Data Parser panoramica

Modifica in linea

Invece di creare manualmente un tipo di origine dati per correggere problemi di analisi o estendere il supporto per nuovi tipi di origine log, utilizzare Data Parser. Data Parser fornisce diverse viste dei tuoi dati. Utilizzare Data Parser per estrarre e sovrascrivere i campi.

Data Parser fornisce le seguenti viste:

Editor payload

Il riquadro Payload mostra i dati evento non elaborati. Utilizzare i payload di eventi di esempio per verificare il comportamento del tipo di origine dati, quindi il pannello Payload mostra i dati che si acquisiscono in tempo reale.

Tutti gli eventi di esempio vengono inviati dallo spazio di lavoro al simulatore tipo di origine dati , dove le proprietà vengono analizzate e le mappe QID vengono ricercate. I risultati vengono visualizzati nella tabella di output dell'analisi.

Incollare i dati evento nel pannello Payload o modificare i dati direttamente. Quando si sovrascrivono le proprietà nella scheda Proprietà , le corrispondenza presenti nel payload vengono evidenziate nel riquadro Payload . Le proprietà di sistema sovrascritte vengono evidenziate anche nel riquadro Payload .

È possibile specificare un delimitatore personalizzato che facilita l'inserimento degli eventi a più righe da parte di QRadar® product . Per garantire che l'evento venga mantenuto intatto come un singolo evento a più righe, selezionare la check box Sovrascrivi delimitatore evento per separare i singoli eventi in base a un altro carattere o a una sequenza di caratteri. Ad esempio, se la tua configurazione sta inserendo eventi a più righe, puoi aggiungere un carattere speciale alla fine di ogni evento distinto nel pannello Payloads e quindi identificare questo carattere speciale come delimitatore dell'evento.

QRadar product può suggerire espressioni regolari (regex) quando si immettono i dati evento nel pannello Payload . Se non si ha familiarità con la creazione di espressioni regex, utilizzare uno dei seguenti metodi per generare l'espressione regex.
  • Evidenziare il testo del payload che si desidera catturare, fare clic con il tasto destro del mouse sulle informazioni e fare clic su Estrai nella nuova proprietà o su Estrai in < nome_proprietà_esistente>. Quindi, nella scheda Proprietà , è possibile fare clic su Suggerisci regex per creare un'espressione.
  • Sovrascrivere una proprietà esistente, selezionare Regex come tipo di espressione e fare clic su Suggerisci regex per generare un'espressione.
Se QRadar product non è in grado di generare una regex adatta per il proprio campione di dati, viene visualizzato un messaggio di sistema.
Suggerimento: il generatore regex funziona meglio per i campi in payload di eventi ben strutturati. Se il tuo payload è costituito da dati complessi dal linguaggio naturale o da eventi non strutturati, il generatore regex potrebbe non essere in grado di analizzarli e non restituisce un risultato.

Analisi della tabella di output

La tabella di output di analisi simula come vengono visualizzati i payload nello spazio di lavoro nel visualizzatore Esplora dati . La colonna Stato dell'analisi indica se le proprietà dell'evento sono state anate correttamente. Viene visualizzata ogni proprietà standard supportata. I campi contrassegnati con un asterisco (*), ad esempio Event name, Severity, Low-level categorye QID, vengono popolati dalla mappa QID. I campi popolati dalla mappa QID non possono essere analizzati alla lettera dai dati di eventi non elaborati nello spazio di lavoro, quindi non possono essere definiti o modificati. È possibile modificare i loro valori selezionando la combinazione di ID evento e categoria corrispondente dalla scheda Associazioni evento . Quindi, fare clic su Modifica per riassociare un evento a un record QID differente esistente nel sistema o a un QID appena creato.

Importante: quando un evento viene analizzato correttamente, significa che Event ID e Event Category sono estratti dal payload. Impostare un Event ID in modo che le proprietà di sistema vengano analizzate correttamente.

Fare clic sull'icona Personalizza colonne per selezionare le colonne da visualizzare o nascondere nella tabella di output di analisi e per riordinare le colonne.

Proprietà

La scheda Proprietà contiene la serie di proprietà di sistema che costituiscono la configurazione di un tipo di origine dati . È possibile sovrascrivere una proprietà abilitando l'opzione Sovrascrivi e definendo l'espressione.
Suggerimento: non è possibile sovrascrivere tutte le proprietà. Se si tenta di sovrascrivere una proprietà che non può essere sovrascritta, viene visualizzato un messaggio nella scheda Proprietà .

Le corrispondenze nel payload vengono evidenziate nei dati evento che si trovano nel riquadro Payload . Il colore di evidenziazione dipende dal tipo di informazioni catturate. Ad esempio, l'evidenziazione verde chiaro indica una corrispondenza del gruppo di acquisizione mentre l'evidenziazione verde scuro indica una corrispondenza vera. L'evidenziazione arancione indica che la corrispondenza è ambigua, il che significa che il valore analizzato è noto ma l'ubicazione del valore nel payload non è nota. Quando si seleziona e si evidenzia manualmente il testo, l'evidenziazione è viola.

Il feedback nel riquadro Payload mostra se si dispone dell'espressione regolare corretta. Se un'espressione è attiva, l'evidenziazione nel riquadro Payload riflette solo ciò che può corrispondere a tale espressione.

Nel campo Stringa formato , i gruppi di cattura sono rappresentati utilizzando la notazione $< numero> . Ad esempio, $0 rappresenta una corrispondenza reale; $1 rappresenta il primo gruppo di acquisizione dall'espressione regolare, $2 è il secondo gruppo di acquisizione e così via.

È possibile aggiungere più espressioni alla stessa proprietà e assegnare la precedenza trascinando e rilasciando le espressioni all'inizio dell'elenco.

Scheda Associazioni evento

La scheda Associazioni evento visualizza tutte le combinazioni di ID evento e categoria presenti nel sistema per un tipo di origine log selezionato. Se viene creata una nuova associazione eventi, questa viene aggiunta all'elenco di combinazioni di ID evento e categoria che viene visualizzato nella scheda Associazioni eventi . In generale, la scheda Associazioni evento visualizza tutte le combinazioni di ID evento e categoria e i record QID a cui sono associate.