Generische Ereignis- und Datenquellen (Eigenschaften)

Einmaliger Name für das generische Ereignis. Der Name muss einmalig unter allen Ereignistypen sein, wie z. B. benutzerdefinierte Ereignisse, Analyseereignisse und so weiter.

Generische Ereignisse sind standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um das Ereignis zu deaktivieren.

Ausdruck, nach dem das System bei der Analyse von Datenpaketen suchen soll. Sie können die folgenden Operatoren verwenden:

• ( ): Wird verwendet, um sicherzustellen, dass verwandte Begriffe zusammen als logische Einheit verarbeitet werden. Sie können verwendet werden, um eine bestimmte Verarbeitungsreihenfolge in der Analyse zu erzwingen

Beispiel: Bei den Suchkriterien (Benutzer001 ODER Tür053) UND Sonntag werden zuerst die beiden Begriffe zwischen den Klammern verarbeitet, dann wird das Ergebnis mit dem letzten Teil des Strings kombiniert. Also sucht das System zuerst nach Paketen, die einen der beiden Begriffe Benutzer001 oder Tür053 beinhalten; dann wird überprüft, welche der Ergebnispakete zusätzlich den Begriff Sonntag enthalten.

• UND: Mit dem UND-Operator bestimmen Sie, dass die Begriffe auf beiden Seiten des UND-Operators vorhanden sein müssen

Beispiel: Die Suchkriterien Benutzer001 UND Tür053 UND Sonntag liefern nur dann ein Ergebnis, wenn die Begriffe Benutzer001, Tür053 und Sonntag alle in Ihrem Ausdruck vorkommen. Es reicht nicht aus, wenn nur einer oder zwei der Begriffe darin vorkommen. Je mehr Begriffe Sie mit UND verbinden, desto weniger Ergebnisse erhalten Sie.

• ODER: Mit dem ODER-Operator bestimmen Sie, dass entweder der eine oder der andere Begriff vorhanden sein muss

Beispiel: Die Suchkriterien "Benutzer001" ODER "Tür053" ODER "Sonntag" liefern alle Ergebnisse, die entweder Benutzer001, Tür053 oder Sonntag beinhalten. Je mehr Begriffe Sie mit ODER verbinden, desto mehr Ergebnisse erhalten Sie.

Legt fest, wie genau das System beim Analysieren von erhaltenen Datenpaketen vorgehen soll. Es gibt die folgenden Optionen:

• Suche: Damit das Ereignis eintritt, muss das erhaltene Datenpaket den Text enthalten, der im Feld Ausdruck angegeben wurde, aber es darf auch noch weitere Inhalte haben
  
  Beispiel: Wenn Sie bestimmt haben, dass das erhaltene Paket die Begriffe Benutzer001 und Tür053 enthalten soll, wird das Ereignis ausgelöst, wenn das empfangene Paket die Begriffe Benutzer001 und Tür053 und Sonntag enthält, da Ihre beiden gewünschten Begriffe im erhaltenen Paket enthalten sind
• Übereinstimmung: Damit das Ereignis eintritt, muss das erhaltene Datenpaket genau den Text enthalten, der im Feld Ausdruck angegeben wurde, und nichts anderes
• Regulärer Ausdruck:timmte Muster in den erhaltenen Datenpaketen angeben Damit das Ereignis eintritt, muss der Text, der im Feld Ausdruck angegeben wurde, bes

Wenn Sie von Suche oder Übereinstimmung auf Regulärer Ausdruck wechseln, wird der Text im Feld Ausdruck automatisch in einen regulären Ausdruck übersetzt.

Die Priorität muss als Zahl zwischen 0 (höchste Priorität) und 999999 (niedrigste Priorität) angegeben werden.

Dasselbe Datenpaket kann auf unterschiedliche Ereignisse analysiert werden. Mit der Funktion des Zuweisens einer Priorität zu jedem Ereignis können Sie einstellen, welches Ereignis ausgelöst werden soll, wenn ein erhaltenes Paket mit den Kriterien von mehreren Ereignissen übereinstimmt.

Wenn das System ein TCP- und/oder UDP-Paket erhält, beginnt die Analyse des Pakets auf das Ereignis, das die höchste Priorität hat. Auf diese Weise wird nur das Ereignis mit der höchsten Priorität ausgelöst, wenn ein Paket mit den Kriterien von mehreren Ereignissen übereinstimmt. Wenn ein Paket mit den Kriterien von mehreren Ereignissen mit identischer Priorität übereinstimmt, z. B. zwei Ereignisse mit Priorität 999, werden alle Ereignisse dieser Priorität ausgelöst.

Ein Ereignis-String, der mit dem Ausdruck abgeglichen werden soll, der im Feld Ausdruck eingegeben wurde.