Acerca de los parámetros de búsqueda

Cuando se crea un incidente, Enforce Server genera atributos de incidente y los completa con los datos que captura del incidente. Se usa uno o más atributos de incidente como claves del parámetro de búsqueda para recuperar datos externos y completar atributos personalizados con valores que se han recuperado del sistema externo. Usted elige qué parámetros de búsqueda desea usar para los complementos de búsqueda en la pantalla
Parámetros de búsqueda
. Al menos un parámetro de búsqueda debe estar presente en el origen de datos externo para que la búsqueda se ejecute.
Mientras que algunos atributos se crean para todos los tipos de incidente, otros son específicos del tipo de incidente. Por ejemplo, el correo electrónico del remitente del atributo del incidente es específico de los incidentes de SMTP. Los atributos específicos de incidentes de Discover y endpoint son precedidos por un identificador, como
discover-name
y
endpoint-machine-name
. Por conveniencia administrativa, los parámetros de búsqueda se organizan en grupos. Un incidente expone todos los parámetros de búsqueda en cada grupo de parámetro de búsqueda habilitado. En la búsqueda, es posible que algunos de los pares valor-nombre en ese grupo no tenga valor dependiendo del tipo de incidente. Por ejemplo, el valor del atributo del parámetro
sender-email
es nulo para los incidentes de Discover
(sender-email=null)
.
Los complementos de búsqueda no cambian los valores definidos por el sistema de los parámetros de búsqueda. El complemento usa solamente estos parámetros como claves para realizar búsquedas y completar atributos personalizados. Por ejemplo, si un complemento de búsqueda usa el parámetro de búsqueda
subject
, el valor de este atributo no se cambia por un valor para este atributo en el origen de datos externo; Enforce Server omite el valor una vez que la búsqueda se ejecuta. Hay dos excepciones, no obstante:
data-owner-name
y
data-owner-email
. Estos atributos del incidente definidos por el sistema funcionan como atributos personalizados y sus valores se completan con los valores recuperados.
Cuando se asignan claves a su origen de datos, el complemento busca claves en orden hasta que encuentra el primer valor que coincide. Cuando se encuentra un valor que coincide, el complemento detiene la búsqueda de claves. El complemento usa los datos en la fila que contiene el primer valor coincidente para completar los atributos personalizados relevantes. Por lo tanto, los valores clave no se usan en combinación, sino que el primer valor que se encuentra es la clave. Como el complemento se detiene después de encontrar el primer valor que coincide, el orden en el cual se enumeran las
keys
en el mapa de atributos es importante. Consulte ejemplos y temas de asignación de atributo individual para obtener detalles sobre la sintaxis de asignación de atributos del complemento de búsqueda.
Para realizar una búsqueda, es necesario asignar por lo menos una clave del parámetro de búsqueda a un campo en su origen de datos externo. Cada grupo de parámetros de búsqueda que se habilita es una consulta de base de datos aparte para que Enforce Server realice. Todas las consultas de base de datos se ejecutan para cada incidente antes de la búsqueda. Para evitar el impacto en el rendimiento de las consultas de base de datos innecesarias, es necesario permitir solamente los grupos de atributos que sus complementos de búsqueda requieren.
Como el complemento deja de buscar una vez que encuentra el primer par clave-valor del parámetro de búsqueda que coincide, el orden en el cual se enumeran las
keys
en el mapa de atributos es significativo. Consulte los ejemplos de la asignación de atributos para el tipo específico de complemento que usted está implementando.