Обогащение по табличному списку

Табличные списки (Rapid Value Store), являются видом активного хранилища -- автоматически изменяемого, в зависимости от условий (подробнее см. раздел Табличные списки).

Платформа Радар позволяет использовать записи табличных списков для обогащения событий.

Возможность использования табличных списков для обогащения событий настраивается в разделе Администрирование → Кластер → вкладка Управление конфигурацией, где в древовидном списке нужно выбрать Enrich → Rvs (см. рисунок 1).

Рисунок 1 – Включение Rvs-обогащения

Пример настройки параметров обогащения по табличному списку, при создании правила обогащения, приведен на рисунке 2.

Рисунок 2 – Параметры Rvs-обогащения

Для настройки параметров обогащения выполните следующие действия:

1. В поле Табличный список из выпадающего списка выберите табличный список. Будет сформирован список полей таксономии для ключей и значений табличного списка.
2. В поле/полях Ключи укажите какую таксономию использовать для ключей табличного списка (из ключей формируется уникальный идентификатор записи табличного списка).
3. В поле/полях Значения укажите какую таксономию использовать для значений табличного списка.

Принцип работы:

1. Сервис будет проверять есть ли значения в полях ключей нормализованного события.
2. Если значение в поле есть, то сервис обращается к табличному списку и по ключу, который формируется из указанных значений, пытается найти соответствующую запись.
3. Если запись найдена, то событие обогащается значениями, указанными в данной записи.