Типичные события и источники данных (свойства)

Уникальное имя для типичного события. Имя должно быть уникальным среди событий всех типов, таких как пользовательские события, события аналитики и т. д.

Типичные события по умолчанию включены. Снимите флажок, чтобы отключить событие.

Выражение, которое система должна учитывать при анализе пакетов данных. Можно использовать следующие операторы:

• ( ): обеспечивают обработку связанных параметров как одной логической единицы. При анализе их можно использовать для соблюдения определенного порядка обработки.

Пример: Критерий поиска (User001 OR Door053) AND Sunday сначала обрабатывает два выражения внутри скобок, а затем комбинирует этот результат с последней частью строки. Таким образом, сначала система ищет все пакеты, содержащие параметры User001 или Door053, после чего просматривает результаты на наличие в них параметра Sunday.

• AND: оператор AND указывает на то, что должны присутствовать параметры, расположенные по обе стороны оператора AND.

Пример: Критерий поиска User001 AND Door053 AND Sunday возвращает результат только в том случае, если все параметры User001, Door053 и Sunday включены в выражение. Присутствия только одного или двух параметров недостаточно. Чем больше параметров вы комбинируете с помощью AND, тем меньше получаете результатов.

• OR: с помощью оператора OR указывается, что должен присутствовать один из параметров

Пример: Критерий поиска "User001" OR "Door053" OR "Sunday" возвращает результаты, содержащие User001, Door053 или Sunday. Чем больше параметров вы комбинируете с помощью OR, тем больше получаете результатов.

Указывает, насколько точно система должна анализировать полученные пакеты данных. Возможны следующие варианты:

• Поиск. Чтобы событие произошло, полученный пакет данных должен содержать текст, указанный в поле Выражение, но также может включать прочий контент
  
  Пример: Если вы указали, что полученный пакет должен содержать параметры User001 и Door053, то событие активируется в случае, если полученный пакет содержит параметры User001, Door053 и Sunday, поскольку в полученном пакете содержатся два обязательных параметра
• Соответствие. Чтобы событие произошло, полученный пакет данных должен содержать именно тот текст, который указан в поле Выражение, и ничего больше
• Регулярное выражение. Чтобы событие произошло, текст, указанный в поле Выражение, должен определять шаблоны в полученных пакетах данных

Если переключиться с вариантов Поиск или Соответствие на Регулярное выражение, текст в поле Выражение автоматически преобразуется в регулярное выражение.

Приоритет указывается в виде числа от 0 (самый высокий приоритет) до 999999 (самый низкий приоритет).

Один и тот же пакет данных может анализироваться на присутствие различных событий. Возможность назначать приоритет каждому событию позволяет определить событие, которое будет активировано, если полученный пакет соответствует критериям нескольких событий.

Когда система получает пакет TCP и/или UDP, анализ пакета начинается с анализа события, имеющего самый высокий приоритет. Таким образом, когда пакет соответствует критериям нескольких событий, активируется только событие с самым высоким приоритетом. Если пакет соответствует критериям нескольких событий с одинаковым приоритетом, например двух событий с приоритетом 999, активируются все события с этим приоритетом.

Строка события, которая будет проверена на соответствие выражению, введенному в поле Выражение.