Generische Ereignis- und Datenquellen (Eigenschaften)

Einmaliger Name für das generische Ereignis. Der Name muss einmalig unter allen Ereignistypen sein, wie z. B. benutzerdefinierte Ereignisse, Analyseereignisse und so weiter.

Generische Ereignisse sind standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um das Ereignis zu deaktivieren.

Ausdruck, nach dem das System bei der Analyse von Datenpaketen suchen soll. Sie können die folgenden Operatoren verwenden:

• ( ): Wird verwendet, um sicherzustellen, dass verwandte Begriffe zusammen als logische Einheit verarbeitet werden. Sie können verwendet werden, um eine bestimmte Verarbeitungsreihenfolge in der Analyse zu erzwingen

Beispiel: Bei den Suchkriterien "(Benutzer001 ODER Tür053) UND Sonntag" werden zuerst die beiden Begriffe zwischen den Klammern verarbeitet, dann wird das Ergebnis mit dem letzten Teil des Strings kombiniert. Also sucht das System zuerst nach Paketen, die einen der beiden Begriffe Benutzer001 oder Tür053 beinhalten; dann wird überprüft, welche der Ergebnispakete zusätzlich den Begriff Sonntag enthalten.

• UND: Mit dem UND-Operator bestimmen Sie, dass die Begriffe auf beiden Seiten des UND-Operators vorhanden sein müssen

Beispiel: Die Suchkriterien "Benutzer001 UND Tür053 UND Sonntag" liefern nur dann ein Ergebnis, wenn die Begriffe Benutzer001, Tür053 und Sonntag alle in Ihrem Ausdruck vorkommen. Es reicht nicht aus, wenn nur einer oder zwei der Begriffe darin vorkommen. Je mehr Begriffe Sie mit UND verbinden, desto weniger Ergebnisse erhalten Sie.

• ODER: Mit dem ODER-Operator bestimmen Sie, dass entweder der eine oder der andere Begriff vorhanden sein muss

Beispiel: Die Suchkriterien "Benutzer001 ODER Tür053 ODER Sonntag" liefern alle Ergebnisse, die entweder Benutzer001, Tür053 oder Sonntag beinhalten. Je mehr Begriffe Sie mit ODER verbinden, desto mehr Ergebnisse erhalten Sie.

Legt fest, wie genau das System beim Analysieren von erhaltenen Datenpaketen vorgehen soll. Es gibt die folgenden Optionen:

• Suche: Damit das Ereignis eintritt, muss das erhaltene Datenpaket den Text enthalten, der im Feld Ausdruck angegeben wurde, aber es darf auch noch weitere Inhalte haben.
  
  Beispiel: Wenn Sie bestimmt haben, dass das erhaltene Paket die Begriffe Benutzer001 und Tür053 enthalten soll, wird das Ereignis ausgelöst, wenn das empfangene Paket die Begriffe Benutzer001 und Tür053 und Sonntag enthält, da Ihre beiden gewünschten Begriffe im erhaltenen Paket enthalten sind
• Übereinstimmung: Damit das Ereignis eintritt, muss das erhaltene Datenpaket genau den Text enthalten, der im Feld Ausdruck angegeben wurde, und nichts anderes
• Regulärer Ausdruck: Damit das Ereignis eintritt, muss der Text, der im Feld Ausdruck angegeben wurde, bestimmte Muster in den erhaltenen Datenpaketen angeben

Wenn Sie von Suche oder Übereinstimmung auf Regulärer Ausdruck wechseln, wird der Text im Feld Ausdruck automatisch in einen regulären Ausdruck übersetzt.

Die Priorität muss als Zahl zwischen 0 (niedrigste Priorität) und 999999 (höchste Priorität) festgelegt werden.

Dasselbe Datenpaket kann auf unterschiedliche Ereignisse analysiert werden. Mit der Funktion des Zuweisens einer Priorität zu jedem Ereignis können Sie einstellen, welches Ereignis ausgelöst werden soll, wenn ein erhaltenes Paket mit den Kriterien von mehreren Ereignissen übereinstimmt.

Wenn das System ein TCP- und/oder UDP-Paket erhält, beginnt die Analyse des Pakets auf das Ereignis, das die höchste Priorität hat. Auf diese Weise wird nur das Ereignis mit der höchsten Priorität ausgelöst, wenn ein Paket mit den Kriterien von mehreren Ereignissen übereinstimmt. Wenn ein Paket mit den Kriterien von mehreren Ereignissen mit identischer Priorität übereinstimmt, z. B. zwei Ereignisse mit Priorität 999, werden alle Ereignisse dieser Priorität ausgelöst.

Ein Ereignis-String, der mit dem Ausdruck abgeglichen werden soll, der im Feld Ausdruck eingegeben wurde.

Sie können zwischen zwei standardmäßigen Datenquellen wählen und eine benutzerdefinierte Datenquelle einstellen. Die Wahl hängt von Ihrem Drittanbieterprogramm und/oder der Hardware oder Software ab, die Sie als Interface verwenden möchten:

Kompatibel: Werkseinstellungen sind aktiviert, Echo bei allen Bytes, TCP und UDP, nur IPv4, Port 1234, kein Trennzeichen, nur lokaler Host, aktuelle Codepage-Verschlüsselung (ANSI).

International: Werkseinstellungen sind aktiviert, Echo nur bei Statistiken, nur TCP, IPv4+6, Port 1235, <CR><LF> als Trennzeichen, nur lokaler Host, UTF-8-Kodierung. (<CR><LF> = 13,10).

[Datenquelle A]

[Datenquelle B]

und so weiter.

Anklicken, um eine neue Datenquelle zu erstellen.

Name der Datenquelle.

Datenquellen sind standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um die Datenquelle zu deaktivieren.

Anklicken, um alle Einstellungen der ausgewählten Datenquelle zurückzusetzen. Der Name, der im Feld Name eingegeben wurde, bleibt.

Die Portnummer der Datenquelle.

Protokolle, die vom System beachtet und analysiert werden sollen, um generische Ereignisse zu erkennen:

Beliebig: Sowohl TCP als auch UDP.

TCP: Nur TCP.

UDP: Nur UDP.

TCP- und UDP-Pakete, die für generische Ereignisse verwendet werden, dürfen Sonderzeichen enthalten, wie z. B. @, #, +, ~ und andere.

Auswählbare IP-Adressentypen: IPv4, IPv6 oder beide.

Wählen Sie die Separator-Bytes aus, um einzelne generische Ereignisaufzeichnungen zu trennen. Standardwert für den Datenquelltyp International (siehe Datenquelle) ist 13,10. (13,10 = <CR><IF>).

Verfügbare Formate für die Echorückstrahlung:

• Echo-Statistiken: Echo für das folgende Format: [X],[Y],[Z],[Name generisches Ereignis]

  [X] = Anforderungsnummer.

  [Y] = Zeichenzahl.

  [Z] = Anzahl der Übereinstimmungen mit einem generischen Ereignis.

  [Name des generischen Ereignisses] = Name, der im Feld Name eingegeben wurde.

• Echo bei allen Bytes: Echo bei allen Bytes
• Kein Echo: Unterdrückt alle Echos

Standardmäßig zeigt die Liste nur die wichtigsten Optionen. Aktivieren Sie das Kontrollkästchen Alle anzeigen, um alle verfügbaren Kodierungsoptionen anzuzeigen.

Siehe vorheriger Eintrag.

Bestimmen Sie die IP-Adressen, mit denen Management-Server kommunizieren können muss, um externe Ereignisse zu verwalten. Sie können damit auch IP-Adressen ausschließen, von denen Sie keine Daten möchten.

Bestimmen Sie die IP-Adressen, mit denen Management-Server kommunizieren können muss, um externe Ereignisse zu verwalten. Sie können damit auch IP-Adressen ausschließen, von denen Sie keine Daten möchten.