Administration GuideMapping e AnalisiModalità di creazione di un file di analisi del messaggio › Creazione di un filtro di corrispondenza preliminare

Argomento precedente: Aggiungi campi globali

Argomento successivo: Creazione di un filtro di analisi

Creazione di un filtro di corrispondenza preliminare

È possibile creare un filtro di corrispondenza preliminare per aiutare il file XMP a restringere la ricerca delle informazioni sugli eventi da analizzare. Il filtro di corrispondenza preliminare identifica una stringa di testo selezionata per restringere il processo di selezione dell'evento, che viene poi completato dai filtri di analisi. Se si considera il file di analisi come un imbuto, il filtro di corrispondenza preliminare costituisce l'imboccatura e il filtro di analisi il beccuccio.

L'efficienza del processo di analisi dipende dalla precisione del filtro di corrispondenza preliminare. Questo si verifica perché le strette categorie di corrispondenza preliminare riducono lo sforzo di elaborazione richiesto per analizzare gli eventi.

Ad esempio, se si desidera analizzare gli eventi di tentativo di accesso, è possibile creare un filtro di corrispondenza preliminare per eseguire la ricerca del testo "login" e, quindi, aggiungere i filtri di analisi al filtro appropriati.

Nota: l'eliminazione di un filtro di corrispondenza preliminare rimuove anche il filtro o filtri di analisi associati.

Per creare un filtro di corrispondenza preliminare

  1. Aprire la Procedura guidata file di parsing e avanzare fino al passaggio Trova corrispondenza e analizza.

    La procedura guidata visualizza tutti i filtri di corrispondenza preliminare esistenti nel relativo elenco. Per ogni filtro viene visualizzato, tra parentesi, un numero di corrispondenze preliminari agli eventi campione.

  2. Fare clic su Aggiungi una stringa di corrispondenza preliminare nella parte superiore dell'elenco Filtri di corrispondenza preliminare, oppure selezionare un filtro da modificare.

    Nota: per selezionare un filtro di corrispondenza preliminare, digitare nel campo Cerca i primi caratteri della stringa di corrispondenza preliminare. Vengono visualizzate tutte le stringhe di corrispondenza preliminare che corrispondono ai caratteri immessi. Non è possibile utilizzare i tasti freccia GIÙ e freccia SU per spostare le stringhe di corrispondenza preliminare visualizzate.

  3. Inserire il testo che il filtro deve ricercare nel campo di immissione Stringhe di corrispondenza preliminare.

    Gli eventuali eventi campione che corrispondono al testo inserito compaiono immediatamente, assieme al numero di eventi corrispondenti trovati e analizzati.

  4. (Facoltativo) Fare clic su Aggiungi corrispondenza preliminare in base agli eventi non corrispondenti per mostrare tutti gli eventi campione non corrispondenti.

    Gli eventuali eventi attualmente non corrispondenti vengono visualizzati nell'area Eventi e forniscono un riferimento semplice per la creazione di un nuovo filtro di corrispondenza preliminare.

  5. (Facoltativo) Aggiungere o modificare ulteriori filtri di corrispondenza preliminare secondo necessità.
  6. Impostare l'ordine in cui il processo di analisi deve cercare le corrispondenze preliminari tramite le frecce verso l'alto e verso il basso poste accanto all'elenco dei filtri di corrispondenza preliminare. L'impostazione di filtri di corrispondenza preliminare che creino corrispondenze con un maggior numero di eventi più in alto nell'elenco di priorità aumenta l'efficienza del processo di analisi.
  7. Fare clic sulla freccia appropriata per andare al passaggio della procedura guidata che si desidera completare successivamente, oppure fare clic su Salva e chiudi.

    Se si fa clic su Salva e chiudi, il nuovo file viene visualizzato nella cartella Utente file di analisi; altrimenti, verrà visualizzato il passaggio selezionato.