Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский

Содержание

Условие передачи данных в дополнительный нормализатор

Окно Добавление дополнительного нормализатора используется для определения условий, при которых данные будут попадать в дополнительный нормализатор.

Доступные параметры:

  • Поля, которые следует передать в нормализатор – используется для указания полей события в том случае, если вы хотите отправлять в дополнительный нормализатор только события с определенными полями.

    Если оставить это поле пустым, в дополнительный нормализатор для обработки будет передано событие целиком.

  • Нормализовать, если поле события имеет определенное значение – используется для указания полей события, если вы хотите отправлять в дополнительный нормализатор только события, в которых определенным полям присвоены определенные значения. Значение указывается в поле Значение условия.

    Обрабатываемые этими условиями данные можно предварительно преобразовать, если нажать на кнопку wrench-new: откроется окно Преобразование, в котором с помощью кнопки Добавить преобразование можно создать правила изменения исходных данных перед тем, как они будут записаны в поля событий KUMA.

    Доступные преобразования

    Преобразования – это изменения, которые можно применить к значению до того, как оно будет записано в поле события. Тип преобразования выбирается в раскрывающемся списке.

    Доступные преобразования:

    • lower – используется для перевода всех символов значения в нижний регистр
    • upper – используется для перевода всех символов значения в верхний регистр
    • regexp – используется для преобразования значения с помощью регулярного выражения RE2. Поле, в которое следует добавить регулярное выражение, появляется, когда выбран этот тип преобразования.
    • substring – используется для извлечения символов в диапазоне позиций, указанном в полях Начало и Конец. Эти поля появляются, когда выбран данный тип преобразования.
    • replace – используется для замены указанной последовательности символов на другую последовательность символов. Когда выбран этот тип преобразования, появляются новые поля:
      • Символы на замену – в этом поле вы можете указать последовательность символов, которую следует заменить.
      • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
    • trim – используется для удаления одновременно с начала и с конца значения поля события символов, указанных в поле Символы. Это поле появляется при выборе данного типа преобразования. Например, если для значения Microsoft-Windows-Sysmon выполнить преобразование trim со значением Micromon, то получается значение soft-Windows-Sys.
    • append – используется для добавления в конец значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
    • prepend – используется для добавления к началу значения поля события символов, указанных в поле Константа. Это поле появляется при выборе данного типа преобразования.
    • replace with regexp – используется для замены результатов регулярного выражения RE2 на последовательность символов.
      • Выражение – в этом поле вы можете указать регулярное выражение, результаты которого следует заменить.
      • Чем заменить – в этом поле вы можете указать последовательность символов, которая должна использоваться вместо заменяемой последовательности символов.
В начало
[Topic 221934]