Gestion des extensions de sources de journal

Vous pouvez créer des extensions de sources de journal pour étendre ou modifier les routines d'analyse de certains périphériques.

Une extension de source journal est un fichier XML incluant tous les modèles d'expressions régulières requis pour identifier et classer les événements de la charge d'événements. Les fichiers d'extension peuvent être utilisés pour analyser les événements lorsque vous devez corriger un problème d'analyse syntaxique ou lorsque vous devez redéfinir l'analyse syntaxique par défaut d'un événement à partir d'un DSM. Si aucun DSM n'existe pour analyser les événements d'un dispositif ou d'un périphérique de sécurité dans votre réseau, une extension peut assurer la prise en charge des événements. L'onglet Activité du journal identifie trois types d'événements de sources de journal :

  • Sources de journal analysant correctement l'événement. Les événements analysés correctement sont affectés à la catégorie et au type de source de journal corrects. Dans ce cas, aucune intervention ou extension n'est requise.
  • Les sources de journal analysent les événements, mais ont une valeur Inconnu dans le paramètre Source de journal. Les événements inconnus sont des événements de source de journal où le type de source de journal est identifié, mais l'information de contenu n'est pas comprise par le DSM. Le système ne peut pas reconnaître l'identificateur de l'événement à partir de l'information disponible pour classer correctement l'événement. Dans ce cas, l'événement peut être mappé vers une catégorie ou une extension de source de journal peut être écrite pour réparer l'analyse syntaxique des événements inconnus.
  • Les sources de journal ne peuvent pas identifier le type de source de journal et ont une valeur d'événement Stocké dans le paramètre Source de journal. Pour analyser un événement correctement, vous devez mettre à jour vos fichiers DSM ou écrire une extension de source de journal. Une fois que l'événement s'analyse, vous pouvez mapper les événements.

Avant de pouvoir ajouter une extension de source de journal, vous devez créer le document d'extension. Le document d'extension est un document XML que vous pouvez créer avec n'importe quel éditeur ou outil de traitement de texte commun. Plusieurs documents d'extension peuvent être créés, téléchargés et associés à différents types de sources de journal. Le format du document d'extension doit être conforme à un document de schéma XML standard (XSD). Pour développer un document d'extension, vous devez maîtriser la codification XML et posséder une expérience correspondante.