本页内容
自定义事件和流属性
JSA 规范化由 DSM 解析的标准信息,如用户名、IP 地址和端口。
某些事件源发送未标准化的唯一信息。您可以使用自定义属性从事件或流有效负载中提取这些数据,然后在自定义规则、搜索和报告中使用非标准化数据。
您创建的自定义属性类型取决于要用于定义有效负载中非规范化数据的方法。
基于提取的属性
如果要使用 regex 或 JSON 表达式从事件或流有效负载解析属性值,请创建基于提取的属性。
例如,您的报告会显示在 Oracle 服务器上更改了其他用户权限的所有用户。该报告使用规范化数据来显示进行权限更改的用户列表,以及他们进行的更改数量。已更改的用户帐户未标准化,无法显示在报告中。您可以创建基于 regex 的自定义属性,从日志中提取此信息,然后在搜索和报告中使用该属性。
解析事件或流时,会针对每个有效负载测试表达式模式,直到模式匹配。与事件或流有效负载匹配的第一个模式确定要提取的数据。
定义自定义 regex 模式时,请遵循 Java 编程语言定义的 regex 规则。要了解有关 regex 规则的更多信息,您可以在 Web 上查看 regex 教程。
基于计算的属性
如果要对现有数字事件和流属性进行计算,请创建基于计算的属性。例如,您可以创建一个基于计算的属性,该属性将一个数字属性除以另一个数字属性以显示百分比值。
基于 AQL 的属性
如果要将多个基于提取和计算的属性组合到单个属性中,请创建基于 AQL 的属性。例如,您可以使用基于 AQL 的自定义属性将基于提取的 URL、病毒名称或辅助用户名组合到单个属性中。
CONCAT( ’Src=’, sourceip, ’ | ’, ’User=’, username, ’ | ’, ’Domain=’, DOMAINNAME(domainid) )
AQL 表达式可以包含 AQL 函数。
它不支持使用 SELECT、FROM 或数据库名称的表达式。
您不能使用 SUM 或 GROUP 等聚合功能,或其他基于 AQL 的自定义属性。