Guía de administraciónAsignación y análisisCreación de archivos de asignación de datos › Establecimiento de asignaciones directas

Tema anterior: Ofrecimiento de eventos de ejemplo

Tema siguiente: Establecimiento de asignaciones de función

Establecimiento de asignaciones directas

Las asignaciones directas establecen correspondencias unívocas entre un evento nativo y un único valor de evento refinado. Por lo tanto, es mejor utilizar las asignaciones directas únicamente para valores predeterminados o valores comunes que no se suelen modificar, como el campo ideal_model.

Una asignación puede establecerse para derivar un valor de evento refinado de los modos siguientes:

Valor de texto

Establece un texto específico para un determinado campo de la gramática de eventos comunes. Este valor aparece cada vez que se asigna un evento adecuado. Por ejemplo, al establecer el campo ideal_model de la gramática de eventos comunes como "Cortafuegos", el campo ideal_model muestra "Cortafuegos" en todas las reglas que contienen esa asignación.

Valor de campo

Establece un campo de evento sin formato cuyo contenido se incluye para una gramática de eventos comunes o un archivo analizado determinados. Un valor de campo se distingue de un valor de texto porque el valor va precedido del símbolo del dólar: $. Por ejemplo, si se establece el campo event_logname de la gramática de eventos comunes como "$Registro", todos los eventos asignados mostrarán el texto que aparezca en el campo de registro del evento nativo.

Para establecer asignaciones directas

  1. Abra el asistente de archivos de asignación, introduzca un nombre y seleccione un nombre de registro para el archivo de asignación; a continuación, vaya al paso de asignaciones directas.

    Aparece la pantalla Asignaciones directas, en la que aparecen las asignaciones actuales o predeterminadas. La columna de nombre muestra el nombre del campo analizado o de gramática de eventos comunes. La columna de valor muestra un valor de texto o un valor de campo.

    Nota: Seleccione un archivo de análisis en el paso de proporción de eventos de ejemplo para que aparezcan los valores de campo analizados.

  2. Haga clic en Agregar asignación directa para agregar una nueva entrada de asignación en la parte inferior de la tabla y, a continuación, selecciónela o seleccione una asignación directa actual para editarla.

    Las asignaciones directas del archivo, si las tiene, aparecen en el área de detalles de asignación.

  3. Seleccione un campo de la gramática de eventos comunes o un campo de eventos analizados, si hay alguno disponible, para realizar la asignación en el menú desplegable Campo. Cuando empieza a escribir, la característica de relleno automático limita la lista de campos disponibles de la gramática de eventos comunes.
  4. Introduzca un valor nuevo en el campo de entrada Agregar valor y haga clic en Agregar asignación directa junto a él. Coloque un símbolo "$" antes del valor para indicar que se trata de un valor de campo y no un valor de texto.

    El valor aparece en el área de campos seleccionados.

  5. (Opcional) Puede introducir múltiples asignaciones directas para un único campo mediante las flechas hacia arriba y hacia abajo para establecer el orden en el que las colocará el archivo DM. El evento refinado muestra la última asignación directa localizada por el archivo de asignación de datos.

    Nota: La adición de múltiples valores reduce el rendimiento de la asignación, así que debe tener cuidado a la hora de emplear esta función.

  6. (Opcional) Utilice el control de cambio para desplazar los valores no necesarios al área de campos disponibles para evitar que se tengan en cuenta en la asignación actual.
  7. Cuando haya agregado todas las asignaciones directas deseadas, haga clic en la flecha correspondiente para ir al paso del asistente que desee completar a continuación, o haga clic en Guardar y cerrar.

Si hace clic en Guardar y cerrar, el archivo nuevo aparece en la carpeta de usuario del archivo de asignación; si no lo hace, aparece el paso seleccionado.