Komplexní parser událostí

Parser komplexních událostí analyzuje příchozí komplexní události, jako jsou události vyhledávání. (tj. vytvoření, aktualizace, smazání vyhledávání) a vkládá je do tématu lmio-output. v Kafce.

Odtud jsou parsované komplexní události rovněž odesílány do tématu input. pomocí instancí LogMan.io Watcher, takže korelátory a dispečery mohly na události také reagovat.

Ukázka deklarace

Ukázka deklarace YAML pro události vyhledávání v komplexním parseru událostí může vypadat následovně:

p00_json_preprocessor.yaml

---
define:
  name: Preprocesor pro JSON s extrakcí nájemce
  type: parser/preprocessor
  tenant: JSON.tenant

funkce: lmiopar.preprocessor.JSON

p01_lookup_event_parser.yaml

---
define:
  name: Lookup Event Parser
  typ: parser/cascade

predicate:
  !AND
  - !ISNOT
    - !ITEM CONTEXT JSON.lookup_id
    - !!null
  - !ISNOT
    - !ITEM CONTEXT JSON.action
    - !!null

parse:
  !DICT
  set:
    "@timestamp": !ITEM CONTEXT "JSON.@timestamp"
    end: !ITEM CONTEXT "JSON.@timestamp"
    deviceVendor: TeskaLabs
    deviceProduct: LogMan.io
    dvc: 172.22.0.12
    dvchost: lm1
    deviceEventClassId: lookup:001
    name: !ITEM CONTEXT JSON.action
    fname: !ITEM CONTEXT JSON.lookup_id
    fileType: lookup
    categoryObject: /Host/Application
    categoryBehavior: /Modify/Configuration
    categoryOutcome: /Success
    categoryDeviceGroup: /Application
    type: Base
    tenant: !ITEM CONTEXT JSON.tenant
    customerName: !ITEM CONTEXT JSON.tenant

Deklarace by měly být vždy součástí knihovny LogMan.io.