Rozszerzenia źródła dziennika

Dokument rozszerzenia może rozszerzać lub zmodyfikować sposób analizowania elementów określonego źródła dziennika. Istnieje możliwość użycia dokumentu rozszerzenia w celu skorygowania problemu z analizą lub nadpisania domyślnej analizy dla zdarzenia z istniejącego obiektu DSM.

Dokument rozszerzenia może również zapewnić obsługę zdarzeń, gdy nie istnieje mechanizm DSM do analizowania zdarzeń dla urządzenia lub mechanizmu zabezpieczeń w sieci.

Dokument rozszerzenia jest dokumentem sformatowanym w formacie XML (Extensible Markup Language), który można utworzyć lub edytować przy użyciu dowolnego wspólnego edytora tekstu, kodu lub języka znaczników. Istnieje możliwość utworzenia wielu dokumentów rozszerzenia, ale tylko jeden z nich można zastosować w źródle dziennika.

Format XML wymaga, aby wszystkie wzorce wyrażeń regularnych (wyrażenia regularnego) były zawarte w sekcjach danych znakowych (CDATA), aby zapobiec ingerowaniu znaków specjalnych, które są wymagane przez wyrażenia regularne, w celu ingerowania w format języka znaczników. Na przykład poniższy kod przedstawia regex w celu znalezienia protokołów:

<pattern id="ProtocolPattern" case-insensitive="true" xmlns=""> <![CDATA[(TCP|UDP|ICMP|GRE)]]></pattern>

(TCP|UDP|ICMP|GRE) jest wzorcem wyrażenia regularnego.

Konfiguracja rozszerzenia źródeł dzienników składa się z następujących sekcji:

Wzorzec

Wzorce wyrażeń regularnych, które są powiązane z określoną nazwą pola. Wzorce są przywoływane wiele razy w pliku rozszerzenia źródła dziennika.

Dopasuj grupy

Jednostka w obrębie grupy zgodności, która jest analizowana, na przykład EventName, i jest sparowana z odpowiednim wzorcem i grupą do analizowania. W dokumencie rozszerzenia może pojawić się dowolna liczba grup zgodności.