Eventos genéricos y fuentes de datos (propiedades)

Nombre único para el evento genérico. El nombre debe ser único entre todos los tipos de eventos, como eventos definidos por el usuario, eventos de análisis, etc.

De forma predeterminada, los eventos genéricos están habilitados. Desactive la casilla de verificación para deshabilitar el evento.

Expresión a la que debe estar atento el sistema al analizar paquetes de datos. Puede utilizar los siguientes operadores:

• ( ): Se utiliza para garantizar que los términos relacionados se procesan juntos como una unidad lógica. Se pueden utilizar para forzar determinado orden de procesamiento en el análisis

Ejemplo: El criterio de búsqueda (User001 OR Door053) AND Sunday primero procesa los dos términos entre paréntesis, luego combina el resultado con la última parte de la cadena. Por tanto, el sistema primero busca cualquier paquete que contenga cualquiera de los términos User001 o Door053, luego toma los resultados y los revisa para ver qué paquetes también contienen el término Sunday.

• AND: Con un operador AND, especifica que los términos a ambos lados del operador AND deben estar presentes

Ejemplo: El criterio de búsqueda User001 AND Door053 AND Sunday devuelve un resultado solo si los términos User001, Door053 y Sunday están todos incluidos en su expresión. No es suficiente que solo uno o dos de los términos estén presentes. Cuantos más términos combine con AND, menos resultados recupera.

• OR: Con un operador OR, especifica que uno u otro término debe estar presente

Ejemplo: El criterio de búsqueda "User001" OR "Door053" OR "Sunday" devuelve cualquier resultado que contenga User001, Door053 o Sunday. Cuantos más términos combina con OR, más resultados recupera.

Indica cómo de particular debe ser el sistema al analizar los paquetes de datos recibidos. Las opciones son las siguientes:

• Buscar: Para que el evento se produzca, el paquete de datos recibido debe contener el texto especificado en el campo Expresión, pero también puede incluir más contenido
  
  Ejemplo: Si ha especificado que el paquete recibido debe contener los términos User001 y Door053, el evento se desencadena si el paquete recibido contiene los términos User001 y Door053 y Sunday, ya que el paquete recibido contiene sus dos términos requeridos
• Coincidencia: Para que el evento se produzca, el paquete de datos recibido debe contener exactamente el texto especificado en el campo Expresión, y nada más
• Expresión regular: Para que el evento se produzca, el texto especificado en el campo Expresión debe identificar patrones específicos en los paquetes de datos recibidos

Si cambia de Buscar o Coincidir a Expresión regular, el texto en el campo Expresión se traduce automáticamente en una expresión regular.

La prioridad debe especificarse como un número entre 0 (máxima prioridad) y 999999 (menor prioridad).

El mismo paquete de datos puede ser analizado para distintos eventos. La capacidad para asignar una prioridad a cada evento le permite gestionar qué evento debe desencadenarse si un paquete recibido coincide con los criterios de varios eventos.

Cuando el sistema recibe un paquete de TCP y/o UDP, comienza el análisis del paquete con el análisis del evento con la máxima prioridad. De este modo, cuando un paquete coincide con los criterios para varios eventos, solo se desencadena el evento con la prioridad más alta. Si un paquete coincide con los criterios para varios eventos con una prioridad idéntica, por ejemplo, dos eventos con una prioridad de 999, se desencadenan todos los eventos con esta prioridad.

Se debe probar una cadena de eventos frente a la expresión introducida en el campo Expresión.