Comparateur XML (xml-matcher)

field (obligatoire)

Zone à laquelle vous souhaitez appliquer le modèle, par exemple, EventName ou SourceIp. Vous pouvez utiliser n'importe quel nom de zone répertorié dans le tableau 2.

pattern-id (obligatoire)

Motif que vous souhaitez utiliser lorsque le champ est analysé à partir du contenu. Cette valeur doit correspondre (casse incluse) au paramètre d'ID d'un modèle déjà défini. (Tableau 1)

order (obligatoire)

Ordre dans lequel vous souhaitez que ce motif fasse des tentatives parmi les comparateurs qui sont affectés à un même champ. Si deux comparateurs sont affectés à la zone EventName, celui dont l'ordre est le plus bas est essayé en premier.

Les comparateurs d'expressions régulières normales, JSON, LEEF et CEF sont regroupés en une seule liste. Les différents types de comparateur sont essayés en fonction de leurs ordres, et le processus s'arrête lorsque l'un des comparateurs est capable d'analyser les données du contenu utile.

enable-substitutions (facultatif)

Booléen

Lorsque vous sélectionnez true, une zone ne peut pas être correctement représentée avec une capture de groupe linéaire. Vous pouvez combiner plusieurs groupes avec le texte supplémentaire pour former une valeur.

La valeur par défaut est false.

ext-data (facultatif)

Un paramètre ext-data qui définit les informations de champ supplémentaire ou le formatage qu'un champ de comparateur peut fournir dans l'extension.

La seule zone qui utilise actuellement ce paramètre est DeviceTime.

Par exemple, vous pourriez avoir un périphérique qui envoie des événements en utilisant un horodatage unique, mais vous souhaitez que l'événement soit reformaté à une heure du périphérique standard. Utilisez le paramètre ext-data inclus avec le champ DeviceTime pour reformater la date et l'heure de l'événement. Pour plus d'informations, voir le tableau 2.