Vyhledávání a obohacování aliasů polí

Lookup

Field Alias lookup obsahuje informace o kanonických názvech atributů událostí, spolu s jejich možnými aliasy (jako jsou zkrácené názvy atd.).

ID vyhledávacího pole Alias musí obsahovat následující podřetězec: field_alias

Záznam vyhledávání má následující strukturu:

klíč: canonical_name
hodnota: {
    "aliases": [
        alias1, # f. e. krátký název
        alias2, # f. e. dlouhý název
        ...
    ]
}

Pseudonymy polí lze zadat v parserech, standardních obohacovačích a korelátorech. definovat, takže názvy aliasů použité v deklarativním souboru (jako !ITEM EVENT alias). jsou při přístupu k existujícímu prvku přeloženy na kanonické názvy (tj. !ITEM EVENT alias nebo !ITEM EVENT canonical_name).

Také by se mělo použít vyhledávání v obohacovači aliasů polí pro transformaci všechny aliasy na kanonické názvy po úspěšném rozboru v LogMan.io Parseru.

Obohacovač

Field Alias obohacuje událost o kanonické názvy existujících atributů, které jsou pojmenovány jedním ze zadaných aliasů, a zároveň odstraní aliasové atributy v události.

Deklarace

---
define:
  název: FieldAliasEnricher
  typ: enricher/fieldalias
  lookup: field_alias.default

Sekce define

Tato sekce definuje název a typ obohacovače, který je v případě Field Alias vždy enricher/fieldalias.

Položka name

Kratší lidsky čitelný název této deklarace.

Položka type

Typ této deklarace, musí být enricher/fieldalias.