Wyrażenia w formacie CEF dla danych ustrukturyzowanych

Ustrukturyzowane dane w formacie CEF zawierają co najmniej jedną właściwość, która jest reprezentowana jako pary klucz-wartość.

Informacje o tym zadaniu

Właściwości można wyodrębnić ze zdarzenia, które jest prezentowane w formacie CEF, pisząc wyrażenie CEF, które jest zgodne z właściwością. Poprawne wyrażenia CEF są w postaci odwołania do pojedynczego klucza lub odwołania do pola nagłówka specjalnego CEF.

Na przykład: istnieje zdarzenie sformatowane w CEF:

CEF:0|ABC Company|SystemDefender|1.13|console_login|Console Login|1|start=Oct 18 2017 11:26:03 
duser=jsmith cs1=John Smith cs1Label=Person Name cs2=interactivePassword cs2Label=authType src=1.1.1.1

Właściwość klucza nagłówka lub nagłówka można wyodrębnić z zdarzenia, wybierając jedną z następujących metod:

Procedura

Aby wyodrębnić właściwość 'cs1', w polu Klucz CEF wpisz cs1 .
Możliwe klucze, które mogą zostać wyodrębnione, to:
- uruchamianie
- duser
- cs1
- cs1Label
- cs2
- cs2Label
- kod src
Aby wyodrębnić właściwość klucza nagłówka, wpisz klucz w następującym formacie w polu Klucz CEF :
```
$id$
```
Wartości nagłówka CEF można wyodrębnić, korzystając z następujących wyrażeń:
- $cefversion$
- $vendor$
- $produkt$
- $wersja$
- $id$
- $name$
- $severity$