構造化データの XML 形式での式

XML 形式の構造化データには、1 つ以上のプロパティーが含まれています。これらのプロパティーは、キーと値のペアとして表現されます。

XML 形式で表現されたイベントからプロパティーを抽出するには、そのプロパティーと一致する式を記述します。 有効な XML 式は、単一のキー参照の形式になります。

プロパティー値を設定するための XML フィールドへのパスを入力します。 XML キー・パスの先頭には、XML オブジェクトのルートを示すスラッシュ (/) を指定し、その後ろに 1 つ以上の XML フィールド名を二重引用符で囲んで指定する必要があります。

<EPOEvent><MachineInfo><MachineName>NEPTUNE</MachineName><MachineName>VALUE23</MachineName><AgentGUID>9B-B5-A6-A8-37-B3</AgentGUID><IPAddress someattrib="someattribvalue">192.0.2.0</IPAddress><OSName>Windows 7</OSName><UserName>I am a test user</UserName></MachineInfo></EPOEvent>

最上位の OSName オブジェクトにネストされた値を取り込むには、 「式」 フィールドに /"EPOEvent"/"MachineInfo"/"OSName" と入力します。

属性値をキャプチャーするには、キー・パスの後にピリオド (.) を使用します。 例えば、 someattribvalueをキャプチャーするには、 「式」 フィールドに /"EPOEvent"/"MachineInfo"/"IPAddress".someattrib と入力します。

複数のフィールドを複数のパスと組み合わせるには、大括弧のセットを使用して、それぞれを囲みます。 例えば、{/"EPOEvent"/"MachineInfo"/"OSName"} {/"EPOEvent"/"MachineInfo"/"MachineName"[1]}

同じ名前の複数のタグ内にネストされている値をキャプチャーするには、キー・パスの後に、[0]、[1] (以降同様) を使用します。 例えば、 VALUE23をキャプチャーするには、 「式」 フィールドに /"EPOEvent"/"MachineInfo"/"MachineName"[1] と入力します。

ペイロード内の一致は、DSM エディターの「ワークスペース」のイベント・データ内で強調表示されます。