-Tags | =, <>, like, not like | string |