Название поля события

Значение поля

DeviceAction

incident created

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который создал инцидент.

SourceUserID

Идентификатор пользователя, который создал инцидент.

ExternalID

Идентификатор инцидента.

Name

Имя инцидента.

DeviceCustomString1

Имя алерта. Поле заполняется, если инцидент создан на основе алерта. Если алертов несколько, имена алертов будут указаны через запятую.

DeviceCustomString1Label

alert name

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name