Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

日志源扩展管理

您可以创建日志源扩展,以扩展或修改特定设备的解析例程。

日志源扩展是一个 XML 文件,其中包含识别事件有效负载中的事件并为事件分类所需的所有正则表达式模式。当您必须纠正解析问题时,可以使用扩展文件来解析事件,或者必须覆盖 DSM 中的事件的默认解析。当无法解析网络中设备或安全设备的 DSM 时,扩展可以提供事件支持。日志活动选项卡可识别以下基本类型的日志源事件:

  • 正确分析事件的日志源。将正确解析的事件分配给正确的日志源类型和类别。在这种情况下,无需干预或扩展。

  • 分析事件的日志源,但在日志源参数中具有一个“未知”值。未知事件是已识别日志源类型但 DSM 无法理解有效负载信息的日志源事件。系统无法从可用信息中确定事件标识符来对事件进行正确分类。在这种情况下,事件可以映射到一个类别,也可以编写日志源扩展以修复未知事件的事件解析。

  • 无法识别日志源类型并在日志源参数中具有 “存储 事件”的值 的日志源 。存储的事件要求您更新 DSM 文件或编写日志源扩展以正确解析事件。解析事件后,您可以映射事件。

必须先创建扩展文档,然后才能添加日志源扩展。扩展文档是可使用任何通用字处理或文本编辑应用程序创建的 XML 文档。可以创建、上传多个扩展文档,并与各种日志源类型相关联。扩展文档的格式必须与标准 XML 方案文档 (XSD) 一致。要开发扩展文档,需要具备 XML 编码的知识和经验。