Ин­струк­ция key

Ин­струк­ция key ди­рек­ти­вы event пред­на­зна­че­на для ука­за­ния по­лей со­бы­тия, по зна­че­нию ко­то­рых по­ток нор­ма­ли­зо­ван­ных со­бы­тий бу­дет раз­де­лять­ся на несколь­ко по­то­ков. В ин­струк­ции вы мо­же­те ука­зать одно поле со­бы­тия или несколь­ко по­лей че­рез за­пя­тую. Раз­де­ле­ние по­то­ка со­бы­тий вы­пол­ня­ет­ся по со­во­куп­но­сти зна­че­ний ука­зан­ных по­лей. На­бо­ры по­лей для со­бы­тий, объ­яв­лен­ных в од­ном пра­ви­ле кор­ре­ля­ции, мо­гут от­ли­чат­ся на­зва­ни­я­ми по­лей, но типы дан­ных для по­лей в оди­на­ко­вых по­зи­ци­ях долж­ны сов­па­дать.

Если усло­вие пра­ви­ла кор­ре­ля­ции вы­пол­ня­ет­ся при ре­ги­стра­ции од­но­го со­бы­тия (не ука­за­на по­сле­до­ва­тель­ность со­бы­тий), в ка­че­стве key необ­хо­ди­мо ука­зать event_src.host.

При­мер:

event Account_login_failed:
    key:
        event_src.host, subject.name
    filter {
        ...
    }
event Account_login_failed_dst:
    key:
        dst.host, subject.name
    filter {
        ...
    }