日志源扩展

扩展文档可以扩展或修改特定日志源的元素的解析方式。 您可以使用扩展文档来更正解析问题或覆盖现有 DSM 中事件的缺省解析。

当 DSM 不存在以解析网络中设备或安全设备的事件时，扩展文档还可以提供事件支持。

扩展文档是可扩展标记语言 (XML) 格式的文档，您可以使用任何公共文本，代码或标记编辑器来创建或编辑该文档。 您可以创建多个扩展文档，但一个日志源只能应用一个扩展文档。

XML 格式要求所有正则表达式 (regex) 模式都包含在字符数据 (CDATA) 部分中，以防止正则表达式所需的特殊字符干扰标记格式。 例如，以下代码显示用于查找协议的正则表达式:

<pattern id="ProtocolPattern" case-insensitive="true" xmlns=""> <![CDATA[(TCP|UDP|ICMP|GRE)]]></pattern>

(TCP|UDP|ICMP|GRE) 是正则表达式模式。

日志源扩展配置由以下部分组成:

模式

与特定字段名称关联的正则表达式模式。 在日志源扩展文件中多次引用模式。

匹配组

匹配组中一个被解析的实体，例如 EventName, ，它与适当的模式和组配对进行解析。 任何数目的匹配组都可以显示在扩展文档中。