A propos des paramètres de consultation
Quand un incident est créé, le serveur Enforce génère des attributs d'incident et les remplit avec des données qu'il capture de l'incident. Vous utilisez un ou plusieurs attributs d'incident en tant que clés de paramètre de consultation pour récupérer des données externes et remplir des attributs personnalisés avec les valeurs qui ont été récupérées du système externe. Vous choisissez les paramètres de consultation à utiliser pour vos plug-ins de consultation dans l'écran
Paramètres de consultation
. Au moins un paramètre de consultation doit être présent dans la source de données externes pour que la consultation soit effectuée.Tandis que certains attributs sont créés pour tous les types d'incident, d'autres sont spécifiques au type d'incident. Par exemple, le courrier électronique de l'expéditeur d'attribut d'incident est spécifique aux incidents SMTP. Des attributs spécifiques aux incidents Endpoint et Discover sont préfacés par un identifiant, tel que
discover-name
et endpoint-machine-name
. Pour des raisons administratives, les paramètres de consultation sont organisés en groupes. Un incident expose tous les paramètres de consultation dans chaque groupe de paramètres de consultation activé. Sur consultation, certaines paires nom-valeur dans ce groupe peuvent être sans valeur selon le type d'incident. Par exemple, la valeur d'attribut du paramètre sender-email
est nulle pour des incidents Discover (sender-email=null
).Les plug-ins de consultation ne modifient pas les valeurs définies par le système des paramètres de consultation. Le plug-in utilise uniquement ces paramètres comme des clés pour effectuer la consultation et remplir les attributs personnalisés. Par exemple, si un plug-in de consultation utilise le paramètre de consultation
objet
, la valeur de cet attribut n'est pas modifiée par une valeur de cet attribut dans la source de données externes ; le serveur Enforce ignore la valeur une fois la consultation effectuée. Il y a deux exceptions, néanmoins : data-owner-name
et data-owner-email
. La fonction d'attributs d'indicent définis par le système telle que attributs personnalisés et leurs valeurs sont remplies par des valeurs récupérées.Lorsque vous mappez les clés à votre source de données, le plug-in recherche les clés dans la commande jusqu'à ce qu'il trouve la première valeur correspondante. Une fois qu'il a trouvé la valeur correspondante, le plug-in arrête de rechercher les clés. Il utilise les données de la ligne contenant la première valeur correspondante pour remplir les attributs personnalisés appropriés. Par conséquent, les valeurs de clé ne sont pas utilisées en combinaison, seule la première valeur trouvée est la clé. Le plug-in arrêtant la recherche dès qu'il trouve la première valeur correspondante, l'ordre dans lequel vous répertoriez les
clés
dans votre mappage d'attributs est important. Voir les rubriques et exemples de mappage d'attributs individuels pour trouver des nuances parmi la syntaxe de mappage d'attributs de plug-in de consultation.Pour effectuer une consultation, vous devez mapper au moins une clé de paramètre de consultation à un champ dans votre source de données externe. Chaque groupe de paramètres de consultation que vous activez est une requête distincte de base de données pour activer le serveur Enforce. Des requêtes de base de données sont exécutées pour chaque incident avant consultation. Afin d'éviter une baisse des performances en raison de requêtes de bases de données inutiles, n'activez que les groupes d'attributs dont vos plug-ins de consultation ont besoin.
Le plug-in arrêtant la recherche dès qu'il trouve la première paire valeur-clé de paramètre de consultation correspondante, l'ordre dans lequel vous répertoriez les valeurs
keys
dans votre mappage d'attributs est important. Voir les exemples de mappage d'attributs pour le type spécifique de plug-in que vous implémentez.