Название поля события

Значение поля

DeviceAction

link alert to incident или unlink alert from incident

EventOutcome

succeeded или failed

SourceTranslatedAddress

Это поле содержит значение HTTP-заголовка x-real-ip или x-forwarded-for. Если эти заголовки отсутствуют, поле будет пустым.

SourceAddress

Адрес, с которого пользователь вошел в систему. Если пользователь вошел в систему с помощью прокси, будет указан прокси-адрес.

SourcePort

Порт, с которого пользователь вошел в систему. Если пользователь вошел в систему через прокси, будет указан порт на стороне прокси.

SourceUserName

Логин пользователя, который привязал алерт к инциденту или отвязал алерт от инцидента.

SourceUserID

Идентификатор пользователя, который привязал алерт к инциденту или отвязал алерт от инцидента.

ExternalID

Идентификатор инцидента.

Name

Имя инцидента.

DeviceFacility

Действие: привязать или отвязать.

DeviceCustomString1

Идентификатор алерта, который привязали или отвязали.

DeviceCustomString1Label

alert ID

DeviceCustomString2

Имя алерта, который привязали или отвязали.

DeviceCustomString2Label

alert name

Message

Если EventOutcome = failed, в этом поле будет отображаться сообщение об ошибке.

DeviceCustomString5

Идентификатор тенанта.

DeviceCustomString5Label

tenant ID

DeviceCustomString6

Название тенанта.

DeviceCustomString6Label

tenant name