Buscador de coincidencias de pares de nombre y valor (namevaluepair-matcher)

field (Necesario)

El campo al que desea aplicar el patrón; por ejemplo, EventName o SourceIp. Puede utilizar cualquiera de los nombres de campo que se listan en la Tabla 2.

pattern-id (Necesario)

El patrón que desea utilizar cuando el campo se analice desde la carga útil. Este valor debe coincidir (incluidas las mayúsculas y minúsculas) con el parámetro de ID de un patrón ya definido. (Tabla 1)

order (Necesario)

El orden en el que desea que se intente este patrón entre los buscadores de coincidencias que están asignados al mismo campo. Si se asignan dos coincidentes al campo EventName , primero se intentará el que tenga el orden más bajo.

Las coincidencias regulares de expresión regular, JSON, LEEF y CEF se combinan en una lista. Los distintos tipos de coincidentes se intentan en función de sus pedidos y el proceso se detiene cuando uno de los coincidentes puede analizar los datos de la carga útil.

enable-substitutions (Opcional)

Booleano

Cuando se establece en true, un campo no se puede representar adecuadamente con una captura de grupo recta. Puede combinar varios grupos con texto adicional para formar un valor.

El valor predeterminado es false.

ext-data (Opcional)

Un parámetro de datos adicionales que define cualquier información o formato de campo adicional que un campo de buscador de coincidencias puede proporcionar en la extensión.

El único campo que utiliza actualmente este parámetro es DeviceTime.

Por ejemplo, puede tener un dispositivo que envía sucesos mediante una indicación de fecha y hora exclusiva, pero desea reformatear el suceso con una hora de dispositivo estándar. Utilice el parámetro ext-data incluido en el campo DeviceTime para reformatear la indicación de fecha y hora del suceso. Para obtener más información, consulte la Tabla 2.

delimiter-pair (Opcional)

delimiter-namevalue (Opcional)