LogPoint 规范化签名语言参考

LogPoint normalization signature language reference

LogPoint中,我在哪里可以找到用于创建规范化包签名的语言的参考?

或者您可能知道以下语法:

<:time><severity:word>[<process:word>] [<object:string>]

这是什么?有参考文件吗?

不幸的是,这是一种仅供 Logpoint 客户参考的格式。该参考位于用户手册中名为 'Signatures' 的章节中,该章节位于 customer portal.

提示:该语言与我之前了解的任何内容都不一样。如果使用得当,还是可以很厉害的。

<:time><severity:word>[<process:word>] [<object:string>]

抓取键值对的正常格式是<key:'regex_pattern'>

但是,Logpoint 提出了自定义正则表达式,它用更易读的格式取代了普通的旧的和神秘的正则表达式。 这些自定义正则表达式称为 "definers",您可以在文档的附录部分查看定义器列表及其捕获的内容。 logpoint 使用的一些定义器是:int、float、word、words 等

现在关于 <"key":'definer'> 中正则表达式模式 "key" 的前一部分, "key" 是一组词汇表,被设置为标准名称,与日志中的值绑定。 LogPoint 有数百个关键字,逻辑上足以从几乎所有日志中捕获值。

维护标准密钥池的意义

系统 A 的日志为:

4-5-15 domain:3456 src_add:10.0.1.12 src_prt:80 dst_add:10.0.1.30 dst_prt:100 

系统 B 的日志为:

4-5-15 domain:3456 source address:10.0.1.12 source port:80 destination address:10.0.1.30 dstination port:100

在这两个示例中,src_addsource address 映射到 source_address,无论它们在日志中的表示方式如何。这种捕获值的一致性有助于创建强大的智能系统,因此下次您想查看整个系统的流量来源时,只需输入

source_address={filter value} 

并监控设备。

如果还有一些困惑,请告诉我。

LogPoint 前雇员