Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

DSM 편집기의 사용자 지정 속성 정의

사용자 지정 속성을 정의하고 별도의 DSM에서 동일한 속성을 다시 사용할 수 있습니다. 검색, 규칙에서 이러한 속성을 사용하고 해당 필드로 값을 구문 분석하기 위한 특정 사용자 정의 동작을 허용합니다.

관련된 경우, 각 사용자 정의 특성에는 선택성 및 데이터 구문 분석을 포함하는 구성 옵션 세트가 있습니다. DSM 구성 내의 각 사용자 지정 속성 정의는 정규식, 캡처 그룹, 선택적 선택도 구성 및 활성화 또는 비활성화된 토글 버튼으로 구성된 정렬된 표현식 그룹입니다. DSM 편집기의 속성 탭에서 사용자 지정 속성에 대한 이름, 필드 유형, 설명, 필드 최적화 또는 고급 옵션을 수정할 수 없습니다.

사용자 지정 속성은 모든 DSM에서 공유되지만 페이로드에서 값을 읽기 위한 특정 구현은 DSM 수준에 있습니다.

선택도는 특정 조건이 충족될 때만 실행되도록 표현식을 구성할 때 지정됩니다.

메모:

사용자 지정 속성의 캡처 그룹 필드에는 정규식의 캡처 그룹 수보다 큰 값을 할당할 수 없습니다.

선택성

DSM 편집기에서 성능 향상을 위해 사용자 지정 속성 실행을 특정 기준으로 제한할 수 있습니다.

제한 유형은 다음과 같습니다.

  • 상위 수준 범주 및 하위 수준 범주별 -- 상위 수준 범주와 하위 수준 범주가 특정 조합과 일치하는 경우에만 속성이 평가됩니다. 예를 들어 속성은 이벤트에 높은 수준의 범주인 인증 과 낮은 수준의 범주인 관리자 로그아웃이 있는 것으로 알려진 경우에만 평가됩니다.

  • 특정 QID별 - 표시된 이벤트가 특정 QID에 매핑되는 경우에만 특성이 평가됩니다. 예를 들어 이벤트가 로그인 실패의 QID에 매핑되면 속성이 평가됩니다.

사용자 지정 속성 만들기

DSM 편집기에서 하나 이상의 로그 소스에 대한 사용자 지정 속성을 정의할 수 있으며, 해당 이벤트는 JSA 정규화 이벤트 모델에 맞지 않습니다. 예를 들어, 시스템 특성이 일부 애플리케이션, 운영 체제, 데이터베이스 및 기타 시스템에서 데이터를 캡처하지 못할 수 있습니다.

JSA 시스템 속성에 맞지 않는 데이터에 대한 사용자 정의 속성을 작성할 수 있습니다. 검색에서 사용자 지정 속성을 사용하고 규칙에서 테스트합니다.

  1. DSM 편집기의 속성 탭에서 추가 (+)를 클릭합니다.

  2. 새 사용자 정의 특성 정의를 작성하려면 다음 단계를 사용하십시오.

    1. Choose a Custom Property Definition to Express(표현할 사용자 정의 정의 선택) 페이지에서 Create New(새로 작성)를 선택합니다.

    2. Create a new Custom Property Definition(새 사용자 지정 속성 정의 만들기) 페이지에서 다음 표의 매개 변수를 구성합니다.

      표 1: 사용자 정의 특성 매개변수

      매개 변수

      묘사

      이름

      작성하는 사용자 정의 특성에 대한 설명이 포함된 이름입니다.

      필드 유형

      기본값은 텍스트입니다.

      메모:

      필드 유형 목록에서 숫자 또는 날짜를 선택하면 추가 필드가 표시됩니다.

      규칙 및 검색 인덱싱에서 사용할 수 있는 이 속성 사용Enable this Property for use in Rules and Search Indexing

      이 옵션을 활성화하면 이벤트 파이프라인의 구문 분석 단계에서 JSA 는 이벤트가 시스템에 들어오는 즉시 이벤트에서 속성을 추출하려고 시도합니다. 파이프라인의 다른 다운스트림 구성 요소(예: 규칙, 포워딩 프로필 및 인덱싱)는 추출된 값을 사용할 수 있습니다. 속성 정보는 이벤트 레코드의 나머지 부분과 함께 유지되며 검색 또는 보고서의 일부로 검색될 때 다시 추출할 필요가 없습니다. 이 옵션은 속성이 검색될 때 성능을 향상시키지만 이벤트 구문 분석 프로세스 중에 성능에 부정적인 영향을 줄 수 있으며 스토리지에 영향을 줄 수 있습니다.

      이 옵션이 활성화되지 않은 경우, JSA 는 이벤트를 검색하거나 볼 때만 이벤트에서 속성을 추출합니다.

      메모:

      규칙 테스트, 포워딩 프로파일 또는 검색 색인화에서 사용자 정의 특성을 사용하려면 이 확인란이 선택되어 있는지 확인하십시오. 규칙 평가, 이벤트 전달 및 인덱싱은 이벤트가 디스크에 기록되기 전에 발생하므로 구문 분석 단계에서 값을 추출해야 합니다.

      로캘의 숫자 형식 사용

      이 필드는 필드 유형 목록에서 번호를 선택할 때 표시됩니다. 로캘에서 숫자 서식 사용 확인란을 선택하는 경우 목록에서 추출된 숫자 서식을 선택해야 합니다.

      추출된 날짜/시간 형식

      이 필드는 필드 유형 목록에서 날짜를 선택할 때 표시됩니다. 원래 이벤트에서 날짜/시간이 표시되는 방식과 일치하는 날짜/시간 패턴을 제공해야 합니다.

      예를 들어 'MMM dd YYYY HH:mm:ss'는 'Apr 17 2017 11:29:00'과 같은 타임스탬프에 유효한 날짜/시간 패턴입니다.

      로캘

      이 필드는 필드 유형 목록에서 날짜를 선택할 때 표시됩니다. 이벤트의 로캘을 선택해야 합니다.

      예를 들어 로캘이 영어인 경우 'Apr'을 'April' 월의 약식으로 인식합니다. 그러나 이벤트가 프랑스어로 표시되고 월 토큰이 'Avr'(Avril의 경우)인 경우 로캘을 프랑스어 로 설정하거나 코드에서 유효한 날짜로 인식하지 않습니다.

    3. 시스템에 들어오는 이벤트에서 속성을 추출하려면 규칙 및 검색 인덱싱에서 이 속성을 사용하도록 설정 확인란을 선택합니다.

    4. 저장을 클릭합니다.

  3. 기존 사용자 정의 특성을 사용하려면 다음 단계를 사용하십시오.

    1. Choose a Custom Property Definition to Express(표현할 사용자 정의 정의 선택) 페이지의 Filter Definitions(필터 정의) 필드에서 기존 사용자 정의 특성을 검색하십시오.

    2. 선택을 클릭하여 사용자 지정 속성을 추가합니다.

DSM 편집기에서 사용자 지정 속성에 대한 표현식을 정의할 수 있습니다. 식은 속성의 동작을 정의하는 메커니즘입니다. 표현식의 기본 구성 요소는 유효한 regex 또는 JSON입니다. 식을 구성하는 데이터는 속성 형식에 따라 달라집니다.

사용자 지정 속성의 경우 정규식에서 하나의 캡처 그룹만 선택할 수 있습니다.

사용자 정의 특성 표현식 구성

다른 표현식을 사용하여 동일한 이벤트에 대한 다양한 사용자 지정 속성을 캡처할 수 있습니다. 또한 표현식 유형의 조합을 사용하여 해당 속성을 여러 이벤트 형식에서 캡처할 수 있는 경우 동일한 사용자 지정 속성을 캡처할 수 있습니다.

JSA 는 다음과 같은 사용자 정의 속성 표현식 유형을 지원합니다.

  • 정규식

  • JSON (영문)

  • 리프

  • 증권 시세 표시기

  • 이름 값 쌍

  • 일반 목록

  • XML (영문)

  1. 속성 탭에서 사용자 지정 속성을 찾아 선택합니다. 사용자 지정 속성은 시스템 속성과 구분하기 위해 사용자 지정 속성 옆에 Custom이라는 단어를 표시합니다.

  2. 표현식 유형(Expression Type) 목록에서 표현식 유형을 선택하고 유효한 표현식을 정의합니다.

    메모:

    • Regex의 경우 표현식은 유효한 Java 호환 정규 표현식이어야 합니다. 대/소문자를 구분하지 않는 일치는 식의 시작 부분에 있는 (?i) 토큰을 사용하는 경우에만 지원됩니다. (?i) 토큰은 로그 소스 확장 .xml 파일에 저장됩니다. (?s)와 같은 다른 표현식을 사용하려면 로그 소스 확장 프로그램 .xml 파일을 수동으로 편집하십시오.

    • JSON의 경우 표현식은 /"<name of top-level field>" 형식의 경로여야 하며, 하위 필드가 있는 경우 캡처하려면 추가 /"<name of sub-field>" 하위 개체가 있어야 합니다.

    • LEEF 및 CEF에 대한 키-값 쌍의 값을 캡처하려면 표현식을 키로 설정합니다.

    • 헤더 필드의 값을 캡처하려면 표현식을 해당 헤더 필드에 해당하는 예약어로 설정합니다.

  3. 표현식 유형이 Regex인 경우 캡처 그룹을 선택합니다.

  4. 특정 범주에 대해 실행할 표현식을 제한하려면 편집 을 클릭하여 사용자 정의 특성에 선택도를 추가하고 상위 수준 범주하위 수준 범주를 선택하십시오.

  5. 특정 이벤트 또는 QID에 대해 실행할 표현식을 제한하려면 이벤트 선택을 클릭하여 특정 QID를 검색합니다.

  6. 표현식 창에서 확인을 클릭합니다.

  7. 여러 표현식을 추가하고 순서를 변경하려면 다음 단계를 수행합니다.

    • 표현식 목록에서 추가(+)를 클릭하십시오.

    • 실행하려는 순서대로 표현식을 드래그합니다.

사용자 정의 특성 표현식 삭제

DSM 편집기에서 사용자 지정 속성 표현식을 삭제할 수 있습니다. 사용자 정의 특성 표현식을 삭제하면 표현식만 삭제됩니다. 사용자 정의 특성은 삭제되지 않습니다.

  1. 관리 탭에서 DSM 편집기를 클릭합니다.

  2. Select Log Source Type(로그 소스 유형 선택) 창에서 로그 소스 유형을 선택하고 Select(선택)를 클릭합니다.

  3. Log Source Type(로그 소스 유형) 분할창에서 삭제하려는 표현식이 있는 사용자 정의 특성을 선택하십시오.

  4. Property Configuration(속성 구성) 섹션에서 삭제할 표현식을 선택하고 삭제 아이콘을 클릭합니다

    .

  5. Delete(삭제)를 클릭합니다.

관련 설명서