Guía de administraciónAsignación y análisisCreación de archivos de análisis de mensajes › Creación de filtros de coincidencia previa

Tema anterior: Adición de campos globales

Tema siguiente: Creación de filtros de análisis

Creación de filtros de coincidencia previa

Puede crear un filtro de coincidencia previa para que el archivo XMP limite la búsqueda de la información del evento que se desea analizar. El filtro de coincidencia previa identifica una cadena de texto seleccionado para limitar el proceso de selección de eventos, que se lleva a cabo mediante filtros de análisis. Si imaginamos el archivo de análisis como un embudo, el filtro de coincidencia previa es la boca del embudo y el filtro de análisis su extremo inferior.

Cuanto más completo sea el filtro de coincidencia previa, más eficaz será el proceso de análisis. Esto se debe a que la restricción de las categorías de coincidencia previa permite reducir el esfuerzo de procesamiento necesario para analizar eventos.

Por ejemplo, si desea analizar eventos de intentos de acceso, puede crear un filtro de coincidencia previa que busque el texto "inicio de sesión" y agregar los filtros de análisis correspondientes a dicho filtro de coincidencia previa.

Nota: La supresión de un filtro de coincidencia previa también elimina los filtros de análisis asociados.

Para crear filtros de coincidencia previa

  1. Abra el Asistente del archivo de análisis y vaya al paso Asignar y analizar.

    El asistente muestra los filtros de coincidencia previa existentes en la lista Filtros de coincidencia previa. Cada uno de ellos muestra el número de coincidencias previas con cualquier evento de ejemplo entre paréntesis situado junto a él.

  2. Haga clic en Agregar una cadena de coincidencia previa en la parte superior de la lista Filtros de coincidencia previa o seleccione un filtro de coincidencia previa para editarlo.

    Nota: Para seleccionar un filtro de coincidencia previa, introduzca los primeros caracteres de la cadena de coincidencia previa en el campo de búsqueda. Aparecerán todas aquellas cadenas de coincidencia previa que coincidan con los caracteres introducidos. Tras la búsqueda, no es posible utilizar las flechas de dirección entre los resultados de cadenas de coincidencia previa que aparezcan en pantalla.

  3. Introduzca el texto que desea que busque el filtro en el campo de entrada Cadena de coincidencia previa.

    Inmediatamente, aparecen todos los eventos de ejemplo que coinciden con el texto introducido, así como el número de eventos coincidentes detectados y analizados.

  4. (Opcional) Haga clic en Agregar coincidencia previa en función de los eventos no coincidentes para mostrar todos los eventos de ejemplo no coincidentes.

    En el área de eventos, aparecen todos los eventos de ejemplo no coincidentes para emplearlos como referencia al crear un nuevo filtro de coincidencia previa.

  5. (Opcional) Agregue o edite más filtros de coincidencia previa según lo estime necesario.
  6. Establezca el orden en el que desea que el proceso de análisis busque las coincidencias previas mediante las flechas de dirección junto a la lista Filtros de coincidencia previa. Si se establecen filtros que coinciden con más eventos en una posición más elevada de la lista de prioridad, se incrementa la eficacia del proceso de análisis.
  7. Haga clic en la flecha apropiada para avanzar al paso del asistente que desee completar a continuación o haga clic en Guardar y cerrar.

    Si hace clic en Guardar y cerrar, el archivo nuevo aparece en la carpeta de usuario de archivo de análisis; si no lo hace, aparece el paso seleccionado.