Механизм работы функции группировки
Результатом работы функции группировки является создание новой переменной. Ключом для переменной будет являться наименование группы, а значение будет включать результаты работы правил разбора. Результаты работы правила будут перечислены через ";".
Данную функцию нельзя использовать для нормализации событий. Функция используются только для последующей обработки данных.
Пример работы:
Необходимо сгруппировать результаты работы следующих правил: (см. таблица 1)
Таблица 1 – Результаты работы правил разбора, которые необходимо сгруппировать
| Механизм | Поле | Параметры | Результат (ключ) | Результат (Значение) |
|---|---|---|---|---|
| GROK паттерн | Data | (.*:\s+)?%{GREEDYDATA:command}$ |
command | Выполнить обновление |
| GROK паттерн | TransactionID | .*\(%{NUMBER:TransactionID}\)$ |
TransactionID | 2934007 |
-
В блоке Правила разбора нажмите по наименованию нужного механизма (см. рисунок 1).
Рисунок 1 – Правила разбора, результаты которых необходимо объединить в группу
-
В открывшемся окне в поле Группа результата укажите наименование группы (см. рисунок 2) и нажмите кнопку Сохранить.
Рисунок 2 – Добавление группы результата
-
Укажите группу результата для нужных правил разбора. В графе Параметры будет отображена информация о группах результата (см. рисунок 1).
-
Нажмите на кнопку Тестировать, а затем кнопку Показать результаты, перейдите на вкладку "Текущее правило разбора". Будет создана новая переменная, значением которой будет являться перечень результатов работы правил (см. рисунок 3).
Рисунок 3 – Результат работы функции группировки