Manuel d'administrationMappage et analyseCréation d'un fichier de mappage de données › Indication d'exemples d'événements

Rubrique précédente: Indication des détails de fichier

Rubrique suivante: Définition de mappages directs

Indication d'exemples d'événements

Vous pouvez utiliser l'Assistant de fichier de mappage pour rechercher des exemples d'événements à utiliser pour l'analyse du fichier de mappage de données. Vous pouvez lancer une recherche dans le magasin de journaux d'événements ou fournir des exemples d'événements directement à partir d'un fichier journal. Les exemples d'événements servent de modèles qui permettent de tester la sortie de mappage lors de l'étape finale de l'assistant.

Pour fournir des exemples d'événements

  1. Ouvrez l'Assistant de fichier de mappage et avancez jusqu'à l'étape Exemples d'événements.

    L'écran Exemples d'événements apparaît.

  2. Sélectionnez le bouton d'option Magasin de journaux ou Fichier journal dans la zone Rechercher des exemples d'événement.
  3. Si vous sélectionnez Magasin de journaux
    1. Sélectionnez le type de source d'exemples d'événements souhaité dans le menu déroulant Colonne d'analyse. Sélectionnez result_string pour les sources d'événement WMI ou raw_event pour les sources d'événement Syslog.
    2. Sélectionnez la requête à utiliser pour fournir des exemples d'événements à l'aide du Filtre de balise de requête et de la Liste de requêtes.

      La requête apparaît ; elle affiche les exemples d'événements.

      Remarque : Vous pouvez utiliser toute requête disponible ou personnalisée pour localiser des exemples d'événements. Si vous envisagez d'utiliser une requête personnalisée, nous vous recommandons de la créer et de la tester avant d'entamer le processus de conception de fichier de mappage de données.

  4. Si vous sélectionnez Fichier journal
    1. Recherchez le fichier journal souhaité et cliquez sur Charger.

      Les événements du fichier journal apparaissent dans le volet Exemples d'événements.

      Remarque : L'assistant considère que chaque ligne du fichier est un événement. Les événements répartis sur plusieurs lignes ne sont pas pris en charge.

    2. Cliquez sur Extraire des champs dynamiques si votre exemple de fichier journal contient des valeurs de paires dynamiques à inclure dans l'exemple analysé.
  5. Cliquez sur la flèche appropriée pour accéder à l'étape de l'assistant que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, le nouveau fichier apparaît dans le dossier Utilisateur de fichier de mappage. Sinon, l'étape sélectionnée s'affiche.

Informations complémentaires :

Analyse dynamique