XML 匹配器 (xml-matcher)

field （必需）

要应用模式的字段; 例如， EventName 或 SourceIp。 您可以使用 表 2表中列出的任何字段名称。

pattern-id （必需）

从有效内容解析字段时要使用的模式。 此值必须与已定义模式的标识参数匹配 (包括大小写)。 (表 1)

order （必需）

您希望此模式在分配给同一字段的匹配器之间尝试的顺序。 如果将两个匹配器分配给 EventName 字段，那么将首先尝试顺序最低的匹配器。

常规正则表达式， JSON ， LEEF 和 CEF 匹配器组合成一个列表。 将根据不同类型的匹配器的顺序来尝试这些匹配器，当其中一个匹配器能够从有效内容中解析数据时，该过程将停止。

enable-substitutions （可选）

布尔值

设置为 true时，无法使用直线组捕获来充分表示字段。 您可以将多个组与额外文本组合以形成值。

缺省值为 false。

ext-data （可选）

额外数据参数，用于定义匹配器字段可以在扩展中提供的任何额外字段信息或格式。

当前使用此参数的唯一字段是 DeviceTime。

例如，您可能有一个使用唯一时间戳记发送事件的设备，但您希望将事件重新格式化为标准设备时间。 使用 DeviceTime 字段随附的 ext-data 参数来重新格式化事件的日期和时间戳记。 有关更多信息，请参阅 表 2。