Guía de administraciónAsignación y análisisCreación de archivos de análisis de mensajes › Creación de filtros de análisis

Tema anterior: Creación de filtros de coincidencia previa

Tema siguiente: Análisis dinámico

Creación de filtros de análisis

Puede crear un filtro de análisis para definir cómo analiza el archivo XMP los datos de eventos. Cada filtro de análisis está vinculado a un filtro de coincidencia previa. Tras la ubicación de una cadena de coincidencia previa, el proceso de análisis emplea los filtros de análisis vinculados a dicha coincidencia previa por orden para detectar la información especificada. El proceso de análisis muestra la primera coincidencia positiva que encuentra.

Al hacer clic en el botón Agregar un filtro de análisis en el paso de coincidencia y análisis del asistente de análisis de mensajes, se inicia el asistente del filtro de archivos de análisis. Para crear filtros de análisis eficaces, necesita conocer a fondo la sintaxis de las expresiones regulares.

Para crear filtros de análisis

  1. Abra el asistente del filtro de archivos de análisis y escriba el nombre de un filtro y una descripción opcional en la página Detalles del filtro.
  2. Haga clic en Agregar nuevo para añadir un valor de campo estático que desee mostrar en todos los eventos analizados por el filtro.

    Aparece una fila de campo estático en la que se muestran las celdas de campo nuevo y valor nuevo.

  3. Introduzca un valor en la celda de campo nuevo y en la celda de valor nuevo. La función de relleno automático reduce los nombres de campo de gramática de eventos comunes disponibles a medida que escribe en la celda de campo nuevo y le muestra un menú de opciones.
  4. (Opcional) Repita los pasos 2 y 3 para agregar valores de campo estáticos según sea necesario.
  5. Vaya al paso de expresión regular.

    Se abre la ventana Prueba de la expresión de análisis, que muestra todas las expresiones regulares actuales. Justo debajo de la expresión regular está el panel Evento. Esta área muestra uno o más eventos de ejemplo si ha cargado eventos de ejemplo previamente. El asistente puede probar estos eventos con respecto a la expresión regular a medida que la crea.

  6. Haga clic en Agregar o eliminar tokens de la biblioteca para mostrar una lista de las expresiones regulares predefinidas que puede agregar para emplearlas en el filtro actual. Seleccione los tokens que desea agregar y haga clic en Aceptar para añadirlos a la lista de tokens de análisis.
  7. (Opcional) Haga clic en Nuevo token de expresión regular para crear un token de análisis e introduzca la sintaxis de la expresión regular en el panel Detalles del token. Ahora puede crear expresiones personalizadas para su entorno. Puede agregar un token personalizado a la biblioteca local mediante un clic en Agregar token seleccionado a la biblioteca en la parte superior del panel de tokens de análisis.

    Nota: Cuando cree un token de fecha y hora nuevo, seleccione la casilla de verificación 'Tratar como un valor de fecha y hora' para introducir un formato para analizar el valor de tiempo. Este valor no afecta al formato de visualización.

  8. Agregue instrucciones de expresiones regulares para el filtro en el campo de entrada Expresión regular. Puede arrastrar expresiones de la lista de tokens de análisis. También puede introducir o editar la expresión directamente en el campo de entrada Expresión regular.

    Nota: La selección de un token en la lista de tokens de análisis muestra su sintaxis de expresiones regulares en el panel Detalles del token. Puede ver la asignación de tokens de análisis en una regla determinada para repetirla en otras reglas de análisis.

  9. (Opcional) Seleccione la casilla de verificación Nombre dinámico/Pares de valores si los eventos de destino incluyen pares de claves que desea visualizar. Consulte "Análisis dinámico" para obtener más información.
  10. (Opcional) Si desea emplear el análisis dinámico, introduzca una expresión de análisis dinámico en el campo de entrada de pares dinámicos. Por ejemplo, introduzca: 
    (_PAIR_KEY_)=(_PAIR_VALUE_);

    Aparecen todos los pares separados por un signo igual y delimitados mediante un punto y coma. Puede introducir más expresiones para encontrar pares mostrados en otros formatos. Consulte Análisis dinámico para obtener más información.

  11. Realice una vista previa de cómo el archivo analiza los eventos de ejemplo mediante los paneles Evento y Evento analizado. A medida que modifica la expresión regular del filtro de análisis, las partes analizadas del evento de ejemplo se resaltan con texto de color azul y los pares analizados dinámicamente aparecen en verde. Puede comprobar la eficacia del análisis.
  12. (Opcional) Cambie de evento de ejemplo para realizar otra prueba mediante las flechas de avance y retroceso del panel Evento para desplazarse por los eventos de ejemplo disponibles.
  13. Haga clic en Guardar y cerrar cuando esté satisfecho con la expresión regular. Puede emplear la opción Restablecer para devolver la expresión regular a su estado inicial.

    El asistente del filtro de archivos de análisis se cierra y vuelve a aparecer el paso de asignación y análisis del asistente del archivo de análisis.

Más información:

Análisis dinámico

Tokens de análisis

Adición de un token personalizado a la biblioteca