ルックアッププロセッサーを使用して、イベント属性と[リファレンステーブル][7] またはプロセッサーマッピングテーブルに保存された人間が読める値との間のマッピングを定義することができます。

たとえば、ルックアッププロセッサーを使用することで、CMDB からの情報でイベントをリッチ化することができます。また、このプロセッサーで本番環境に接続を試みた MAC アドレスと盗難に遭ったマシンのリストを照合し、接続元をチェックすることが可能です。

ルックアッププロセッサーは、以下の動作を行います。

• 現在のイベントにソース属性が含まれているかを確認する。
• ソース属性の値がマッピングテーブルに存在するかをチェックする。
• 存在する場合、テーブルにターゲット属性を作成し、対応する値を割り当てる。
• オプションとして、マッピングテーブルで値が見つからなかった場合、fallbackValue フィールドにデフォルトのフォールバック値を設定したターゲット属性を作成します。Manual Mapping タブでは、source_key,target_value ペアのリストを手動で入力するか、CSV ファイルをアップロードすることができます。

Manual Mapping

Reference Table

マッピングテーブルのサイズ上限は 100Kb です。この制限はプラットフォーム上のすべてのルックアッププロセッサーに適用されます。しかし、リファレンステーブルはより大容量のファイルサイズをサポートしています。