CEF matcher(cef-matcher)

field (필수)

패턴을 적용하려는 필드(예제: EventName 또는 SourceIp)입니다. 표 2테이블에 나열된 필드 이름을 사용할 수 있습니다.

pattern-id (필수)

페이로드에서 필드를 구문 분석할 때 사용하려는 패턴입니다. 이 값은 이미 정의된 패턴의 ID 매개변수와 (대소문자까지) 일치해야 합니다. (표 1)

order (필수)

동일한 필드에 지정된 matcher 사이에서 이 패턴을 시도하려는 순서입니다. 두 matcher가 EventName 필드에 지정된 경우 가장 낮은 순위의 matcher가 먼저 시도됩니다.

일반 정규식, JSON, LEEF, CEF matcher는 한 목록으로 결합됩니다. 다른 유형의 matcher는 해당 순서를 기반으로 시도되며 matcher 중 하나가 페이로드에서 데이터를 구문 분석할 때 프로세스가 중지됩니다.

enable-substitutions (선택사항)

부울

true로 설정하는 경우 직선 그룹 캡처를 사용하여 필드를 충분히 표시하지 못할 수 있습니다. 다중 그룹을 추가 텍스트와 결합하여 값을 형성할 수 있습니다.

기본값은 false입니다.

ext-data (선택사항)

matcher 필드가 확장에서 제공할 수 있는 형식화 또는 추가 필드 정보를 정의하는 추가 데이터 매개변수입니다.

현재 이 매개변수를 사용하는 유일한 필드는 DeviceTime입니다.

예를 들어, 고유의 시간소인을 사용하여 이벤트를 전송하는 디바이스가 있을 수 있지만 사용자는 이벤트를 표준 디바이스 시간으로 다시 형식화하려고 합니다. DeviceTime 필드에 포함된 추가 데이터 매개변수를 사용하여 이벤트의 날짜와 시간소인을 다시 형식화하십시오. 자세한 정보는 표 2를 참조하십시오.