Manuel d'administrationMappage et analyseCréation d'un fichier de mappage de données › Définition de mappages conditionnels

Rubrique précédente: Définition de mappage de fonctions de concaténation

Rubrique suivante: Définition de mappages de blocs

Définition de mappages conditionnels

Les mappages conditionnels relient un champ CEG à différents résultats possibles, ce qui vous permet de définir des valeurs conditionnelles et par défaut pour un champ donné. Vous pouvez par exemple utiliser des mappages conditionnels pour mapper des valeurs de réussite ou d'échec, ou pour identifier les sources d'événement par nom ou par groupe.

Les mappages conditionnels assignent une valeur par défaut et une ou plusieurs valeurs conditionnelles à un champ CEG donné. Vous pouvez définir des critères pour chaque valeur conditionnelle. Si un événement remplit ces critères, la valeur conditionnelle appropriée est assignée au champ choisi. Sinon, le champ d'événement ajusté affiche la valeur par défaut.

En présence de mappages conditionnels dupliqués, le fichier de mappage de données utilise le premier mappage trouvé, sans tenir compte des suivants. Pour améliorer les performances, placez les conditions les plus courantes en premier.

Remarque : Le mappage conditionnel autonome est plus lent que le mappage de blocs. Nous vous recommandons par conséquent de ne l'utiliser que lorsque cela s'avère nécessaire.

Pour définir des mappages conditionnels

  1. Ouvrez l'Assistant de fichier de mappage, entrez un nom et sélectionnez un nom de journal pour le fichier de mappage, puis avancez jusqu'à l'étape Mappages conditionnels.

    L'écran Mappages conditionnels apparaît ; il affiche tous les mappages par défaut en cours. La colonne Champ affiche le nom du champ CEG ou analysé et la colonne Valeur affiche l'actuelle valeur par défaut.

    Remarque : Sélectionnez un fichier d'analyse à l'étape Fournissez les détails du fichier pour afficher les valeurs du champ analysé.

  2. Cliquez sur Ajouter un mappage conditionnel dans la liste Mappages de champs conditionnels et sélectionnez la nouvelle ligne.

    Le volet Détails du mappage apparaît, affichant la liste déroulante Champ et le contrôle de déplacement Valeur.

  3. Dans le menu Champ, sélectionnez le champ CEG que vous souhaitez mapper. Au fur et à mesure de la frappe, la fonction de saisie semi-automatique propose les champs CEG disponibles.
  4. Entrez le mappage par défaut souhaité dans le champ de saisie Ajouter une valeur et cliquez sur Ajouter une valeur pour l'afficher dans le volet Champs sélectionnés. Vous pouvez supprimer les valeurs indésirables en les déplaçant dans le volet Champs disponibles.
  5. Cliquez sur Ajouter une valeur conditionnelle dans la liste Valeurs conditionnelles.

    Une nouvelle valeur apparaît.

  6. Sélectionnez le texte Nouvelle valeur pour le mettre en surbrillance et changer le nom.

    Le nouveau nom apparaît dans la liste et la boîte de dialogue Filtres s'affiche dans le volet Détails.

  7. Créez un filtre pour définir la valeur conditionnelle. Vous pouvez par exemple créer un ou plusieurs filtres pour lier le champ event_source_address à des adresses IP, de manière à identifier les sources d'événement avec un groupe géographique ou tout autre groupe stratégique.
  8. Une fois tous les mappages conditionnels ajoutés, cliquez sur la flèche appropriée pour accéder à l'étape de l'assistant que vous souhaitez effectuer, ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, le nouveau fichier apparaît dans le dossier Utilisateur de fichier de mappage. Sinon, l'étape sélectionnée s'affiche.

Informations complémentaires :

Utilisation des filtres avancés