Инструкция key
Инструкция key
директивы event
предназначена для указания полей события, по значению которых поток нормализованных событий будет разделяться на несколько потоков. В инструкции вы можете указать одно поле события или несколько полей через запятую. Разделение потока событий выполняется по совокупности значений указанных полей. Наборы полей для событий, объявленных в одном правиле корреляции, могут отличатся названиями полей, но типы данных для полей в одинаковых позициях должны совпадать.
Если условие правила корреляции выполняется при регистрации одного события (не указана последовательность событий), в качестве
key
необходимо указать event_src.host
.Пример:
event Account_login_failed: key: event_src.host, subject.name filter { ... } event Account_login_failed_dst: key: dst.host, subject.name filter { ... }