Поля события

Внимание! Действия, описанные в данном разделе относятся к обновленному механизму парсинга и нормализации, который недоступен в версии 3.7.4 и ниже.

Платформа Радар позволяет управлять полями события (таксономии), используемых в процессах разбора и нормализации.

Маппинг – это карта полей нормализованного или распаршенного события.

Список предустановленных полей, используемых при нормализации, приведен в разделе Описание полей нормализации.

В таксономии (маппинг полей) используется 3 типа полей:

• datetime – для полей хранения времени;
• keyword – все остальные поля;
• group – для верхне-уровневых полей в иерархии. Например, поле event является группой, содержащей поля event.id, event.alert, event.anomaly.

Поле события может принадлежать к следующим шаблонам:

• Разобрано;
• Нормализовано;
• Ошибка.

Работа с полями событий включает в себя следующие процессы:

1. Просмотр поля.
2. Создание поля.
3. Редактирование поля.
4. Объединение полей в группы.
5. Удаление поля.

Для работы с полями события перейдите в раздел Источники → Поля события (см. рисунок 1).

Рисунок 1 – Раздел "Поля события"

В разделе отображается следующая информация о полях события:

• Поле – уникальный ключ поля, используемый при нормализации;
• Тип – тип поля: datetime, keyword, group;
• Шаблон "Разобрано" – признак принадлежности поля к шаблону "Разобрано";
• Шаблон "Нормализовано" – признак принадлежности поля к шаблону "Нормализовано";
• Шаблон "Ошибка" – признак принадлежности поля к шаблону "Ошибка";
• Название – наименование поля;
• Описание – описание поля;
• Дополнительная информация – дополнительные сведения о поле;
• Создано – дата и время создания поля;
• Обновлено – дата и время обновления поля.

При работе над записями таблицы доступны следующие элементы управления:

Кнопка	Действие
	редактирование информации о поле события
	просмотр поля события
	удаление записи из таблицы

Просмотр поля события

Открыть поле события на просмотр можно двумя способами:

• нажмите кнопку ;
• по ссылке в графе "Поле".

Откроется форма просмотра поля события (см. рисунок 2).

Рисунок 2 – Форма "Просмотр поля события"

Помимо общей информации о событии на форме отображается следующая информация:

• Информация о родительском поле. По ссылке произойдет переход к просмотру родительского поля;
• Информация о дочерних полях. По ссылке произойдет переход к просмотру дочернего поля;
• Информация об использовании поля в нормализаторах.

Создание поля события

1. Нажмите кнопку Создать. Откроется форма "Создание поля события" (см. рисунок 3).

   

   Рисунок 3 – Форма "Создание поля события"

2. Укажите на форме следующую информацию:

   • в поле Поле укажите уникальный ключ поля. Допускается указывать ключ только на английском языке. Указанный ключ должен быть уникальным в рамках платформы;
   • в поле Тип из выпадающего списка выберите тип поля;
   • в поле Название укажите название поля;
   • в поле Описание укажите описание поля;
   • в поле Дополнительная информация укажите дополнительные сведения о поле;
   • укажите принадлежность поля к шаблонам, включив соответствующие переключатели.

3. Нажмите кнопку Сохранить.

Редактирование поля события

1. Выберите из списка необходимое поле и нажмите кнопку .
2. Внесите необходимые изменения.
3. Нажмите кнопку Сохранить.

Объединение полей события в группы

Поля события можно объединить в группы с помощью типа group. Объединение выполняется по следующем принципу:

1. Создается поле, например test.
2. Полю присваивается тип group.
3. Затем создается поле, например test.[наименование дочернего поля].
4. Поле test автоматически назначается родительским полем, а созданное - дочерним.

Удаление поля события

Для удаления поля нажмите кнопку в соответствующей строке.

Для удаление всех записей нажмите кнопку Удалить все.

Для удаления конкретных записей таблицы установите нужные флаги и нажмите кнопку Удалить.