Manuel d'administrationMappage et analyseCréation d'un fichier de mappage de données › Définition de mappages directs

Rubrique précédente: Indication d'exemples d'événements

Rubrique suivante: Définition de mappages de fonctions

Définition de mappages directs

Les mappages directs définissent des correspondances 1-1 entre un événement natif et une seule valeur d'événement ajusté. Par conséquent, il est préférable d'utiliser des mappages directs uniquement pour les valeurs par défaut, ou des valeurs courantes qui varient rarement, telles que le champ ideal_model.

Un mappage peut être défini de différentes manières pour dériver une valeur d'événement ajusté.

Valeur de texte

Définit un texte spécifique pour un champ CEG spécifique. Cette valeur apparaît chaque fois qu'un événement approprié est mappé. Par exemple, si vous définissez le champ CEG ideal_model sur "Pare-feu", ce champ indique "Pare-feu" pour toutes les règles qui contiennent ce mappage.

Valeur de champ

Définit un champ d'événement brut dont le contenu est inclus pour un champ CEG ou un champ analysé spécifique. On distingue une valeur de champ d'une valeur de texte en la faisant précéder d'un symbole de dollar, $. Par exemple, si vous définissez le champ CEG event_logname sur "$Journal", tout événement mappé affiche le texte qui apparaît dans le champ Journal de l'événement natif.

Pour définir des mappages directs

  1. Ouvrez l'Assistant de fichier de mappage, entrez un nom et sélectionnez un nom de journal pour le fichier de mappage, puis avancez jusqu'à l'étape Mappages directs.

    L'écran Mappages directs apparaît ; il affiche les mappages en cours ou par défaut. La colonne Nom indique le nom du champ CEG ou analysé. La colonne Valeur indique soit une valeur de texte, soit une valeur de champ.

    Remarque : Sélectionnez un fichier d'analyse à l'étape Fournissez des exemples d'événements pour afficher les valeurs du champ analysé.

  2. Cliquez sur Ajouter un mappage direct pour ajouter une nouvelle entrée de mappage en bas du tableau, puis sélectionnez-la, ou bien sélectionnez un mappage direct existant à modifier.

    Les mappages directs pour le champ apparaissent le cas échéant dans la zone Détails du mappage.

  3. Dans le menu déroulant Champ, sélectionnez un champ CEG ou un champ d'événement analysé (si disponible) à mapper. Au fur et à mesure de la frappe, la fonction de saisie semi-automatique propose les champs CEG disponibles.
  4. Entrez une nouvelle valeur dans le champ de saisie Ajouter une valeur et cliquez sur l'option Ajouter un mappage direct qui se trouve en regard de ce champ. Faites précéder la valeur du symbole "$" pour indiquer qu'il s'agit d'une valeur de champ, et non d'une valeur de texte.

    La valeur apparaît dans la zone Champs sélectionnés.

  5. Vous pouvez entrer plusieurs mappages directs pour un même champ ; utilisez les flèches haut et bas pour définir l'ordre dans lequel le fichier de mappage de données les considère (facultatif). L'événement ajusté affiche le dernier mappage direct localisé par le fichier de mappage de données.

    Remarque : L'ajout de plusieurs valeurs réduit les performances du mappage. Par conséquent, utilisez cette fonction avec modération.

  6. Utilisez le contrôle de déplacement pour déplacer les valeurs inutiles dans la zone Champs disponibles afin qu'elles ne soient pas prises en compte dans le mappage en cours (facultatif).
  7. Une fois tous les mappages directs souhaités ajoutés, cliquez sur la flèche appropriée pour accéder à l'étape de l'assistant que vous souhaitez effectuer, ou cliquez sur Enregistrer et fermer.

Si vous cliquez sur Enregistrer et fermer, le nouveau fichier apparaît dans le dossier Utilisateur de fichier de mappage. Sinon, l'étape sélectionnée s'affiche.