变量

描述

用法

$communications

网络交互描述字符串（每个网络交互一个字符串），指定网络包的协议以及发送者和接收者的地址

• 用于注册事件的用户定义的设置。
• 通过连接器转发事件的设置。

$dst_address

网络数据包接收者地址（根据协议提供的信息，可以是 IP 地址、端口号、 MAC 地址和/或其他地址信息）

• 用于注册事件的用户定义的设置。

$extra.<paramName>

使用 AddEventParam 函数为外部系统或 Lua 脚本添加的附加变量

• 用于注册事件的用户定义的设置。

$monitoring_point

其流量导致事件被注册的监控点的名称

• 用于注册事件的用户定义的设置。
• 通过连接器转发事件的设置。

$occurred

注册的日期和时间

• 用于注册事件的用户定义的设置。
• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$protocol

记录事件的应用程序层协议的名称

• 用于注册事件的用户定义的设置。

$src_address

网络数据包发送方地址（根据协议提供的信息，可以是 IP 地址、端口号、 MAC 地址和/或其他地址信息）

• 用于注册事件的用户定义的设置。

$technology_rule

事件中规则的名称。

• 用于注册事件的用户定义的设置。
• 通过连接器转发事件的设置。

$top_level_protocol

顶级协议的名称。

• 用于注册事件的用户定义的设置。

$type_id

事件类型、应用程序消息或审计条目的代码。

• 用于注册事件的用户定义设置（也可以使用 $event_type_id 变量）。
• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$closed

分配“已解决”状态时的日期和时间或事件重新生成期间的日期和时间（对于非聚合事件的事件），或事故中包含的最后一个事件的注册日期和时间（对于聚合事件）。

• 通过连接器转发事件的设置。

$count

嵌套事件或聚合事件被触发的次数

• 通过连接器转发事件的设置。

$description

描述

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$id

已注册事件、应用程序消息或审计条目的唯一 ID。

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$message_category

已传输数据的类别（事件、应用程序消息或审计记录）。

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$message_count

传输的事件、应用程序消息或审计记录的数量。

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$messages

由包含数据列表的块组成的模板。

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$msg_line_templ

电子邮件通知字符串模板

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$node

包含发送数据的已安装应用程序组件的节点。

• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$result

审计条目中的操作结果。

• 通过连接器转发审计条目的设置。

$score

事件分数值。

• 通过连接器转发事件的设置。

$severity

事件严重性级别。

• 通过连接器转发事件的设置。

$status

应用程序消息状态

• 通过连接器转发应用程序消息的设置。

$system_process

导致消息被注册的应用程序进程

• 通过连接器转发应用程序消息的设置。

$technology

与事件相关的技术。

• 通过连接器转发事件的设置。

$title

事件标题、消息文本或已注册的操作。

• 通过连接器转发事件的设置。
• 通过连接器转发应用程序消息的设置。
• 通过连接器转发审计条目的设置。

$user

执行注册操作的用户的名称。

• 通过连接器转发审计条目的设置。