Вы можете использовать правила корреляции типа standard и simple для обогащения событий с помощью локальных переменных.
Обогащение текстом и числами
Обогащение событий можно выполнять с помощью текста (строк). Для этого могут быть использованы функции, позволяющие модифицировать строки: to_lower, to_upper, str_join, append, prepend, substring, tr, replace, str_join.
Обогащение событий можно выполнять с помощью чисел. Для этого могут быть использованы функции: сложение (оператор "+"), вычитание (оператор "-"), умножение (оператор "*"), деление (оператор "/"), round, ceil, floor, abs, pow.
Также для работы с данными в локальных переменных могут быть использованы регулярные выражения.
Применение регулярных выражений в правилах корреляции создаёт большую нагрузку в сравнении с другими операциями. Поэтому при разработке правил корреляции мы рекомендуем ограничить использование регулярных выражений до необходимого минимума и применять другие доступные операции.
Обогащение временных отметок
Обогащение событий можно выполнять с помощью временных отметок (даты и времени). Для этого могут быть использованы функции, позволяющие получать или модифицировать временные метки: now, extract_from_timestamp, parse_timestamp, format_timestamp, truncate_timestamp, time_diff.
Операции с активными списками и таблицами
Вы можете выполнять обогащение событий с помощью локальных переменных и данных, находящихся в активных списках и таблицах.
Для обогащения событий данными из активного списка необходимо воспользоваться функциями active_list, active_list_dyn.
Для обогащения событий данными из таблицы необходимо воспользоваться функциями table_dict, dict.
Вы можете создавать условные операторы при помощи функции conditional в локальных переменных. Таким образом переменная может вернуть одно из значений в зависимости от того, какие данные поступили для обработки.
Использование локальной переменной для обогащения событий
Чтобы использовать локальную переменную для обогащения событий: