Использование полей расширенной схемы событий в нормализаторах

При использовании полей расширенной схемы событий сохраняется общее ограничение для максимального размера события обрабатываемого коллектором – 4 МБ. Информация о типах полей расширенной схемы событий приведена в таблице ниже (пункт 6 инструкции).

Использование значительного количества уникальных полей расширенной схемы событий может привести к снижению производительности системы, увеличению объема дискового пространства, необходимого для хранения событий и сложности восприятия данных.

Мы рекомендуем предварительно продумать и сформировать минимально необходимый набор дополнительных полей расширенной схемы событий и использовать его в нормализаторах и корреляции.

Чтобы использовать поля расширенной схемы событий:

1. Откройте существующий или создайте новый нормализатор.
2. Заполните основные параметры нормализатора.
3. Нажмите на кнопку Добавить строку.
4. В параметре Исходные данные укажите название исходного поля в сыром событии.
5. В параметре Поле KUMA начните вводить имя поля расширенной схемы событий и выберите нужное поле в раскрывающемся списке.

   Поля расширенной схемы событий в раскрывающемся списке имеют имя в формате <тип>.<имя поля>.

6. Нажмите на кнопку Сохранить для сохранения нормализатора событий.

Нормализатор сохранен с выбранным полем расширенной схемы событий.

Если данные, находящиеся в полях сырого события, не соответствуют типу поля KUMA, в процессе нормализации событий значение не будет сохранено, если невозможно выполнить преобразование типов данных. Например, строка test не может быть помещена в числовое поле KUMA DeviceCustomNumber1.

С точки зрения нагрузки на сервер хранения при операциях поиска событий, подготовки отчетов и других операций с событиями в хранилище наиболее предпочтительными являются поля схемы событий KUMA, после чего идут поля расширенной схемы событий, затем поля Extra.