ルックアップパラメータについて
インシデントが作成されると、Enforce サーバーがインシデント属性を生成し、インシデントからキャプチャしたデータをポピュレートします。1 つ以上のインシデント属性をルックアップパラメータキーとして使用して外部データを取り込み、外部システムから取り込まれた値をカスタム属性にポピュレートします。
[ルックアップパラメータ]
画面で、ルックアッププラグインにどのルックアップパラメータを使うかを選択します。外部データソースには、実行するルックアップに少なくとも 1 つのルックアップパラメータがなければなりません。一部にはすべてのインシデントの種類用に作成される属性もありますが、その他の属性はインシデントの種類固有のものです。たとえば、インシデント属性 sender-email は SMTP インシデントに固有のものです。エンドポイントおよび発見インシデントに固有の属性には先頭に
discover-name
や endpoint-machine-name
といった識別子がついています。管理上の便宜のために、ルックアップパラメータはグループに編成されます。インシデントは、有効化された各ルックアップパラメータグループ内のすべてのルックアップパラメータを開示します。ルックアップでは、そのグループ内の一部の名前と値のペアはインシデントの種類によっては値なしとなる場合があります。たとえば、sender-email
パラメータの属性値は、発見インシデント (sender-email=null
) に対しては null です。ルックアッププラグインは、システムによって定義されたルックアップパラメータの値を変更しません。このプラグインでは、これらのパラメータはカスタム属性のルックアップとポピュレートを行うためのキーとしてのみ使われます。たとえば、ルックアッププラグインで
subject
ルックアップパラメータを使う場合、この属性の値は外部データソースのこの属性の値によって変更されることはなく、Enforce Server はルックアップ実施後にこの値を無視します。ただし、data-owner-name
と data-owner-email
は例外です。カスタム属性やその値など、これらのシステム定義インシデント属性機能は、取り込まれた値によってポピュレートされます。データソースにキーをマップする場合、プラグインは、一致する最初の値が見つかるまで、キーを順番に検索します。一致する値が見つかると、プラグインはキーの検索を停止します。プラグインは、一致する最初の値が含まれる行のデータを使って、関連するカスタム属性をポピュレートします。したがって、キー値の組み合わせは使われず、最初に見つかった値がキーになります。プラグインは一致する最初の値が見つかったら検索を停止するため、属性マッピングにリストする
keys
の順序は重要です。ルックアッププラグイン属性マッピング構文のニュアンスについては、個々の属性マッピングのトピックおよび例を参照してください。ルックアップを実行するためには、少なくとも 1 つのルックアップパラメータキーを外部データソースのフィールドにマップする必要があります。有効にする各ルックアップパラメータグループは、Enforce Server が実行する個別のデータベースクエリーです。すべてのデータベースクエリーはルックアップ前にインシデントごとに実行されます。不要なデータベースクエリによるパフォーマンスの低下を防ぐために、ルックアッププラグインが必要とする属性グループだけを有効にしてください。
プラグインは一致する最初のルックアップパラメータキーと値のペアを見つけた後で検索を停止するため、属性マップにリストする
キー
の順序が重要となります。実装するプラグインの種類に対応する属性マッピングの例を参照してください。