Table des Matières
Publicité
Tableau 39. Paramètres de la fenêtre de définition des propriétés personnalisées (expression régulière) (suite)
Paramètre
New Property
Optimize parsing for rules, reports, and searches
Field Type
Description
Property Expression Definition
Log Source Type
Log Source
Description
Pour créer une nouvelle propriété, sélectionnez cette
option et entrez un nom unique pour cette propriété
personnalisée. Le nouveau nom de propriété ne peut pas
être le nom d'une propriété normalisée, comme
Username, Source IP ou Destination IP.
Pour analyser et stocker la propriété la première fois que
l'événement ou le flux est reçu, sélectionnez cette case à
cocher. Lorsque vous sélectionnez cette case à cocher, la
propriété ne nécessite pas d'analyse supplémentaire pour
les tests de rapport, de recherche ou de règle.
Si vous la désactivez, la propriété est analysée à chaque
fois qu'un test de rapport, de recherche ou de règle est
effectué.
Cette option est désactivée par défaut.
Dans cette zone de liste, sélectionnez le type de zone.
The field type determines how the custom property is
displayed and which options are available for
aggregation. Les options de type de zone sont les
suivantes :
v Alphanumeric
v Numeric
v IP
v Port
La valeur par défaut est alphanumeric.
Saisissez une description de cette propriété
personnalisée.
Dans la zone de liste, sélectionnez le type de source de
journal auquel s'applique cette propriété d'événement
personnalisé.
Ce paramètre ne s'affiche que dans la fenêtre Custom
Event Property Definition.
Dans la zone de liste, sélectionnez la source du journal à
laquelle s'applique cette propriété d'événement
personnalisé. S'il existe plusieurs sources de journal
associées à cet événement, cette zone indique le terme
Multiple et le nombre de sources du journal.
Ce paramètre ne s'affiche que dans la fenêtre Custom
Event Property Definition.
Chapitre 8. Propriétés d'événements et de flux personnalisés
139
Publicité
Table des Matières
