Manuel d'administrationMappage et analyseCréation d'un fichier d'analyse de message › Création d'un filtre de précorrespondance

Rubrique précédente: Ajout de champs globaux

Rubrique suivante: Création d'un filtre d'analyse

Création d'un filtre de précorrespondance

Vous pouvez créer un filtre de précorrespondance pour aider le fichier XMP à concentrer sa recherche d'informations d'événement à analyser. Le filtre de précorrespondance identifie une chaîne de texte sélectionnée pour restreindre le processus de sélection d'événement effectué ensuite par les filtres d'analyse. On peut considérer le fichier d'analyse comme un entonnoir dont le filtre de précorrespondance serait le cône et le filtre d'analyse le tube.

Plus le filtrage de précorrespondance est complet, plus le processus d'analyse est efficace. En effet, les catégories de précorrespondance affinées contribuent à réduire le travail de traitement requis pour analyser les événements.

Par exemple, pour analyser les événements de tentative d'accès, vous pouvez créer un filtre de précorrespondance qui recherche le texte "login" et lui ajouter des filtres d'analyse appropriés.

Remarque : La suppression d'un filtre de précorrespondance supprime également le(s) filtre(s) associé(s).

Pour créer un filtre de précorrespondance

  1. Ouvrez l'Assistant de fichier d'analyse et avancez jusqu'à l'étape de définition de la correspondance et d'analyse des événements.

    L'assistant affiche tous les filtres de précorrespondance existants dans la liste Filtres de précorrespondance. En regard de chacun d'eux s'affiche entre parenthèses le nombre de précorrespondances à des exemples d'événements.

  2. Cliquez sur Ajouter une chaîne de précorrespondance en haut de la liste Filtres de précorrespondance ou sélectionnez un filtre de précorrespondance à modifier.

    Remarque : Pour sélectionner un filtre de précorrespondance, entrez les premiers caractères de la chaîne de précorrespondance dans le champ Rechercher. Toutes les chaînes de précorrespondance correspondant aux caractères entrés apparaissent. Une fois les chaînes de précorrespondances affichées, vous ne pouvez pas les déplacer au moyen des flèches haut et bas.

  3. Saisissez le texte que le filtre doit rechercher dans le champ de saisie Chaîne de précorrespondance.

    Les exemples d'événements qui correspondent au texte saisi apparaissent immédiatement, avec le nombre d'événements correspondants trouvés et analysés.

  4. Cliquez sur Ajouter une précorrespondance sur la base des événements sans correspondance pour afficher tous les exemples d'événements sans correspondance (facultatif).

    Tous les exemples d'événements actuellement sans correspondance apparaissent dans la zone Evénements pour faciliter la création d'un nouveau filtre de précorrespondance.

  5. Ajoutez ou modifiez autant de filtres de précorrespondance supplémentaires que nécessaire (facultatif).
  6. Définissez l'ordre dans lequel vous souhaitez que le processus d'analyse recherche les précorrespondances à l'aide des flèches haut et bas en regard de la liste Filtres de précorrespondance. Pour améliorer l'efficacité de votre processus d'analyse, pensez à placer plus haut dans la liste des priorités les filtres de précorrespondance générant un plus grand nombre d'événements.
  7. Cliquez sur la flèche appropriée pour accéder à l'étape de l'assistant que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, le nouveau fichier apparaît dans le dossier Utilisateur de fichier d'analyse. Sinon, l'étape choisie apparaît.