ジェネリックイベントとデータソース(プロパティ)

この機能は、XProtectイベントサーバーがインストールされている場合のみ動作します。

ジェネリックイベント(プロパティ)

コンポーネント

要件
名前

ジェネリックイベントの一意の名前。名前は、ユーザー定義イベント、アナリティクスイベント等すべてのタイプのイベントに対して一意のものでなければなりません。
有効

ジェネリックイベントはデフォルトでは有効になっています。イベントを無効にするにはチェックボックスを解除します。
条件式

データパッケージの分析時にシステムが参照すべき表現。次の演算子を使用できます。

  • ( ): 関連項を論理ユニットとして同時に処理するために使用されます。分析で特定の処理順序を強制するために使用されます

:検索条件「(User001 OR Door053)AND Sunday」を使用する場合、括弧内の2つの項が先に処理され、その結果が文字列の最後の部分と結合されます。つまり、システムはまずUser001またはDoor053という項を含むパッケージを参照し、その後に結果を取得し、Sundayという項を含むパッケージを検索します。

  • AND:AND演算子では、AND演算子の両側の項が存在する必要があることを指定します

:検索条件「User001 AND Door053 AND Sunday」は、User001Door053およびSundayのすべてが表現に含まれている場合のみ結果を返します。用語のいずれかまたは2つが存在するだけでは足りません。語句をANDで結合すればするほど、返される結果は少なくなります。

  • OR OR演算子により、いずれか1つの項が存在する必要があることを指定します

:検索条件「User001 OR Door053 OR Sunday」は、User001Door053またはSundayのいずれかが含まれている結果を返します。語句をORで結合すればするほど、返される結果は多くなります。
条件式のタイプ

受信したデータパッケージを分析する時に特定のシステムがあるべき状態を示します。オプションは以下の通りです。

  • 検索:イベントを発生させるには、受信したパッケージに、[表現]フィールドで指定したテキストが含まれていなければなりませんが、他の内容も含まれている可能性があります。

    :受信したパッケージにUser001およびDoor053が含まれるよう指定した場合、受信したパッケージにUser001Door053Sundayが含まれる場合、受信したパッケージに2つの必要な語句が含まれるため、イベントが起動されます。
  • 一致:イベントが発生するためには、受信したデータパッケージに[表現]フィールドに指定したものと全く同一のテキストだけが存在するものとし、他のものは含まれません。
  • 通常の表現:イベントが発生するためには、受信したデータパッケージ内に[表現]フィールドで指定した特定のパターンが存在する必要があります。

検索または一致から正規表現に切り替えると、表現フィールドのテキストは、自動的に正規表現に変換されます。
優先度

0(最高優先度)~999999(最低優先度)の間の数値で優先度を指定してください。

同じデータパッケージが異なるイベントで分析される場合があります。各イベントに優先度を割り当てる機能により、受信したパッケージが複数のイベントの基準に一致したときに、どのイベントを起動するか管理することができます。

システムがTCPおよびUDPパッケージを受信した場合、そのパケットの分析が、最高優先度のイベントで開始されます。これにより、パッケージが複数のイベントの基準と一致する場合、最高優先度のイベントのみが起動されます。パッケージが同じ優先度で複数のイベントの基準と一致した場合、たとえば、優先度999のイベントが2つある場合、その優先度のすべてのイベントが起動されます。
表現がイベント文字列と一致するかチェック:

[表現]フィールドに入力した表現に対してイベント文字列をテストします。