AdministrationshandbuchZuordnen und analysierenErstellen von Datenzuordnungsdateien › Bereitstellen von Beispielereignissen

Vorheriges Thema: Angaben von Dateidetails

Nächstes Thema: Festlegen direkter Zuordnungen

Bereitstellen von Beispielereignissen

Suchen Sie mit dem Assistenten für Zuordnungsdateien nach Beispielereignissen, um die DM-Datei zu testen. Durchsuchen Sie den Ereignisprotokollspeicher, oder entnehmen Sie die Beispiele direkt aus einer Protokolldatei. Beispielereignisse dienen als Vorlage, um die Analyseausgabe im letzten Schritt im Assistenten testen.

So geben Sie Beispielereignisse an:

  1. Öffnen Sie den Assistenten für Zuordnungsdateien, und fahren Sie mit dem Schritt zum Laden von Beispielereignissen fort.

    Das Fenster für Beispielereignisse wird geöffnet.

  2. Aktivieren Sie im Bereich zum Suchen von Beispielereignissen die Optionsschaltfläche "Protokollspeicher" oder "Protokolldatei".
  3. Wenn Sie "Protokollspeicher" auswählen, gehen Sie wie folgt vor:
    1. Wählen Sie im Menü "Analysespalte" den Quelltyp des gewünschten Beispielereignisses aus. Für WMI-Ereignisquellen wählen Sie "result_string", für Syslog-Ereignisquellen "raw_event" aus.
    2. Wählen Sie in der Liste für Abfragekennungsfilter und Abfragen die Abfrage aus, mit der die Beispielereignisse abgerufen werden sollen.

      Die Abfrage wird mit den Beispielereignissen angezeigt.

      Hinweis: Beispielereignisse können mit einer beliebigen verfügbaren oder benutzerdefinierten Abfrage abgerufen werden. Soll eine benutzerdefinierte Abfrage verwendet werden, empfiehlt es sich, diese vor Erstellung der Datenzuordnungsdatei zu erstellen und zu testen.

  4. Wenn Sie "Protokolldatei" auswählen, gehen Sie wie folgt vor:
    1. Suchen Sie die gewünschte Protokolldatei, und klicken Sie auf "Hochladen".

      Die Ereignisse aus der Protokolldatei werden im Bereich mit den Beispielereignissen angezeigt.

      Hinweis: Im Assistenten wird davon ausgegangen, dass jede Zeile in der Datei einem Ereignis entspricht. Mehrzeilige Ereignisse werden nicht unterstützt.

    2. Klicken Sie auf "Dynamische Felder extrahieren", wenn Ihre Beispielprotokolldatei dynamische Paarwerte enthält, die Sie im analysierten Beispiel berücksichtigen möchten.
  5. Klicken Sie auf den entsprechenden Pfeil, der Sie zu dem Schritt im Assistenten führt, mit dem Sie fortfahren möchten, oder klicken Sie auf "Speichern und schließen".

    Wenn Sie auf "Speichern und schließen" klicken, erscheint die neue Datei im Ordner "Zuordnungsdateibenutzer", andernfalls wird der ausgewählte Schritt angezeigt.

Weitere Informationen

Dynamisches Analysieren