Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

日志源扩展

扩展文档可以扩展或修改解析特定日志源元素的方式。您可以使用扩展文档更正解析问题,或覆盖现有 DSM 中事件的默认解析。

当 DSM 不存在时,扩展文档还可以提供事件支持,以解析网络中设备或安全设备的事件。

扩展文档是可扩展标记语言 (XML) 格式的文档,您可以使用任何通用文本、代码或标记编辑器创建或编辑文档。您可以创建多个扩展文档,但日志源只能应用一个。

XML 格式要求所有正则表达式 (regex) 模式都包含在字符数据 (CDATA) 部分中,以防止正则表达式所需的特殊字符干扰标记格式。例如,以下代码显示了用于查找协议的正则表达式:

(TCP|UDP|ICMP|GRE) 是正则表达式模式。

日志源扩展配置包含以下部分:

  • 模式--正则表达式模式,与特定字段名称相关联。日志源扩展文件中会多次引用模式。

  • 匹配组 -- 匹配组中已解析的实体,例如 EventName,并与相应的模式和组配对进行解析。扩展文档中可显示任意数量的匹配组。

相关文档