Extensiones de origen de registro

Un documento de extensión puede ampliar o modificar cómo se analizan los elementos de un origen de registro determinado. Puede utilizar el documento de extensión para corregir un problema de análisis o alterar temporalmente el análisis predeterminado para un suceso de un DSM existente.

Un documento de extensión también puede proporcionar soporte de sucesos cuando no existe un DSM para analizar sucesos para un dispositivo o dispositivo de seguridad de la red.

Un documento de extensión es un documento con formato XML (Extensible Markup Language) que puede crear o editar utilizando cualquier editor de texto, código o marcación habitual. Puede crear varios documentos de extensión, pero solo uno puede aplicarse a un origen de registro.

El formato XML requiere que todos los patrones de expresión regular (regex) se encuentren en secciones de datos de caracteres (CDATA) para evitar que los caracteres especiales que son necesarios para las expresiones regulares interfieran en el formato de códigos. Por ejemplo, el código siguiente muestra la expresión regular para buscar protocolos:

<pattern id="ProtocolPattern" case-insensitive="true" xmlns=""> <![CDATA[(TCP|UDP|ICMP|GRE)]]></pattern>

(TCP|UDP|ICMP|GRE) es el patrón de expresión regular.

La configuración de la extensión de origen de registro consta de las siguientes secciones:

Patrón

Patrones de expresiones regulares que se asocian con un nombre de campo determinado. Se hace referencia a los patrones varias veces en el archivo de extensión de origen de registro.

Grupos de coincidencias

Una entidad dentro de un grupo de coincidencia que se analiza, por ejemplo, EventName, y se empareja con el patrón y grupo adecuados para el análisis. Puede aparecer cualquier número de grupos de coincidencia en el documento de extensión.