Présentation de Data Parser

Editer en ligne

Au lieu de créer manuellement un type de source de données pour corriger les problèmes d'analyse syntaxique ou étendre la prise en charge des nouveaux types de source de journal, utilisez le Data Parser. Le Data Parser fournit différentes vues de vos données. Vous utilisez Data Parser pour extraire et remplacer des zones.

Data Parser fournit les vues suivantes:

Editeur de contenus

La sous-fenêtre Charges affiche les données d'événement brutes. Utilisez des exemples de contenu d'événement pour tester le comportement du type de source de données, puis le panneau Contenu affiche les données que vous capturez en temps réel.

Tous les exemples d'événements sont envoyés de l'espace de travail vers le simulateur de type de source de données , où les propriétés sont analysées et les mappes QID sont recherchées. Les résultats sont affichés dans la table de sortie d'analyse syntaxique.

Collez les données d'événement dans le panneau Charges ou éditez directement les données. Lorsque vous remplacez des propriétés dans l'onglet Propriétés , les correspondances qui se trouvent dans le contenu sont mises en évidence dans la sous-fenêtre Charges . Les propriétés système remplacées sont également mises en évidence dans le panneau Charges utiles .

Vous pouvez spécifier un délimiteur personnalisé qui facilite l'ingestion d'événements multilignes par QRadar® product . Pour vous assurer que votre événement est conservé sous la forme d'un événement multiligne, sélectionnez la case à cocher Outrepasser le délimiteur d'événements pour séparer les événements individuels via l'utilisation d'un autre caractère ou d'une suite de caractères. Par exemple, si votre configuration ingère des événements multilignes, vous pouvez ajouter un caractère spécial à la fin de chaque événement distinct dans le panneau Charges , puis identifier ce caractère spécial comme délimiteur d'événement.

QRadar product peut suggérer des expressions régulières (regex) lorsque vous entrez des données d'événement dans la sous-fenêtre Charges . Si vous n'êtes pas familiarisé avec la création d'expressions régulières, utilisez l'une des méthodes suivantes pour générer votre expression régulière.
  • Mettez en évidence le texte de contenu que vous souhaitez capturer, cliquez avec le bouton droit de la souris sur les informations, puis cliquez sur Extraire dans la nouvelle propriété ou sur Extraire dans < nom_propriété_existante>. Ensuite, dans l'onglet Propriétés , vous pouvez cliquer sur Suggérer une expression régulière pour générer une expression.
  • Remplacez une propriété existante, sélectionnez Expression régulière comme type d'expression, puis cliquez sur Suggérer une expression régulière pour générer une expression.
Si QRadar product ne peut pas générer une expression régulière appropriée pour votre exemple de données, un message système s'affiche.
Astuce: Le générateur d'expression régulière fonctionne mieux pour les zones dans les charges d'événement bien structurées. Si le contenu se compose de données complexes (langage naturel ou événements non structurés), le générateur d'expression régulière peut ne pas pouvoir l'analyser et ne renvoie alors pas de résultat.

Analyse de la table de sortie

La table de sortie d'analyse syntaxique simule la façon dont les contenus de l'espace de travail apparaissent dans l'afficheur Explorateur de données . La colonne Statut d'analyse indique si vos propriétés d'événement sont correctement analysées. Toutes les propriétés standard prises en charge sont affichées. Les zones marquées d'un astérisque (*), par exemple Event name, Severity, Low-level categoryet QID, sont renseignées à partir de la mappe QID. Les zones qui sont renseignées à partir de la mappe QID ne peuvent pas être analysées textuellement à partir des données d'événements brutes de l'espace de travail, de sorte qu'elles ne peuvent pas être définies ou éditées. Vous pouvez ajuster leurs valeurs en sélectionnant l'ID d'événement et la combinaison de catégories correspondants dans l'onglet Mappages d'événements. Cliquez ensuite sur Editer pour remapper un événement à un autre enregistrement QID existant dans le système ou à un QID nouvellement créé.

Important: Lorsqu'un événement est analysé correctement, cela signifie que Event ID et Event Category sont extraits du contenu. Définissez un Event ID pour que les propriétés système soient analysées correctement.

Cliquez sur l'icône Personnaliser les colonnes pour sélectionner les colonnes à afficher ou à masquer dans la table de sortie d'analyse syntaxique et pour réorganiser les colonnes.

Propriétés

L'onglet Propriétés contient l'ensemble des propriétés système qui constituent une configuration de type de source de données . Vous pouvez remplacer une propriété en activant l'option Remplacer et en définissant l'expression.
Astuce: Toutes les propriétés ne peuvent pas être remplacées. Si vous tentez de remplacer une propriété qui ne peut pas être remplacée, un message s'affiche dans l'onglet Propriétés .

Les correspondances dans le contenu sont mises en évidence dans les données d'événement qui se trouvent dans le panneau Charges . La couleur de mise en évidence dépend du type d'informations que vous capturez. Par exemple, la mise en évidence en vert clair indique une correspondance de groupe de capture tandis que la mise en évidence en vert foncé indique une correspondance réelle. La mise en évidence orange indique que la correspondance est ambiguë, ce qui signifie que la valeur analysée est connue mais que l'emplacement de la valeur dans le contenu est inconnu. Lorsque vous sélectionnez et mettez en évidence manuellement le texte, la mise en évidence est violette.

Les commentaires dans la sous-fenêtre Charges indiquent si vous disposez de l'expression régulière correcte. Si une expression est mise en évidence, la mise en évidence dans la sous-fenêtre Charges reflète uniquement ce que cette expression peut correspondre.

Dans la zone Chaîne de format, les groupes de capture sont représentés à l'aide de la notation $<number>. Par exemple, $ 0 représente une correspondance réelle ; $ 1 représente le premier groupe de capture de l'expression régulière, $ 2 représente le deuxième groupe de capture, etc.

Vous pouvez ajouter plusieurs expressions à une même propriété et affecter une priorité en faisant glisser les expressions et en les déposant en haut de la liste.

Onglet Mappages d'événements

L'onglet Mappages d'événements affiche tous les ID d'événement et les combinaisons de catégories existant dans le système pour un type de source de journal sélectionné. Si un nouveau mappage d'événements est créé, il est ajouté à la liste des combinaisons d'ID d'événement et de catégories qui s'affiche dans l'onglet Mappages d'événements. En général, l'onglet Mappages d'événements affiche tous les ID d'événement et les combinaisons de catégories ainsi que les enregistrements QID auxquels ils sont mappés.