Generische Ereignis- und Datenquellen (Eigenschaften)

Einmaliger Name für das generische Ereignis. Der Name muss einmalig unter allen Ereignistypen sein, wie z. B. benutzerdefinierte Ereignisse, Analyseereignisse und so weiter.

Generische Ereignisse sind standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um das Ereignis zu deaktivieren.

Ausdruck, nach dem das System bei der Analyse von Datenpaketen suchen soll. Sie können die folgenden Operatoren verwenden:

• ( ): Wird verwendet, um sicherzustellen, dass verwandte Begriffe zusammen als logische Einheit verarbeitet werden. Sie können verwendet werden, um eine bestimmte Verarbeitungsreihenfolge in der Analyse zu erzwingen

Beispiel: Bei den Suchkriterien (User001 OR Door053) AND Sunday werden zuerst die beiden Begriffe zwischen den Klammern verarbeitet, dann wird das Ergebnis mit dem letzten Teil des Strings kombiniert. Also sucht das System zuerst nach Paketen, die einen der beiden Begriffe User001 oder Door053 beinhalten; dann wird überprüft, welche der Ergebnispakete zusätzlich den Begriff Sunday enthalten.

• AND: Mit dem AND-Operator bestimmen Sie, dass die Begriffe auf beiden Seiten des AND-Operators vorhanden sein müssen

Beispiel: Die Suchkriterien User001 AND Door053 AND Sunday liefern nur dann ein Ergebnis, wenn die Begriffe User001, Door053 und Sunday alle in Ihrem Ausdruck vorkommen. Es reicht nicht aus, wenn nur einer oder zwei der Begriffe darin vorkommen. Je mehr Begriffe Sie mit UND verbinden, desto weniger Ergebnisse erhalten Sie.

• OR: Mit dem OR-Operator bestimmen Sie, dass entweder der eine oder der andere Begriff vorhanden sein muss

Beispiel: Die Suchkriterien "User001" OR "Door053" OR "Sunday" liefern alle Ergebnisse, die entweder User001, Door053 oder Sunday beinhalten. Je mehr Begriffe Sie mit OR verbinden, desto mehr Ergebnisse erhalten Sie.

Legt fest, wie genau das System beim Analysieren von erhaltenen Datenpaketen vorgehen soll. Es gibt die folgenden Optionen:

• Suche: Damit das Ereignis eintritt, muss das erhaltene Datenpaket den Text enthalten, der im Feld Ausdruck angegeben wurde, aber es darf auch noch weitere Inhalte haben
  
  Beispiel: Wenn Sie bestimmt haben, dass das erhaltene Paket die Begriffe User001 und Door053 enthalten soll, wird das Ereignis ausgelöst, wenn das empfangene Paket die Begriffe User001 und Door053 und Sunday enthält, da Ihre beiden gewünschten Begriffe im erhaltenen Paket enthalten sind
• Übereinstimmung: Damit das Ereignis eintritt, muss das erhaltene Datenpaket genau den Text enthalten, der im Feld Ausdruck angegeben wurde, und nichts anderes
• Regulärer Ausdruck: Damit das Ereignis eintritt, muss der Text, der im Feld Ausdruck angegeben wurde, bestimmte Muster in den erhaltenen Datenpaketen angeben

Wenn Sie von Suche oder Übereinstimmung auf Regulärer Ausdruck wechseln, wird der Text im Feld Ausdruck automatisch in einen regulären Ausdruck übersetzt.

Die Priorität muss als Zahl zwischen 0 (höchste Priorität) und 999999 (niedrigste Priorität) angegeben werden.

Dasselbe Datenpaket kann auf unterschiedliche Ereignisse analysiert werden. Mit der Funktion des Zuweisens einer Priorität zu jedem Ereignis können Sie einstellen, welches Ereignis ausgelöst werden soll, wenn ein erhaltenes Paket mit den Kriterien von mehreren Ereignissen übereinstimmt.

Wenn das System ein TCP- und/oder UDP-Paket erhält, beginnt die Analyse des Pakets auf das Ereignis, das die höchste Priorität hat. Auf diese Weise wird nur das Ereignis mit der höchsten Priorität ausgelöst, wenn ein Paket mit den Kriterien von mehreren Ereignissen übereinstimmt. Wenn ein Paket mit den Kriterien von mehreren Ereignissen mit identischer Priorität übereinstimmt, z. B. zwei Ereignisse mit Priorität 999, werden alle Ereignisse dieser Priorität ausgelöst.

Ein Ereignis-String, der mit dem Ausdruck abgeglichen werden soll, der im Feld Ausdruck eingegeben wurde.