匹配器 (matcher)

匹配实体是一个经过解析的字段,例如 EventName, ,它与适当的模式和组配对以进行解析。

匹配器具有关联的订单。 如果为同一字段名称指定了多个匹配器,那么将按显示的顺序运行匹配器,直到找到成功的解析或发生故障为止。

表 1. 匹配器参数的描述
参数 描述

field (必需)

您希望应用图案的领域,例如 EventName, 或 SourceIp。 您可以使用 有效匹配器字段名称列表 表中列出的任何字段名称。

pattern-id (必需)

从有效内容解析字段时要使用的模式。 此值必须与先前在模式标识参数 (表 1) 中定义的模式的标识参数匹配 (包括大小写)。

order (必需)

您希望此模式在分配给同一字段的匹配器之间尝试的顺序。 如果将两个匹配器分配给 EventName 字段,那么将首先尝试顺序最低的匹配器。

capture-group (可选)

在括号 () 内的正则表达式中引用。 这些捕获从一个开始建立索引,并在模式中从左到右进行处理。 capture-group 字段必须是小于或等于模式中包含的捕获组数的正整数。 缺省值为零,即整个匹配项。

例如,您可以为源 IP 地址和端口定义单个模式; 其中 SourceIp 匹配器可以使用捕获组 1 , SourcePort 匹配器可以使用捕获组 2 ,但只需要定义一个模式。

当与 enable-substitutions 参数组合时,此字段具有双重用途。

要查看示例,请查看 扩展文档示例

enable-substitutions (可选)

布尔值

设置为 true时,无法使用直接组捕获来充分表示字段。 您可以将多个组与额外文本组合以形成值。

此参数将更改 capture-group 参数的含义。 capture-group 参数创建新值,并使用 \x 指定组替换,其中 x 是组号 1-9。 您可以多次使用组,并且还可以将任何自由格式文本插入到值中。 例如,要在组 1 中形成值,后跟下划线,后跟组 2 , @ ,然后再构成组 1 ,以下代码中显示相应的 capture-group 语法:

capture-group=”\1_\2@\1”

在另一个示例中, MAC 地址由冒号分隔,但在 QRadar中, MAC 地址通常以连字符分隔。 以下示例中显示了用于解析和捕获各个部分的语法:

capture-group=”\1:\2:\3:\4:\5:\6”

如果在启用替换时未在捕获组中指定任何组,那么将发生直接文本替换。

缺省值为 false。

ext-data (可选)

额外数据参数,用于定义匹配器字段可以在扩展中提供的任何额外字段信息或格式。

当前使用此参数的唯一字段是 DeviceTime。

例如,您可能有一个使用唯一时间戳记发送事件的设备,但您希望将事件重新格式化为标准设备时间。 使用 DeviceTime 字段随附的 ext-data 参数来重新格式化事件的日期和时间戳记。 有关更多信息,请参阅 有效匹配器字段名称列表

下表列出了有效的匹配器字段名称。

表 2. 有效匹配器字段名称的列表
字段名称 描述

EventName (必需)

要从 QID 检索以标识事件的事件名称。

注: 此参数不会显示为 日志活动 选项卡中的字段。

EventCategory

猫 (LEEF)

具有未由 event-match-single 实体或 event-match-multiple 实体处理的类别的任何事件的事件类别。

与 EventName, EventCategory 结合使用,可在QID中搜索活动。 用于 QIDmap 查找的字段要求在 QRadar已知设备时设置覆盖标志,例如,
<event-match-single event-name=
"Successfully logged in" 
force-qidmap-lookup-on-fixup="true" 
device-event-category="CiscoNAC" 
severity="4" send-identity=
"OverrideAndNeverSend" />
force-qidmap-lookup-on-fixup="true" 是标志覆盖。
注: 此参数不会显示为 日志活动 选项卡中的字段。

SourceIp

src (LEEF)

消息的源 IP 地址。

SourcePort

srcPort (LEEF)

消息的源端口。

SourceIpPreNAT

srcPreNAT (LEEF)

发生网络地址转换 (NAT) 之前消息的源 IP 地址。

SourceIpPostNAT

srcPostNAT (LEEF)

发生 NAT 后消息的源 IP 地址。

SourceMAC

srcMAC (LEEF)

消息的源 MAC 地址。

SourcePortPreNAT

srcPreNATPort (LEEF)

发生 NAT 之前消息的源端口。

SourcePortPostNAT

srcPostNATPort (LEEF)

发生 NAT 后消息的源端口。

DestinationIp

dst (LEEF)

消息的目标 IP 地址。

DestinationPort

dstPort (LEEF)

消息的目标端口。

DestinationIpPreNAT

dstPreNAT (LEEF)

发生 NAT 之前消息的目标 IP 地址。

DestinationIpPostNAT

dstPostNAT (LEEF)

发生 NAT 后消息的目标 IP 地址。

DestinationPortPreNAT

dstPreNATPort (LEEF)

发生 NAT 之前消息的目标端口。

DestinationPortPostNAT

dstPostNATPort (LEEF)

发生 NAT 后消息的目标端口。

DestinationMAC

dstMAC (LEEF)

消息的目标 MAC 地址。

DeviceTime

devTime (LEEF)

设备使用的时间和格式。 此日期和时间戳记表示根据设备发送事件的时间。 此参数不代表事件到达的时间。 DeviceTime 字段支持使用 ext-data Matcher 属性对事件使用定制日期和时间戳记。

以下列表包含可在 DeviceTime 字段中使用的日期和时间戳记格式的示例:

  • ext-data="dd/MMM/YYYY :hh:mm:ss "

    11/Mar/2015:05:26:00

  • ext-data = "MMM dd YYYY/hh:mm:ss "

    Mar 11 2015 / 05:26:00

  • ext-data="hh:mm:ss: dd/MMM/YYYY "

    05:26:00:11/Mar/2015

有关数据和时间戳记格式的可能值的更多信息,请参阅 Joda-Time Web 页面 (http://www.joda.org/joda-time/key_format.html)。

DeviceTime 是唯一使用 ext-data 可选参数的事件字段。

协议

原文 (LEEF)

消息的协议; 例如, TCP , UDP 或 ICMP。

UserName

消息的用户名。

HostName

identHostName (LEEF)

消息的主机名。 通常,此字段与身份事件相关联。

GroupName

identGrpName (LEEF)

消息的组名。 通常,此字段与身份事件相关联。

IdentityIp

消息的身份 IP 地址。

IdentityMac

identMAC (LEEF)

消息的身份 MAC 地址。

IdentityIpv6

消息的 IPv6 身份 IP 地址。

NetBIOSName

identNetBios (LEEF)

消息的 NetBIOS 名称。 通常,此字段与身份事件相关联。

ExtraIdentityData

消息的任何特定于用户的数据。 通常,此字段与身份事件相关联。

SourceIpv6

消息的 IPv6 源 IP 地址。

DestinationIpv6

消息的 IPv6 目标 IP 地址。