› › ›

运行连接器 API

编辑

运行连接器 API编辑

通过 ID 运行连接器。

有关最新 API 详细信息，请参阅开放 API 规范。

请求编辑

POST <kibana 主机>:<端口>/api/actions/connector/<id>/_execute

POST <kibana 主机>:<端口>/s/<空间 ID>/api/actions/connector/<id>/_execute

先决条件编辑

您必须对 操作和连接器 功能具有 read 权限，该功能位于管理部分的 Kibana 功能权限中。

如果您使用索引连接器，您还必须具有 all、create、index 或 write 索引权限。

描述编辑

您可以使用此 API 测试涉及与 Kibana 服务交互或与第三方系统集成的操作。

路径参数编辑

id: (必需，字符串) 连接器的 ID。
space_id: (可选，字符串) 空间的标识符。如果 URL 中未提供 space_id，则使用默认空间。

请求正文编辑

params

(必需，对象) 连接器的参数。参数属性因连接器类型而异。有关参数属性的信息，请参阅 连接器。

Params 属性

电子邮件连接器

bcc: (可选，字符串数组) “密件抄送”电子邮件地址列表。地址可以以 user@host-name 格式或名称 <user@host-name> 格式指定。
cc: (可选，字符串数组) “抄送”电子邮件地址列表。地址可以以 user@host-name 格式或名称 <user@host-name> 格式指定。
message: (必需，字符串) 电子邮件消息文本。支持 Markdown 格式。
subject: (必需，字符串) 电子邮件的主题行。
to: (必需^*，字符串数组) 电子邮件地址列表。地址可以以 user@host-name 格式或名称 <user@host-name> 格式指定。在 to、cc 或 bcc 中必须至少有一个收件人。

有关更多信息，请参阅电子邮件。

索引连接器

documents: (必需，对象数组) 要以 JSON 格式索引的文档。

有关更多信息，请参阅索引。

Jira 连接器

subAction

(必需，字符串) 要测试的操作。有效值包括：fieldsByIssueType、getFields、getIncident、issue、issues、issueTypes 和 pushToService。

subActionParams

(必需^*，对象) 配置属性集，具体取决于 subAction 值。当 subAction 为 getFields 或 issueTypes 时，此对象不是必需的。

当 subAction 为 fieldsByIssueType 时的属性

id: (必需，字符串) Jira 问题类型标识符。例如，10024。

当 subAction 为 getIncident 时的属性

externalId: (必需，字符串) Jira 问题标识符。例如，71778。

当 subAction 为 issue 时的属性

id: (必需，字符串) Jira 问题标识符。例如，71778。

当 subAction 为 issues 时的属性

title: (必需，字符串) Jira 问题的标题。

当 subAction 为 pushToService 时的属性

comments

(可选，对象数组) 发送到 Jira 的附加信息。

comments 的属性

comment: (字符串) 与事件相关的评论。例如，描述如何解决问题。
commentId: (整数) 评论的唯一标识符。

incident

(必需，对象) 创建或更新 Jira 事件所需的信息。

incident 的属性

description: (可选，字符串) 事件的详细信息。
externalId: (可选，字符串) Jira 问题标识符。如果存在，则更新事件。否则，将创建一个新事件。
labels: (可选，字符串数组) 事件的标签。例如，["LABEL1"]。注意：标签不能包含空格。
issueType: (可选，整数) 事件类型。例如，10006。要获取有效值的列表，请将 subAction 设置为 issueTypes。
parent: (可选，字符串) 父问题的 ID 或键。仅适用于 子任务 类型的事件。
priority: (可选，字符串) 事件优先级级别。例如，最低。
summary: (必需，字符串) 事件的摘要。
title: (可选，字符串) 事件的标题，用于搜索知识库的内容。

有关更多信息，请参阅 Jira。

Opsgenie 连接器

subAction

(必需，字符串) 要测试的操作。有效值包括：createAlert 和 closeAlert。

subActionParams

(必需，对象) 配置属性集，具体取决于 subAction 值。

当 subAction 为 createAlert 时的属性

actions

(可选，字符串数组) 警报可用的自定义操作。

alias

(可选，字符串) 用于在 Opsgenie 中对警报进行重复数据删除的唯一标识符。

description

(可选，字符串) 提供有关警报的详细信息的描述。

details

(可选，对象) 警报的自定义属性。例如：{"key1":"value1","key2":"value2"}。

entity

(可选，字符串) 警报的域。例如，应用程序或服务器名称。

message

(必需，字符串) 警报消息。

note

(可选，字符串) 警报的附加信息。

priority

(可选，字符串) 警报的优先级级别。有效值为：P1、P2、P3、P4 和 P5。

responders

(可选，对象数组) 将接收有关警报通知的实体。如果 type 为 user，则需要 id 或 username。如果 type 为 team，则需要 id 或 name。

responders 对象的属性

id: (必需^*，字符串) 实体的标识符。
name: (必需^*，字符串) 实体的名称。
type: (必需，字符串) 有效值为 escalation、schedule、team 和 user。
username: (必需^*，字符串) 用户的有效电子邮件地址。

source

(可选，字符串) 警报源的显示名称。

tags

(可选，字符串数组) 警报的标签。

user

(可选，字符串) 所有者的显示名称。

visibleTo

(可选，对象数组) 警报将对哪些团队和用户可见，而无需发送通知。仅需要 id、name 或 username 之一。

visibleTo 对象的属性

id: (必需^*，字符串) 实体的标识符。
name: (必需^*，字符串) 实体的名称。
type: (必需，字符串) 有效值为 team 和 user。
username: (必需^*，字符串) 用户名。此属性仅在 type 为 user 时才需要。

当 subAction 为 closeAlert 时的属性

alias: (必需，字符串) 用于在 Opsgenie 中对警报进行重复数据删除的唯一标识符。别名必须与创建警报时使用的值匹配。
note: (可选，字符串) 警报的附加信息。
source: (可选，字符串) 警报源的显示名称。
user: (可选，字符串) 所有者的显示名称。

有关更多信息，请参阅 Opsgenie。

ServiceNow ITOM 连接器

subAction

(必需，字符串) 要测试的操作。有效值包括：addEvent 和 getChoices。

subActionParams

(必需^*，对象) 配置属性集，具体取决于 subAction 值。

当 subAction 为 addEvent 时的属性

additional_info: (可选，字符串) 有关事件的附加信息。
description: (可选，字符串) 事件的详细信息。
event_class: (可选，字符串) 源的特定实例。
message_key: (可选，字符串) 共享此键的所有操作都与同一个 ServiceNow 警报相关联。默认值为 <规则 ID>:<警报实例 ID>。
metric_name: (可选，字符串) 指标的名称。
node: (可选，字符串) 为其触发事件的主机。
resource: (可选，字符串) 资源的名称。
severity: (可选，字符串) 事件的严重程度。
source: (可选，字符串) 事件源类型的名称。
time_of_event: (可选，字符串) 事件的时间。
type: (可选，字符串) 事件的类型。

当 subAction 为 getChoices 时的属性

fields: (必需，字符串数组) 字段数组。例如，["severity"]。

ServiceNow ITSM 连接器

subAction

(必需，字符串) 要测试的操作。有效值包括：getFields、getIncident、getChoices 和 pushToService。

subActionParams

(必需^*，对象) 配置属性集，具体取决于 subAction 值。当 subAction 为 getFields 时，此对象不是必需的。

当 subAction 为 getChoices 时的属性

fields: (必需，字符串数组) 字段数组。例如，["category","impact"]。

当 subAction 为 getIncident 时的属性

externalId: (必需，字符串) ServiceNow ITSM 问题标识符。

当 subAction 为 pushToService 时的属性

comments

(可选，对象数组) 发送到 ServiceNow ITSM 的附加信息。

comments 的属性

comment: (字符串) 与事件相关的评论。例如，描述如何解决问题。
commentId: (整数) 评论的唯一标识符。

incident

(必填，对象) 创建或更新 ServiceNow ITSM 事件所需的的信息。

incident 的属性

类别: (可选，字符串) 事件的类别。
关联显示: (可选，字符串) 用于在 ServiceNow 中进行关联的警报的描述性标签。
关联 ID: (可选，字符串) 安全事件的关联标识符。使用相同关联 ID 的连接器与同一个 ServiceNow 事件相关联。此值决定是创建新的 ServiceNow 事件还是更新现有事件。修改此值是可选的；如果未修改，则规则 ID 和警报 ID 将组合为 {{ruleID}}:{{alert ID}} 以在 ServiceNow 中形成关联 ID 值。此值的字符长度最大为 100 个字符。

使用 {{ruleID}}:{{alert ID}} 的默认配置可确保 ServiceNow 为每个使用唯一警报 ID 生成的警报创建单独的事件记录。如果规则生成使用相同警报 ID 的多个警报，ServiceNow 将为该警报创建并持续更新单个事件记录。
description: (可选，字符串) 事件的详细信息。
externalId: (可选，字符串) ServiceNow ITSM 问题标识符。如果存在，则更新事件。否则，将创建一个新的事件。
影响: (可选，字符串) ServiceNow ITSM 中的影响。
severity: (可选，字符串) 事件的严重程度。
简短描述: (必填，字符串) 事件的简短描述，用于搜索知识库的内容。
子类别: (可选，字符串) ServiceNow ITSM 中的子类别。
紧急程度: (可选，字符串) ServiceNow ITSM 中的紧急程度。

ServiceNow SecOps 连接器

subAction

(必需，字符串) 要测试的操作。有效值包括：getFields、getIncident、getChoices 和 pushToService。

subActionParams

(必需^*，对象) 配置属性集，具体取决于 subAction 值。当 subAction 为 getFields 时，此对象不是必需的。

当 subAction 为 getChoices 时的属性

fields: (必填，字符串数组) 字段数组。例如，["priority","category"]。

当 subAction 为 getIncident 时的属性

externalId: (必填，字符串) ServiceNow SecOps 问题标识符。

当 subAction 为 pushToService 时的属性

comments

(可选，对象数组) 发送到 ServiceNow SecOps 的附加信息。

comments 的属性

comment: (字符串) 与事件相关的评论。例如，描述如何解决问题。
commentId: (整数) 评论的唯一标识符。

incident

(必填，对象) 创建或更新 ServiceNow SecOps 事件所需的的信息。

incident 的属性

类别: (可选，字符串) 事件的类别。
关联显示: (可选，字符串) 用于在 ServiceNow 中进行关联的警报的描述性标签。
关联 ID: (可选，字符串) 安全事件的关联标识符。使用相同关联 ID 的连接器与同一个 ServiceNow 事件相关联。此值决定是创建新的 ServiceNow 事件还是更新现有事件。修改此值是可选的；如果未修改，则规则 ID 和警报 ID 将组合为 {{ruleID}}:{{alert ID}} 以在 ServiceNow 中形成关联 ID 值。此值的字符长度最大为 100 个字符。

使用 {{ruleID}}:{{alert ID}} 的默认配置可确保 ServiceNow 为每个使用唯一警报 ID 生成的警报创建单独的事件记录。如果规则生成使用相同警报 ID 的多个警报，ServiceNow 将为该警报创建并持续更新单个事件记录。
description: (可选，字符串) 事件的详细信息。
目标 IP: (可选，字符串或字符串数组) 与安全事件相关的目标 IP 地址列表。这些 IP 将作为可观察对象添加到安全事件中。
externalId: (可选，字符串) ServiceNow SecOps 问题标识符。如果存在，则更新事件。否则，将创建一个新的事件。
恶意软件哈希: (可选，字符串或字符串数组) 与安全事件相关的恶意软件哈希列表。这些哈希将作为可观察对象添加到安全事件中。
恶意软件 URL: (可选，字符串或字符串数组) 与安全事件相关的恶意软件 URL 列表。这些 URL 将作为可观察对象添加到安全事件中。
priority: (可选，字符串) 事件的优先级。
简短描述: (必填，字符串) 事件的简短描述，用于搜索知识库的内容。
源 IP: (可选，字符串或字符串数组) 与安全事件相关的源 IP 地址列表。这些 IP 将作为可观察对象添加到安全事件中。
子类别: (可选，字符串) 事件的子类别。

服务器日志连接器

级别: (可选，字符串) 消息的日志级别：trace、debug、info、warn、error 或 fatal。默认为 info。
message: (必填，字符串) 要记录的消息。

Slack 连接器

message: (必填^*，字符串) Slack 消息文本，不能包含 Markdown、图像或其他高级格式。仅当连接器类型为 .slack 时适用。
subAction: (必填^*，字符串) 要测试的操作。仅当连接器类型为 .slack_api 时适用。有效值包括：postMessage、validChannelId。

subActionParams

(必需，对象) 配置属性集，具体取决于 subAction 值。

当 subAction 为 postMessage 时的属性

频道 ID: (可选，字符串数组) Slack 频道标识符，必须是连接器配置中允许的频道之一。
频道: (可选，字符串数组) Slack 应用程序有权访问的频道的名称。 [8.12.0] 在 8.12.0 中已弃用。
文本: (可选，字符串) Slack 消息文本，不能包含 Markdown、图像或其他高级格式。

当 subAction 为 validChannelId 时的属性

频道 ID: (必填，字符串) Slack 频道标识符。例如，C123ABC456。

Swimlane 连接器

subAction

(必填，字符串) 要测试的操作。它必须是 pushToService。

subActionParams

(必填，对象) 配置属性集。

subActionParams 的属性

comments

(可选，对象数组) 发送到 Swimlane 的附加信息。

comments 对象的属性

comment: (字符串) 与事件相关的评论。例如，描述如何解决问题。
commentId: (整数) 评论的唯一标识符。

incident

(必填，对象) 创建或更新 Swimlane 事件所需的的信息。

incident 的属性

警报 ID: (可选，字符串) 警报标识符。
案例 ID: (可选，字符串) 事件的案例标识符。
案例名称: (可选，字符串) 事件的案例名称。
description: (可选，字符串) 事件的描述。
规则名称: (可选，字符串) 规则名称。
severity: (可选，字符串) 事件的严重程度。

响应代码编辑

200: 表示成功调用。

示例编辑

运行索引连接器

POST api/actions/connector/c55b6eb0-6bad-11eb-9f3b-611eebc6c3ad/_execute
{
  "params": {
    "documents": [
      {
        "id": "test_doc_id",
        "name": "test_doc_name",
        "message": "hello, world"
      }
    ]
  }
}

API 返回以下内容

{
  "status": "ok",
  "data": {
    "took": 10,
    "errors": false,
    "items": [
      {
        "index": {
          "_index": "test-index",
          "_id": "iKyijHcBKCsmXNFrQe3T",
          "_version": 1,
          "result": "created",
          "_shards": {
            "total": 2,
            "successful": 1,
            "failed": 0
          },
          "_seq_no": 0,
          "_primary_term": 1,
          "status": 201
        }
      }
    ]
  },
  "connector_id": "c55b6eb0-6bad-11eb-9f3b-611eebc6c3ad"
}

运行服务器日志连接器

POST api/actions/connector/7fc7b9a0-ecc9-11ec-8736-e7d63118c907/_execute
{
  "params": {
    "level": "warn",
    "message": "Test warning message"
  }
}

API 返回以下内容

{"status":"ok","connector_id":"7fc7b9a0-ecc9-11ec-8736-e7d63118c907"}

检索 Jira 连接器的事件类型列表

POST api/actions/connector/b3aad810-edbe-11ec-82d1-11348ecbf4a6/_execute
{
  "params": {
    "subAction": "issueTypes"
  }
}

API 返回以下内容

{
  "status":"ok",
  "data":[
    {"id":"10024","name":"Improvement"},{"id":"10006","name":"Task"},
    {"id":"10007","name":"Sub-task"},{"id":"10025","name":"New Feature"},
    {"id":"10023","name":"Bug"},{"id":"10000","name":"Epic"}
  ],
  "connector_id":"b3aad810-edbe-11ec-82d1-11348ecbf4a6"
}

创建然后更新 Swimlane 事件

POST api/actions/connector/a4746470-2f94-11ed-b0e0-87533c532698/_execute
{
  "params":{
    "subAction":"pushToService",
    "subActionParams":{
      "incident":{
        "description":"Description of the incident",
        "caseName":"Case name",
        "caseId":"1000"
      },
      "comments":[
        {"commentId":"1","comment":"A comment about the incident"}
      ]
    }
  }
}

POST api/actions/connector/a4746470-2f94-11ed-b0e0-87533c532698/_execute
{
  "params":{
    "subAction":"pushToService",
    "subActionParams":{
      "incident":{
        "caseId":"1000",
        "caseName":"A new case name"
      }
    }
  }
}

检索 ServiceNow ITOM 连接器的选择列表

POST api/actions/connector/9d9be270-2fd2-11ed-b0e0-87533c532698/_execute
{
  "params": {
    "subAction": "getChoices",
    "subActionParams": {
      "fields": [ "severity","urgency" ]
    }
  }
}

API 返回严重程度和紧急程度选择，例如

{
  "status": "ok",
  "data":[
    {"dependent_value":"","label":"Critical","value":"1","element":"severity"},
    {"dependent_value":"","label":"Major","value":"2","element":"severity"},
    {"dependent_value":"","label":"Minor","value":"3","element":"severity"},
    {"dependent_value":"","label":"Warning","value":"4","element":"severity"},
    {"dependent_value":"","label":"OK","value":"5","element":"severity"},
    {"dependent_value":"","label":"Clear","value":"0","element":"severity"},
    {"dependent_value":"","label":"1 - High","value":"1","element":"urgency"},
    {"dependent_value":"","label":"2 - Medium","value":"2","element":"urgency"},
    {"dependent_value":"","label":"3 - Low","value":"3","element":"urgency"}],
  "connector_id":"9d9be270-2fd2-11ed-b0e0-87533c532698"
}

« 列出连接器类型 API 更新连接器 API »