AdministrationshandbuchZuordnen und analysierenErstellen von Dateien zum Analysieren von Nachrichten › Erstellen von Vorübereinstimmungsfiltern

Vorheriges Thema: Hinzufügen von globalen Feldern

Nächstes Thema: Erstellen von Analysefiltern

Erstellen von Vorübereinstimmungsfiltern

Sie können einen Vorübereinstimmungsfilter erstellen, damit die XMP-Datei die Suche auf Ereignisinformationen einschränkt, die Sie analysieren möchten. Der Vorübereinstimmungsfilter erkennt eine ausgewählte Textzeichenfolge, um die Ereignisauswahl einzuschränken, die dann von Analysefiltern durchgeführt wird. Wenn Sie sich die Analysedatei als Trichter vorstellen, stellt der Vorübereinstimmungsfilter das Einfüllstück und der Analysefilter den Hals dar.

Je umfassender der Vorübereinstimmungsfilter, umso effizienter verläuft die Analyse. Dies ist so, weil eingeschränkte Vorübereinstimmungskategorien den Verarbeitungsaufwand beim Analysieren von Ereignissen reduzieren.

Wenn Sie beispielsweise Zugriffsversuchsereignisse analysieren möchten, erstellen Sie einen Vorübereinstimmungsfilter, der nach dem Text "login" (Anmeldung) sucht, und fügen diesem Vorübereinstimmungsfilter entsprechende Analysefilter hinzu.

Hinweis: Wenn Sie einen Vorübereinstimmungsfilter löschen, werden auch die zugehörigen Analysefilter entfernt.

So erstellen Sie einen Vorübereinstimmungsfilter:

  1. Öffnen Sie den Analysedatei-Assistenten und fahren Sie mit dem Schritt "Übereinstimmung und Analyse" fort.

    Der Assistent zeigt vorhandene Vorübereinstimmungsfilter in der Liste "Vorübereinstimmungsfilter" an. Jede zeigt die Anzahl der Vorübereinstimmungen für alle Beispielereignisse in Klammern daneben an.

  2. Klicken Sie oben in der Liste "Vorübereinstimmungsfilter" auf "Vorübereinstimmungs-Zeichenfolge hinzufügen", oder wählen Sie einen Vorübereinstimmungsfilter zum Bearbeiten aus.

    Hinweis: Um einen Vorübereinstimmungsfilter auszuwählen, geben Sie die ersten Zeichen der Vorübereinstimmungs-Zeichenfolge in das Suchfeld ein. Es werden alle Vorübereinstimmungs-Zeichenfolgen angezeigt, die mit den eingegebenen Zeichen übereinstimmen. Innerhalb der angezeigten, übereinstimmenden Vorübereinstimmungs-Zeichenfolgen können Sie nicht die Pfeile nach oben bzw. unten verwenden, um eine Vorübereinstimmungs-Zeichenfolge zu verschieben.

  3. Geben Sie den Text, den der Filter suchen soll, in das Eingabefeld "Vorübereinstimmungs-Zeichenfolge" ein.

    Beispielereignisse, die mit dem eingegebenen Text übereinstimmen, werden sofort zusammen mit der Anzahl an übereinstimmenden Ereignissen angezeigt, die gefunden und analysiert wurden.

  4. (Optional) Klicken Sie auf "Vorübereinstimmung basierend auf nicht übereinstimmenden Ereignissen hinzufügen", um alle nicht übereinstimmende Beispielereignisse anzuzeigen.

    Beispielereignisse, die derzeit nicht übereinstimmen, werden im Bereich "Ereignisse" zum leichteren Verweis beim Erstellen eines neuen Vorübereinstimmungsfilters angezeigt.

  5. (Optional) Fügen Sie ggf. weitere Vorübereinstimmungsfilter hinzu, oder bearbeiten Sie ggf. weitere Vorübereinstimmungsfilter.
  6. Legen Sie die Reihenfolge fest, in der bei der Analyse nach Vorübereinstimmungen gesucht werden soll. Verwenden Sie hierzu die Pfeile nach oben bzw. unten neben der Liste "Vorübereinstimmungsfilter". Wenn Sie Vorübereinstimmungsfilter festlegen, die mit mehreren Ereignissen weiter oben in der Prioritätenliste übereinstimmen, wird die Analyse effizienter.
  7. Klicken Sie auf den entsprechenden Pfeil, der Sie zu dem Schritt im Assistenten führt, mit dem Sie fortfahren möchten, oder klicken Sie auf "Speichern und schließen".

    Wenn Sie auf "Speichern und schließen" klicken, erscheint die neue Datei im Ordner "Analysedateibenutzer", andernfalls wird der ausgewählte Schritt angezeigt.