Guida all'amministrazioneMapping e AnalisiModalità di creazione di un file di mapping dei dati › Impostazione di mapping diretti

Argomento precedente: Fornitura degli eventi campione

Argomento successivo: Impostazione dei mapping di funzione

Impostazione di mapping diretti

I mapping diretti impostano corrispondenze 1-1 tra un evento nativo e un valore di un singolo evento perfezionato. Pertanto, è meglio utilizzare il mapping diretto solo per i valori predefiniti oppure per i valori comuni che cambiano saltuariamente, ad esempio il campo ideal_model.

È possibile impostare un mapping perché derivi il valore di un evento perfezionato come segue:

Valore testo

Imposta un testo specifico per uno specifico campo CEG. Questo valore viene visualizzato ogni volta che viene mappato un evento appropriato. Ad esempio, l'impostazione del campo CEG ideal_model su "Firewall" ha come risultato la visualizzazione nel campo ideal_model di "Firewall" per tutte le regole che contengono tale mapping.

Valore campo

Imposta un evento non elaborato il cui contenuto è incluso per uno specifico campo CEG o analizzato. Un valore campo si distingue da un valore testo perché preceduto dal simbolo del dollaro, $. Ad esempio, l'impostazione del campo CEG event_logname su "$Registro" ha come risultato la visualizzazione in tutti gli eventi mappati di qualunque testo sia contenuto nel campo Registro dell'evento nativo.

Per impostare i mapping diretti

  1. Aprire la procedura guidata del file di mapping, immettere un nome, selezionare un Nome registro per il file di mapping e procedere al passaggio Mapping diretti.

    Viene visualizzata la schermata Mapping diretti, che mostra i mapping correnti o predefiniti. La colonna Nome mostra il nome del campo CEG o analizzato. La colonna Valore mostra un valore testo o un valore campo.

    Nota: è necessario selezionare un file di analisi al passaggio Fornire eventi campione per poter visualizzare i valori dei campi analizzati.

  2. Fare clic su Aggiungi mapping diretto per aggiungere una nuova voce di mapping nella parte inferiore della tabella e poi selezionarla, oppure selezionare un mapping diretto corrente da modificare.

    I mapping diretti per il campo, se presenti, vengono visualizzati nell'area Dettagli di mapping.

  3. Selezionare dal menu a discesa Campo un campo CEG o un campo evento analizzato, se disponibile, per eseguire il mapping. Durante la digitazione, la funzione auto-complete (auto-completamento) riduce i campi CEG disponibili nell'elenco.
  4. Immettere un nuovo valore nel campo Aggiungi valore e fare clic sulla voce Aggiungi mapping diretto accanto ad esso. Far precedere il valore dal carattere "$" per indicare un valore di campo e non un valore di testo.

    Tale valore viene visualizzato nell'area Campi selezionati.

  5. (Facoltativo) È possibile immettere più mapping diretti in un singolo campo, utilizzando le frecce su e giù per impostare l'ordine con il quale il file DM li prenderà in considerazione. L'evento perfezionato permette di visualizzare l'ultimo mapping diretto individuato dal file DM.

    Nota: l'aggiunta di valori multipli riduce le prestazioni del mapping, pertanto è opportuno utilizzare questa caratteristica in modo limitato.

  6. (Facoltativo) Utilizzare il controllo pilota per spostare i valori non necessari nell'area Campi disponibili. Così facendo, tali valori non saranno presi in considerazione per il mapping corrente.
  7. Una volta aggiunti tutti i mapping diretti desiderati, fare clic sulla freccia appropriata per procedere al passaggio relativo alla procedura guidata che si desidera completare, oppure fare clic su Salva e chiudi.

Facendo clic su Salva e chiudi, nella cartella Utente file di mapping verrà visualizzato il nuovo file; in caso contrario, verrà visualizzato il passaggio scelto dall'utente.