Création D'une Propriété Personnalisée Basée Sur Une Expression Régulière - IBM Security QRadar Guide D'utilisation

au droit d'un autre compte est signalé. Cependant, généralement le compte
utilisateur réel ou le droit ayant été modifié ne peut pas s'afficher. Vous pouvez
créer une propriété personnalisée pour extraire ces informations dans les journaux
et utiliser ensuite la propriété pour les recherches et les rapports. L'utilisation de
cette fonction nécessite une connaissance approfondie des expressions régulières
(regex).
L'expression régulière définit la zone que vous souhaitez définir en tant que
propriété personnalisée. Après avoir entré une instruction d'expression régulière,
vous pouvez la valider par rapport au contenu. Lorsque vous définissez des
modèles d'expression régulière personnalisés, vous devez accepter les règles
d'expression régulière telles que définies par le langage de programmation Java.
Pour en savoir plus, vous pouvez vous référer aux tutoriels d'expressions
régulières disponibles sur le Web. Une propriété personnalisée peut être associée à
plusieurs expressions régulières.
Lorsqu'un événement ou un flux est analysé, chaque modèle d'expression régulière
est testé sur l'événement ou sur le flux jusqu'à ce qu'un modèle d'expression
régulière corresponde au contenu. Le premier modèle d'expression régulière à
correspondre au contenu de l'événement ou du flux détermine les données à
extraire.
A l'aide des propriétés personnalisées basées sur des calculs, vous pouvez effectuer
des calculs sur un événement numérique existant ou sur des propriétés de flux afin
de produire une propriété calculée.
Par exemple, vous pouvez créer une propriété qui affiche un pourcentage en
divisant une propriété numérique par une autre.
Création d'une propriété personnalisée basée sur une expression
régulière
Vous pouvez créer une propriété client basée sur une expression régulière afin que
les contenus d'événements ou de flux correspondent à une expression régulière.
Pourquoi et quand exécuter cette tâche
Lorsque vous configurez une propriété personnalisée basée sur l'expression
régulière, les fenêtres de propriété d'événement personnalisé ou de propriété de
flux personnalisé fournissent les paramètres suivants :
Tableau 39. Paramètres de la fenêtre de définition des propriétés personnalisées (expression régulière)
Paramètre
Test field
Property Definition
Existing Property
138
IBM Security QRadar - Guide d'utilisation
Description
Indique le contenu qui a été extrait de l'événement ou du
flux non normalisé.
Indique le contenu qui a été extrait de l'événement non
normalisé.
Pour sélectionner une propriété existante, sélectionnez
cette option, puis un nom de propriété enregistré
précédemment dans la zone de liste.