Espressioni in formato LEEF per dati strutturati

I dati strutturati in formato LEEF contengono una o più proprietà, rappresentate come coppie chiave - valore.

Informazioni su questa attività

È possibile estrarre le proprietà da un evento presentato in formato LEEF scrivendo un'espressione LEEF che corrisponde alla proprietà. Le espressioni LEEF valide sono nel formato di un singolo riferimento alla chiave o di un riferimento al campo intestazione LEEF speciale.

Ad esempio, si dispone di un evento formattato in LEEF V1.0, come:

LEEF:1.0|ABC Company|SystemDefender|1.13|console_login|devTimeFormat=yyyy-MM-dd'T'HH:mm:ss.SSSZ	
devTime=2017-10-18T11:26:03.060+0200	usrName=flastname	name=Firstname Lastname	
authType=interactivePassword	src=192.168.0.1
o un evento formattato in LEEF V2.0 con il carattere di separazione caret (^), come:
LEEF:2.0|ABC Company|SystemDefender|1.13|console_login|^|devTimeFormat=yyyy-MMdd'T'HH:mm:ss.SSSZ^
devTime=2017-10-18T11:26:03.060+0200^usrName=flastname^name=Firstname Lastname
^authType=interactivePassword^src=192.168.0.1

È possibile estrarre una proprietà o una proprietà della chiave di intestazione dall'evento scegliendo uno dei seguenti metodi:

Procedura

  1. Per estrarre la proprietà 'usrName', inserire usrName nel campo LEEF Key.

    Le chiavi possibili che possono essere estratte sono:

    • devTimeFormat
    • devTime
    • usrName
    • nome
    • authType
    • src
  2. Per estrarre una proprietà della chiave di intestazione, immettere la chiave nel formato seguente nel campo Chiave LEEF :
    $eventid$
    I valori di intestazione LEEF possono essere estratti utilizzando le seguenti espressioni:
    • $leefversion$
    • $vendor$
    • $product$
    • $versione$
    • $eventid$