Matcher(matcher)

field (필수)

패턴을 적용하려는 필드(예제: EventName 또는 SourceIp)입니다. 올바른 matcher 필드 이름 목록 테이블에 나열된 필드 이름을 사용할 수 있습니다.

pattern-id (필수)

페이로드에서 필드를 구문 분석할 때 사용하려는 패턴입니다. 이 값은 이전에 패턴 ID 매개변수 (표 1) 에 정의된 패턴의 ID 매개변수 (대소문자 포함) 와 일치해야 합니다.

order (필수)

동일한 필드에 지정된 matcher 사이에서 이 패턴을 시도하려는 순서입니다. 두 matcher가 EventName 필드에 지정된 경우 가장 낮은 순위의 matcher가 먼저 시도됩니다.

capture-group (선택사항)

정규식에서 괄호 () 안에 참조됩니다. 이러한 캡처는 1부터 시작하여 패턴에서 왼쪽에서 오른쪽으로 처리되어 인덱싱됩니다. capture-group 필드는 패턴에 포함된 캡처 그룹 수보다 작거나 같은 양의 정수여야 합니다. 기본값은 0이며 전체 일치를 의미합니다.

예를 들어, 소스 IP 주소와 포트에 대해 단일 패턴을 정의할 수 있습니다. 이 경우 SourceIp matcher가 캡처 그룹 1을 사용할 수 있고 SourcePort matcher가 캡처 그룹 2를 사용할 수 있지만 패턴은 하나만 정의해야 합니다.

enable-substitutions 매개변수와 결합되는 경우 이 필드는 이중의 용도를 갖습니다.

예제를 보려면 확장 문서 예제를 검토하십시오.

enable-substitutions (선택사항)

부울

true로 설정하는 경우 직선 그룹 캡처를 사용하여 필드를 충분히 표시하지 못할 수 있습니다. 다중 그룹을 추가 텍스트와 결합하여 값을 형성할 수 있습니다.

이 매개변수는 capture-group 매개변수의 의미를 변경합니다. capture-group 매개변수는 새 값을 작성하고 그룹 대체는 \x를 사용하여 지정됩니다. 여기서 x는 그룹 번호 1 - 9입니다. 그룹을 여러 번 사용할 수 있으며 자유 형식 텍스트를 값에 삽입할 수도 있습니다. 예를 들어, 그룹 1, 밑줄, 그룹 2, @, 그룹 1의 순서로 값을 형성하려는 경우 적절한 캡처-그룹 구문은 다음 코드와 같습니다.

capture-group=”\1_\2@\1”

다른 예에서 MAC 주소는 콜론으로 구분되지만 QRadar에서 MAC 주소는 일반적으로 하이픈으로 구분됩니다. 개별적인 부분을 구문 분석하고 캡처하는 구문은 다음 예제에서 표시됩니다.

capture-group=”\1:\2:\3:\4:\5:\6”

대체가 사용될 때 캡처-그룹에 그룹을 지정하지 않으면 직접 텍스트 교체가 발생합니다.

기본값은 false입니다.

ext-data (선택사항)

matcher 필드가 확장에서 제공할 수 있는 형식화 또는 추가 필드 정보를 정의하는 추가 데이터 매개변수입니다.

현재 이 매개변수를 사용하는 유일한 필드는 DeviceTime입니다.

예를 들어, 고유의 시간소인을 사용하여 이벤트를 전송하는 디바이스가 있을 수 있지만 사용자는 이벤트를 표준 디바이스 시간으로 다시 형식화하려고 합니다. DeviceTime 필드에 포함된 추가 데이터 매개변수를 사용하여 이벤트의 날짜와 시간소인을 다시 형식화하십시오. 자세한 정보는 올바른 매처 필드 이름 목록을 참조하십시오.

EventName(필수)

이벤트를 식별하기 위해 QID에서 검색하는 이벤트 이름입니다.

EventCategory

cat(LEEF)

event-match-single 엔티티 또는 event-match-multiple 엔티티에 의해 처리되지 않은 카테고리의 이벤트에 대한 이벤트 카테고리입니다.

<event-match-single event-name=
"Successfully logged in" 
force-qidmap-lookup-on-fixup="true" 
device-event-category="CiscoNAC" 
severity="4" send-identity=
"OverrideAndNeverSend" />

SourceIp

src(LEEF)

메시지에 대한 소스 IP 주소입니다.

SourcePort

srcPort(LEEF)

메시지에 대한 소스 포트입니다.

SourceIpPreNAT

srcPreNAT(LEEF)

NAT(Network Address Translation)가 발생하기 전 메시지에 대한 소스 IP 주소입니다.

SourceIpPostNAT

srcPostNAT(LEEF)

NAT 발생 후 메시지에 대한 소스 IP 주소입니다.

SourceMAC

srcMAC(LEEF)

메시지에 대한 소스 MAC 주소입니다.

SourcePortPreNAT

srcPreNATPort(LEEF)

NAT 발생 전 메시지에 대한 소스 포트입니다.

SourcePortPostNAT

srcPostNATPort(LEEF)

NAT 발생 후 메시지에 대한 소스 포트입니다.

DestinationIp

dst(LEEF)

메시지에 대한 대상 IP 주소입니다.

DestinationPort

dstPort(LEEF)

메시지에 대한 대상 포트입니다.

DestinationIpPreNAT

dstPreNAT(LEEF)

NAT 발생 전 메시지에 대한 대상 IP 주소입니다.

DestinationIpPostNAT

dstPostNAT(LEEF)

NAT 발생 후 메시지에 대한 대상 IP 주소입니다.

DestinationPortPreNAT

dstPreNATPort(LEEF)

NAT 발생 전 메시지에 대한 대상 포트입니다.

DestinationPortPostNAT

dstPostNATPort(LEEF)

NAT 발생 후 메시지에 대한 대상 포트입니다.

DestinationMAC

dstMAC(LEEF)

메시지에 대한 대상 MAC 주소입니다.

DeviceTime

devTime(LEEF)

디바이스에서 사용하는 시간과 형식입니다. 이 날짜 및 시간소인은 이벤트가 전송된 시간을 디바이스에 맞게 표시합니다. 이 매개변수는 이벤트가 도착한 시간을 나타내지는 않습니다. DeviceTime 필드는 추가 데이터 Matcher 속성을 사용하여 이벤트에 대해 사용자 정의 날짜와 시간소인을 사용할 수 있는 기능을 지원합니다.

다음 목록에는 DeviceTime 필드에서 사용할 수 있는 날짜 및 시간소인 형식의 예제가 포함되어 있습니다.

• ext-data="dd/MMM/YYYY:hh:mm:ss"

  11/Mar/2015:05:26:00

• ext-data="MMM dd YYYY / hh:mm:ss"

  Mar 11 2015 / 05:26:00

• ext-data="hh:mm:ss:dd/MMM/YYYY"

  05:26:00:11/Mar/2015

데이터 및 시간소인 형식의 가능한 값에 대한 자세한 정보는 Joda-Time 웹 페이지 (http://www.joda.org/joda-time/key_format.html) 를 참조하십시오.

DeviceTime은 추가 데이터 선택적 매개변수를 사용하는 유일한 이벤트 필드입니다.

프로토콜

proto(LEEF)

메시지에 대한 프로토콜(예제: TCP, UDP 또는 ICMP)입니다.

UserName

메시지에 대한 사용자 이름입니다.

HostName

identHostName(LEEF)

메시지에 대한 호스트 이름입니다. 일반적으로 이 필드는 ID 이벤트와 연관됩니다.

GroupName

identGrpName(LEEF)

메시지에 대한 그룹 이름입니다. 일반적으로 이 필드는 ID 이벤트와 연관됩니다.

IdentityIp

메시지에 대한 대상 ID IP 주소입니다.

IdentityMac

identMAC(LEEF)

메시지에 대한 ID MAC 주소입니다.

IdentityIpv6

메시지에 대한 IPv6 ID IP 주소입니다.

NetBIOSName

identNetBios(LEEF)

메시지에 대한 NetBIOS 이름입니다. 일반적으로 이 필드는 ID 이벤트와 연관됩니다.

ExtraIdentityData

메시지에 대한 사용자 특정 데이터입니다. 일반적으로 이 필드는 ID 이벤트와 연관됩니다.

SourceIpv6

메시지에 대한 IPv6 소스 IP 주소입니다.

DestinationIpv6

메시지에 대한 IPv6 대상 IP 주소입니다.