Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Daten-Verschleierungsausdrücke

Datenverschleierungsausdrücke identifizieren die zu verbergenen Daten. Sie können Datenverschleierungsausdrücke erstellen, die auf feldbasierten Eigenschaften basieren, oder reguläre Ausdrücke verwenden.

Feldbasierte Eigenschaften

Verwenden Sie eine feldbasierte Eigenschaft, um Benutzernamen, Gruppennamen, Hostnamen und NetBIOS-Namen auszublenden. Ausdrücke, die feldbasierte Eigenschaften verwenden, verschleiern alle Instanzen der Datenzeichenfolge. Die Daten sind ungeachtet der Protokollquelle, des Quelltyps des Protokolls, des Ereignisnamens oder der Ereigniskategorie verborgen.

Wenn der gleiche Datenwert in mehr als einem der Felder vorhanden ist, werden die Daten in allen Feldern verschleiert, die die Daten enthalten, selbst wenn Sie das Profil so konfiguriert haben, dass nur eines der vier Felder verschleiert wird. Wenn Sie beispielsweise einen Hostnamen JSAHost und einen Gruppennamen namens JSAHosthaben, wird der Wert JSAHost sowohl im Feld Hostnamen als auch im Gruppennamenfeld verschleiert, selbst wenn das Datenverschleierungsprofil so konfiguriert ist, dass nur Hostnamen verschleiert werden.

Reguläre Ausdrücke

Verwenden Sie einen regulären Ausdruck, um eine Datenzeichenfolge in den Payload zu verschleiern. Die Daten werden nur dann ausgeblendet, wenn sie mit der Protokollquelle, dem Quelltyp des Protokolls, dem Ereignisnamen oder der im Ausdruck definierten Kategorie übereinstimmen.

Sie können high-level- und low-level-Kategorien verwenden, um einen regulären Ausdruck zu erstellen, der spezifischer ist als eine feldbasierte Eigenschaft. Beispielsweise können Sie die folgenden Regex-Muster verwenden, um Benutzernamen zu analysieren:

Tabelle 1: Regex-Benutzername-Analyse

Beispiel regex-Muster

Entspricht

usrName=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])*@([0-9 a-zA-Z][-\w]*[0-9a-zA-Z]\.) +[a-zA-Z]{2,20})$

username@companyname.com

usrName=(^([\w]+[^\W])([^\W]\.?) ([\w]+[^\W]$))

username

usrName=^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a -zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$

username

usrName=(/S+)

Gleicht jeden nicht-weißen Bereich nach dem Gleichheitszeichen ab, =, signieren. Dieser reguläre Ausdruck ist nicht spezifisch und kann zu Systemleistungsproblemen führen.

msg=([0-9a-zA-Z]([-.\w]*[0-9a-zA-Z]))*@\b(([01] ?\d?\d|2[0-4]\d|25[0-5])\.) {3} ([01]?\d?\d|2[0-4 ]\d|25[0-5])\b

Gleicht Benutzer mit IP-Adresse ab. Zum Beispiel username@10.1.1.1

src=\b(([01]?\d?\d|2[0-4]\d|25[0-5])\.) {3} ([01] ?\d?\d|2[0-4]\d|25[0-5])\b

Gleicht DIE IP-Adressformate ab.

host=^([a-zA-Z0-9]|[ a-zA-Z0-9][a-zA-Z0-9\-]*[a -zA-Z0-9])\.) *([A-Za-z0-9]| [A-Za-z0-9] [A-Za-z0- 9\-]*[A-Za-z0-9])$

hostname.companyname.com

Ähnliche Dokumentation