LogPoint 规范化签名语言参考
LogPoint normalization signature language reference
在LogPoint中,我在哪里可以找到用于创建规范化包签名的语言的参考?
或者您可能知道以下语法:
<:time><severity:word>[<process:word>] [<object:string>]
这是什么?有参考文件吗?
不幸的是,这是一种仅供 Logpoint 客户参考的格式。该参考位于用户手册中名为 'Signatures' 的章节中,该章节位于 customer portal.
提示:该语言与我之前了解的任何内容都不一样。如果使用得当,还是可以很厉害的。
<:time><severity:word>[<process:word>] [<object:string>]
抓取键值对的正常格式是<key:'regex_pattern'>
但是,Logpoint 提出了自定义正则表达式,它用更易读的格式取代了普通的旧的和神秘的正则表达式。
这些自定义正则表达式称为 "definers",您可以在文档的附录部分查看定义器列表及其捕获的内容。 logpoint 使用的一些定义器是:int、float、word、words 等
现在关于 <"key":'definer'>
中正则表达式模式 "key" 的前一部分,
"key" 是一组词汇表,被设置为标准名称,与日志中的值绑定。 LogPoint 有数百个关键字,逻辑上足以从几乎所有日志中捕获值。
维护标准密钥池的意义
系统 A 的日志为:
4-5-15 domain:3456 src_add:10.0.1.12 src_prt:80 dst_add:10.0.1.30 dst_prt:100
系统 B 的日志为:
4-5-15 domain:3456 source address:10.0.1.12 source port:80 destination address:10.0.1.30 dstination port:100
在这两个示例中,src_add
和 source address
映射到 source_address
,无论它们在日志中的表示方式如何。这种捕获值的一致性有助于创建强大的智能系统,因此下次您想查看整个系统的流量来源时,只需输入
source_address={filter value}
并监控设备。
如果还有一些困惑,请告诉我。
LogPoint 前雇员
在LogPoint中,我在哪里可以找到用于创建规范化包签名的语言的参考?
或者您可能知道以下语法:
<:time><severity:word>[<process:word>] [<object:string>]
这是什么?有参考文件吗?
不幸的是,这是一种仅供 Logpoint 客户参考的格式。该参考位于用户手册中名为 'Signatures' 的章节中,该章节位于 customer portal.
提示:该语言与我之前了解的任何内容都不一样。如果使用得当,还是可以很厉害的。
<:time><severity:word>[<process:word>] [<object:string>]
抓取键值对的正常格式是<key:'regex_pattern'>
但是,Logpoint 提出了自定义正则表达式,它用更易读的格式取代了普通的旧的和神秘的正则表达式。 这些自定义正则表达式称为 "definers",您可以在文档的附录部分查看定义器列表及其捕获的内容。 logpoint 使用的一些定义器是:int、float、word、words 等
现在关于 <"key":'definer'>
中正则表达式模式 "key" 的前一部分,
"key" 是一组词汇表,被设置为标准名称,与日志中的值绑定。 LogPoint 有数百个关键字,逻辑上足以从几乎所有日志中捕获值。
维护标准密钥池的意义
系统 A 的日志为:
4-5-15 domain:3456 src_add:10.0.1.12 src_prt:80 dst_add:10.0.1.30 dst_prt:100
系统 B 的日志为:
4-5-15 domain:3456 source address:10.0.1.12 source port:80 destination address:10.0.1.30 dstination port:100
在这两个示例中,src_add
和 source address
映射到 source_address
,无论它们在日志中的表示方式如何。这种捕获值的一致性有助于创建强大的智能系统,因此下次您想查看整个系统的流量来源时,只需输入
source_address={filter value}
并监控设备。
如果还有一些困惑,请告诉我。
LogPoint 前雇员