Matcher (matcher)

Eşleyici varlığı, ayrıştırılan bir alandır (örneğin, EventName) ve ayrıştırmak için uygun kalıp ve grupla eşleştirilir.

Eşleştiriciler ilişkili bir siparişe sahiptir. Aynı alan adı için birden çok eşleyici belirtilirse, başarılı bir ayrıştırma bulununcaya ya da bir hata ortaya çıkıncaya kadar eşleştiriciler sunulan sırayla çalıştırılır.

Tablo 1. Makcher parametrelerinin açıklaması
Parametre Açıklama

field (Zorunlu)

Örüntünün uygulanmasını istediğiniz alan; örneğin, EventNameya da SourceIp. Geçerli eşleyici alanı adları listesi çizelgesinde listelenen alan adlarından herhangi birini kullanabilirsiniz.

pattern-id (Zorunlu)

Alan bilgi yükünden ayrıştırıldığında kullanmak istediğiniz kalıt. Bu değer, bir örüntü tanıtıcısı değiştirgesinde (Tablo 1) önceden tanımlanan örüntüye ilişkin tanıtıcı (ID) değiştirgesinde eşleşmelidir (büyük ve küçük harf).

order (Zorunlu)

Bu kalıbı, aynı alana atanan eşleştiriciler arasında denemesini istediğiniz sipariş. EventName alanına iki eşleyici atanırsa, en düşük sıralamaya sahip olan ilk öğe ilk olarak denenir.

capture-group (İsteğe bağlı)

Düzenli ifadede ayraç içinde gönderme yapılıyor (). Bu yakalar, örüntüde soldan sağa doğru dizinlenir ve bunlar soldan sağa doğru işlenir. The capture-group field must be a positive integer less than or equal to the number of capture groups that are contained in the pattern. Varsayılan değer, tüm eşleşmeyi içeren sıfırdır.

Örneğin, kaynak IP adresi ve bağlantı noktası için tek bir kalıp; SourceIp eşleyicinin bir yakalama grubunu 1 kullanabileceğini ve SourcePort eşleyicinin bir yakalama grubunu 2 kullanabileceğini, ancak tek bir örüntü tanımlanabileceğini tanımlayabilirsiniz.

Bu alan, enable-substitutions parametresiyle birleştirildiğinde ikili bir amaca sahiptir.

Bir örneği görmek için uzantı belgesi örneği' ne bakın.

enable-substitutions (İsteğe bağlı)

Boole

truedeğerine ayarlandığında, bir alan düz bir grup yakasıyla yeterli düzeyde gösterilemez. Birden çok grubu, bir değer oluşturmak için fazladan metinle birleştirebilirsiniz.

Bu parametre, capture-group parametresinin anlamını değiştirir. capture-group parametresi yeni değeri oluşturur ve grup yerine koyma değerleri \x kullanılarak belirtilir; burada x , bir grup numarasıdır, 1-9. Grupları birden çok kez kullanabilirsiniz ve herhangi bir serbest biçimli metin de bu değere eklenebilir. Örneğin, grup 1 dışında bir değer oluşturmak için, ardından bir alt çizgi ve ardından grup 2, bir @ ve sonra 1 grubu, uygun yakalama grubu sözdizimi aşağıdaki kodda gösterilir:

capture-group=”\1_\2@\1”

Başka bir örnekte, bir MAC adresi iki nokta üst üste işaretiyle ayrılır, ancak QRadar®içinde MAC adresleri genellikle kısa çizgi olarak ayrılır. Tek tek kısımlarını ayrıştırmak ve yakalamak için sözdizimi aşağıdaki örnekte gösterilmiştir:

capture-group=”\1:\2:\3:\4:\5:\6”

Yerine koyma değerleri etkinleştirildiğinde, yakalama grubunda grup belirtilmezse, doğrudan bir metin değişikliği gerçekleşir.

Varsayılan değer, false değeridir.

ext-data (İsteğe bağlı)

Bir eşleyici alanının uzantıda sağlayabileceği ek alan bilgilerini ya da biçimlendirmesini tanımlayan bir ek veri parametresi.

Şu anda bu parametreyi kullanan tek alan DeviceTime' tır.

Örneğin, benzersiz bir zaman damgası kullanarak olay gönderen bir aygıtınız olabilir, ancak olayın standart bir aygıt süreye yeniden biçimlendirilmesini isteyebilirsiniz. Use the ext-data parameter included with the DeviceTime field to reformat the date and time stamp of the event. Ek bilgi için Geçerli eşleyici alanı adlarının listesibaşlıklı konuya bakın.

Aşağıdaki çizelge geçerli eşleyici alan adlarını listeler.

Tablo 2. Geçerli eşleyici alan adlarının listesi
Alan Ad Açıklama

EventName (Zorunlu)

Olayı tanımlamak için QID ' den alınacak olay adı.

Not: Bu parametre, Log Activity (Günlük Etkinliği) sekmesinde bir alan olarak görüntülenmez.

EventCategory

kedi (LEEF)

Bir olay-eşleştirme-tek varlık ya da olay-eşleşmesi-birden çok varlık tarafından işlenmeyen bir kategoriyle herhangi bir olay için bir olay kategorisi.

EventNameile birleştirilen EventCategory , QID ' deki olayı aramak için kullanılır. QIDmap aramaları için kullanılan alanlar, aygıtlar önceden QRadarolarak bilindiğinde, geçersiz kılma işaretinin ayarlanmasını gerektirir; örneğin,
<event-match-single event-name=
"Successfully logged in" 
force-qidmap-lookup-on-fixup="true" 
device-event-category="CiscoNAC" 
severity="4" send-identity=
"OverrideAndNeverSend" />
force-qidmap-lookup-on-fixup="true" , işaret geçersiz kılandır.
Not: Bu parametre, Log Activity (Günlük Etkinliği) sekmesinde bir alan olarak görüntülenmez.

SourceIp

src (LEEF)

İletiye ilişkin kaynak IP adresi.

SourcePort

srcPort (LEEF)

İletiye ilişkin kaynak kapı.

SourceIpPreNAT

srcPreNAT (LEEF)

NAT (Ağ Adresi Çevirisi) gerçekleşmeden önce iletiye ilişkin kaynak IP adresi.

SourceIpPostNAT

srcPostNAT (LEEF)

NAT ' tan sonra iletinin kaynak IP adresi ortaya çıkar.

SourceMAC

srcMAC (LEEF)

İletiye ilişkin kaynak MAC adresi.

SourcePortPreNAT

srcPreNATPort (LEEF)

NAT ' dan önce iletinin kaynak kapısı ortaya çıkar.

SourcePortPostNAT

srcPostNATPort (LEEF)

NAT ' tan sonra iletiye ilişkin kaynak kapı.

DestinationIp

dst (LEEF)

İletiye ilişkin hedef IP adresi.

DestinationPort

dstPort (LEEF)

İletiye ilişkin hedef kapı.

DestinationIpPreNAT

dstPreNAT (LEEF)

NAT ' dan önce iletinin hedef IP adresi ortaya çıkar.

DestinationIpPostNAT

dstPostNAT (LEEF)

NAT ' tan sonra iletinin hedef IP adresi ortaya çıkar.

DestinationPortPreNAT

dstPreNATPort (LEEF)

NAT ' dan önce iletiye ilişkin hedef kapı.

DestinationPortPostNAT

dstPostNATPort (LEEF)

NAT ' tan sonra iletiye ilişkin hedef kapı.

DestinationMAC

dstMAC (LEEF)

İletiye ilişkin hedef MAC adresi.

DeviceTime

devTime (LEEF)

Aygıt tarafından kullanılan saat ve biçim. Aygıta göre, bu tarih ve zaman damgası, olayın gönderildiği saati gösterir. Bu parametre, olayın geldiği zamanı göstermiyor. DeviceTime alanı, ext-data Matcher özniteliğini kullanarak olay için özel bir tarih ve zaman damgası kullanma yeteneğini destekler.

Aşağıdaki liste, DeviceTime alanında kullanabileceğiniz tarih ve saat damgası biçimlerine ilişkin örnekleri içerir:

  • ext-data="dd/MMM/XX_ENCODE_CASE_ONE yyyy :ss:dd:ss "

    11/Mar/2015:05:26:00

  • ext-data = "AAM gg YYYY/hh:mm:ss "

    Mar 11 2015/05:26:00

  • ext-data="ss:dd:ss: dd/MMM/XX_ENCODE_CASE_ONE yyyy "

    05:26:00:11/Mar/2015

Veri ve zaman damgası biçimlerine ilişkin olası değerler hakkında daha fazla bilgi için bkz. Joda-Time web sayfası (http://www.joda.org/joda-time/key_format.html).

DeviceTime , ext-data isteğe bağlı parametresini kullanan tek olay alanıdır.

İletişim kuralı

proto (LEEF)

İletiye ilişkin protokol; örneğin, TCP, UDP ya da ICMP.

UserName

İletiye ilişkin kullanıcı adı.

HostName

identHostAdı (LEEF)

İletiye ilişkin anasistem adı. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.

GroupName

identGrpAdı (LEEF)

İletiye ilişkin grup adı. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.

IdentityIp

İletiye ilişkin kimlik IP adresi.

IdentityMac

identMAC (LEEF)

İletiye ilişkin tanıtıcı MAC adresi.

IdentityIpv6

İletiye ilişkin IPv6 kimlik IP adresi.

NetBIOSName

identNetBios (LEEF)

İletiye ilişkin NetBIOS adı. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.

ExtraIdentityVerileri

İletiye ilişkin kullanıcıya özgü veriler. Genellikle bu alan, kimlik olaylarıyla ilişkilidir.

SourceIpv6

İletiye ilişkin IPv6 kaynak IP adresi.

DestinationIpv6

İletiye ilişkin IPv6 hedef IP adresi.