Vyhledávání aliasů polí & Obohacovač

Vyhledávání

Vyhledávání aliasů polí obsahuje informace o kanonických názvech atributů událostí, spolu s jejich možnými aliasy (např. krátkými názvy atd.).

ID vyhledávání aliasů polí musí obsahovat následující podřetězec: field_alias

Záznam vyhledávání má následující strukturu:

key: canonical_name
value: {
    "aliases": [
        alias1,  # např. krátký název
        alias2,  # např. dlouhý název
        ...
    ]
}

Aliasy polí mohou být specifikovány v sekci definic parserů, standardních obohacovačů a korelátorů, takže aliasové názvy použité v deklarativním souboru (např. !ITEM EVENT alias) jsou přeloženy na kanonické názvy při přístupu k existujícímu prvku (tj. !ITEM EVENT alias nebo !ITEM EVENT canonical_name).

Také by mělo být vyhledávání použito v obohacovači aliasů polí k transformaci všech aliasů na kanonické názvy po úspěšném parsování v LogMan.io Parseru.

Obohacovač

Obohacovač aliasů polí obohacuje událost kanonickými názvy existujících atributů, které jsou pojmenovány jedním ze specifikovaných aliasů, zatímco maže aliasové atributy v události.

Deklarace

---
define:
  name: FieldAliasEnricher
  type: enricher/fieldalias
  lookup: field_alias.default

Sekce define

Tato sekce definuje název a typ obohacovače, který v případě Obohacovače aliasů polí je vždy enricher/fieldalias.

Položka name

Kratší lidsky čitelný název této deklarace.

Položka type

Typ této deklarace, musí být enricher/fieldalias.