JSON eşleştiricisi (json-matcher)

JSON eşleyici (json-matcher) varlığı, ayrıştırılan ve ayrıştırmak için uygun kalıp ve grupla eşlenmiş olan bir alandır. Bu varlık, IBM® QRadar® V7.3.1' de yenidir.

Aynı alan adı için birden çok eşleyici belirtilirse, eşleştiriciler başarılı bir ayrıştırma bulununcaya kadar sunulan sırada çalıştırılır.

Tablo 1. JSON eşleyici parametrelerinin açıklaması
Parametre	Açıklama
`field` (Zorunlu)	Örüntünün uygulanmasını istediğiniz alan; örneğin, EventName ya da SourceIp. Geçerli eşleyici alanı adları listesi çizelgesinde listelenen alan adlarından herhangi birini kullanabilirsiniz.
`pattern-id` (Zorunlu)	Alan bilgi yükünden ayrıştırıldığında kullanmak istediğiniz kalıt. Bu değer, önceden tanımlanmış bir örüntüye ilişkin tanıtıcı parametresinin (vaka da içinde) eşleşmesini sağlar. (Tablo 1)
`order` (Zorunlu)	Bu kalıbı, aynı alana atanan eşleştiriciler arasında denemesini istediğiniz sipariş. EventName alanına iki eşleyici atanırsa, en düşük sıralamaya sahip olan ilk öğe ilk olarak denenir. Düzenli regex matrisleri ve JSON eşleştiriciler bir liste halinde birleştirilir. Farklı türdeki eşleştiriciler, siparişlerini temel alarak denenir ve makçulardan biri bilgi yükünden veri ayrıştırabildiğinde işlem durur.
`enable-substitutions` (İsteğe bağlı)	Boole `true`olarak ayarlandığında, bir alan düz bir grup yakasıyla yeterli düzeyde gösterilemez. Birden çok grubu, bir değer oluşturmak için fazladan metinle birleştirebilirsiniz. Wherever the pattern is in the form of a multi-keypath, set the enable-subtitutions value to '=true' so that each keypath in the pattern and expression is replaced with the value that is found by the payload. Örneğin, JSON bilgi yükü first_name ve last_name alanlarını içeriyorsa, ancak full_name alanı yoksa, `{/"last_name"}, {/"first_name"}`gibi birden çok anahtar yolu içeren bir ifade tanımlayabilirsiniz. Bu ifade için yakalanan değer smith, john. Varsayılan değer, false değeridir.
`ext-data` (İsteğe bağlı)	Bir eşleyici alanının uzantıda sağlayabileceği ek alan bilgilerini ya da biçimlendirmesini tanımlayan bir ek veri parametresi. Şu anda bu parametreyi kullanan tek alan DeviceTime' tır. Örneğin, benzersiz bir zaman damgası kullanarak olay gönderen bir aygıtınız olabilir, ancak olayın standart bir aygıt süreye yeniden biçimlendirilmesini isteyebilirsiniz. Use the ext-data parameter included with the DeviceTime field to reformat the date and time stamp of the event. Daha fazla bilgi için Geçerli JSON eşleyici alanı adlarının listesibaşlıklı konuya bakın.

Aşağıdaki tabloda geçerli JSON eşleyici alan adları listelenir.

Tablo 2. Geçerli JSON eşleyici alan adlarının listesi
Alan Ad	Açıklama
EventName (Zorunlu)	Olayı tanımlamak için QID ' den alınacak olay adı. Not: Bu parametre, Log Activity (Günlük Etkinliği) sekmesinde bir alan olarak görüntülenmez.
EventCategory	Bir olay-eşleştirme-tek varlık ya da olay-eşleşmesi-birden çok varlık tarafından işlenmeyen bir kategoriyle herhangi bir olay için bir olay kategorisi. EventNameile birleştirilen EventCategory , QID ' deki olayı aramak için kullanılır. QIDmap aramaları için kullanılan alanlar, aygıtlar QRadar sistemi tarafından önceden bilindiğinde, geçersiz kılma işaretinin ayarlanmasını gerektirir; örneğin: `<event-match-single event-name="Successfully logged in" force-qidmap-lookup-on-fixup="true" device-event-category="CiscoNAC" severity="4" send-identity="OverrideAndNeverSend" />` `force-qidmap-lookup-on-fixup="true"` , işaret geçersiz kılandır. Not: Bu parametre, Log Activity (Günlük Etkinliği) sekmesinde bir alan olarak görüntülenmez.
SourceIp	İletiye ilişkin kaynak IP adresi.
SourcePort	İletiye ilişkin kaynak kapı.
SourceIpPreNAT	NAT (Ağ Adresi Çevirisi) gerçekleşmeden önce iletiye ilişkin kaynak IP adresi.
SourceIpPostNAT	NAT ' tan sonra iletinin kaynak IP adresi ortaya çıkar.
SourceMAC	İletiye ilişkin kaynak MAC adresi.
SourcePortPreNAT	NAT ' dan önce iletinin kaynak kapısı ortaya çıkar.
SourcePortPostNAT	NAT ' tan sonra iletiye ilişkin kaynak kapı.
DestinationIp	İletiye ilişkin hedef IP adresi.
DestinationPort	İletiye ilişkin hedef kapı.
DestinationIpPreNAT	NAT ' dan önce iletinin hedef IP adresi ortaya çıkar.
DestinationIpPostNAT	NAT ' tan sonra iletinin hedef IP adresi ortaya çıkar.
DestinationPortPreNAT	NAT ' dan önce iletiye ilişkin hedef kapı.
DestinationPortPostNAT	NAT ' tan sonra iletiye ilişkin hedef kapı.
DestinationMAC	İletiye ilişkin hedef MAC adresi.
DeviceTime	Aygıt tarafından kullanılan saat ve biçim. Aygıta göre, bu tarih ve zaman damgası, olayın gönderildiği saati gösterir. Bu parametre, olayın geldiği zamanı göstermiyor. `DeviceTime` alanı, ext-data Matcher özniteliğini kullanarak olay için özel bir tarih ve zaman damgası kullanma yeteneğini destekler. Aşağıdaki liste, `DeviceTime` alanında kullanabileceğiniz tarih ve saat damgası biçimlerine ilişkin örnekleri içerir: ext-data="dd/MMM/XX_ENCODE_CASE_ONE yyyy :ss:dd:ss " 11/Mar/2015:05:26:00 ext-data = "AAM gg YYYY/hh:mm:ss " Mar 11 2015/05:26:00 ext-data="ss:dd:ss: dd/MMM/XX_ENCODE_CASE_ONE yyyy " 05:26:00:11/Mar/2015 Veri ve zaman damgası biçimlerine ilişkin olası değerler hakkında daha fazla bilgi için, Java SimpleDateFormat web sayfasına bakın (https://docs.oracle.com/javase/8/docs/api/java/text/SimpleDateFormat.html). DeviceTime , ext-data değiştirgesini kullanan tek olay alanıdır.
İletişim kuralı	İletiye ilişkin protokol; örneğin, TCP, UDP ya da ICMP.
UserName	İletiye ilişkin kullanıcı adı.
HostName	İletiye ilişkin anasistem adı. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.
GroupName	İletiye ilişkin grup adı. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.
IdentityIp	İletiye ilişkin kimlik IP adresi.
IdentityMac	İletiye ilişkin tanıtıcı MAC adresi.
IdentityIpv6	İletiye ilişkin IPv6 kimlik IP adresi.
NetBIOSName	İletiye ilişkin NetBIOS adı. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.
ExtraIdentityVerileri	İletiye ilişkin kullanıcıya özgü veriler. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.
SourceIpv6	İletiye ilişkin IPv6 kaynak IP adresi.
DestinationIpv6	İletiye ilişkin IPv6 hedef IP adresi.