Условие передачи данных в дополнительный нормализатор
Окно Добавление дополнительного нормализатора используется для определения условий, при которых данные будут попадать в дополнительный нормализатор.
Доступные параметры:
Поля, которые следует передать в нормализатор – используется для указания полей события в том случае, если вы хотите отправлять в дополнительный нормализатор только события с определенными полями.
Если оставить это поле пустым, в дополнительный нормализатор для обработки будет передано событие целиком.
Нормализовать, если поле события имеет определенное значение – используется для указания полей события, если вы хотите отправлять в дополнительный нормализатор только события, в которых определенным полям присвоены определенные значения. Значение указывается в поле Значение условия.
Обрабатываемые этими условиями данные можно предварительно преобразовать, если нажать на кнопку : откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.
Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.
Доступные преобразования:
lower – используется для перевода всех символов значения в нижний регистр
upper – используется для перевода всех символов значения в верхний регистр
regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
: откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.