Sobre Parâmetros de pesquisa

Quando um incidente é criado, o Enforce Server gera atributos do incidente e os preenche com dados capturados do incidente. Você usa um ou vários atributos do incidente como chaves do parâmetro de pesquisa para recuperar dados externos e para preencher atributos personalizados com valores que foram recuperados do sistema externo. Você escolhe quais parâmetros de pesquisa usar para seus plug-ins de pesquisa na tela
Parâmetros de pesquisa
. Pelo menos um parâmetro de pesquisa deve estar presente na fonte de dados externa para que a consulta seja executada.
Quando alguns atributos forem criados para todos os tipos de incidente, outros serão específicos ao tipo de incidente. Por exemplo, o atributo de incidente sender-email é específico aos incidentes de SMTP. Atributos específicos aos incidentes de endpoint e de descoberta são precedidos por um identificador, como
discover-name
e
endpoint-machine-name
. Para fins de conveniência administrativa, os parâmetros de pesquisa são organizados em grupos. Um incidente expõe todos os parâmetros da pesquisa em cada grupo de parâmetro da pesquisa que é ativado. Durante a pesquisa, alguns dos pares de nome-valor nesse grupo podem ser sem valor segundo o tipo de incidente. Por exemplo, o valor de atributo do parâmetro
sender-email
é nulo para os incidentes de descoberta (
sender-email=null
).
Os plug-ins de pesquisa não mudam os valores definidos pelo sistema dos parâmetros da consulta. O plug-in somente usa estes parâmetros como chaves para executar a pesquisa e preencher atributos personalizados. Por exemplo, se um plugin de pesquisa usar o parâmetro
subject
, o valor deste atributo não será alterado por um valor para este atributo na fonte de dados externa; o Enforce Server ignorará o valor depois que a pesquisa for realizada. No entanto, há duas exceções:
data-owner-name
e
data-owner-email
. Esses atributos de incidentes definidos pelo sistema funcionam como atributos personalizados, e seus valores são preenchidos por valores recuperados.
Quando você mapear as chaves de sua fonte de dados, o plug-in pesquisará as chaves em ordem até encontrar o primeiro valor correspondente. Quando um valor correspondente for encontrado, o plug-in interromperá a pesquisa de chaves. O plug-in usa os dados na linha que contém o primeiro valor correspondente para preencher os atributos personalizados relevantes. Consequentemente, os valores-chave não são usados em combinação, mas o primeiro valor que é encontrado é a chave. Como o plugin interromperá a pesquisa depois de encontrar o primeiro valor correspondente, a ordem em que você relacionar as
keys
em seu mapeamento de atributos será importante. Consulte os tópicos e os exemplos individuais do mapeamento de atributos em busca de nuances na sintaxe do mapeamento do atributo do plug-in de pesquisa.
Para executar uma consulta, você deverá mapear pelo menos uma chave de parâmetro de pesquisa a um campo em sua fonte de dados externa. Cada grupo de parâmetro da pesquisa que você ativar será uma consulta separada do banco de dados para ser executada pelo Enforce Server. As consultas do banco de dados são executadas para cada incidente antes da pesquisa. Para evitar o impacto no desempenho causado por consultas desnecessárias ao banco de dados, você deverá ativar somente os grupos de atributos que seus plugins de pesquisa exigirem.
Como o plug-in interromperá a pesquisa após encontrar o primeiro par chave-valor correspondente ao parâmetro de pesquisa, a ordem em que você relacionar as
keys
em seu mapa de atributos é importante. Consulte os exemplos do mapeamento de atributos para o tipo específico de plug-in que você está implementando.