Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

自定义日志源类型

使用 DSM 编辑器创建和配置自定义日志源类型以解析事件。如果为没有受支持的 DSM 的自定义应用程序和系统创建日志源类型, JSA 会以与分析受支持的 DSM 相同的方式分析数据。

您可以从 日志活动 选项卡中选择事件,并将其直接发送到 DSM 编辑器进行解析。或者,您可以从 “管理 ”选项卡打开 DSM 编辑器,以创建和配置新的日志源类型。

使用正确的结构化数据填写 DSM 编辑器中的字段,以解析事件的相关信息。 JSA 使用 “事件类别”和“事件 ID ”字段将含义映射到事件。事件 ID 是定义事件的必填字段,类别进一步细分事件。您可以将 事件类别 设置为设备类型名称,也可以将其保留为未知。如果将 “事件类别 ”保留为“未知”,则必须为为此日志源类型创建的任何事件映射将其设置为“未知”。

使用 DSM 编辑器映射您要从事件解析的事件 ID/事件类别组合。在“ 事件映射 ”选项卡的新条目中输入“事件 ID/事件类别”组合。您可以选择与活动相关的先前创建的 QID 地图条目的分类,或单击 选择 QID 以创建新的地图条目。

创建自定义日志源类型以解析事件

如果您有导入到 JSA 中的事件,则可以选择要作为自定义日志源类型基础的事件,并将其直接发送到 DSM 编辑器。

  1. 单击 日志活动 选项卡。

  2. 暂停传入的结果,然后突出显示一个或多个事件。

    注意:

    您只能选择单个日志源类型,并且只有与所选日志源类型匹配的日志活动中的事件才会自动添加到工作区中。

  3. 在导航菜单上,选择 DSM 编辑器>操作,然后选择以下选项之一:

    • 如果要分析已知事件,请从列表中选择日志源类型。

    • 如果要分析存储的事件,请单击“ 新建”。在 日志源类型名称 字段中输入日志源类型的名称,然后单击 保存

  4. 在“ 属性 ”选项卡中,选中要编辑的属性的“ 覆盖系统属性 ”复选框。