|
Post by account_disabled on Apr 4, 2024 5:50:15 GMT
检查语言规范化规则中选择条件是否满足的主要工具是构造当仅使用格式字符串不足以设置匹配条件时也可以在解析文本日志时使用该工具。允许您指定更复杂的选择条件以确保目标事件被规范化规则处理。让我们看一些格式字符串和结构化数据的构造的示例您想看一下事件格式的俄罗斯套娃吗有一些事件的示例同时包含多种格式的数据。 例如这可能是文本日志其中一部分是结构化数据或者在结构化表事件 阿曼数据 平面中其中一个字段可能包含需要解析的文本或者需要从中解析的结构提取某些值。对于这种情况语言提供了一种机制允许您将部分事件作为独立的目标事件进行处理。事实上这是一个嵌套的规范化规则在和关键字的构造中进行了描述并且使用函数执行处理调用此示例解析收集器从数据库中获取的结构化事件其中完整的位于其中一个字段标值并将它们存储在规范化事件的字段中。 可以有多个这样的嵌套规则并且可以在主规则代码中的任何位置调用它们包括基于给定条件通过语言中可用的条件运算符。对原始事件的数据进行额外处理并形成标准化事件的示例。因此在完成事件的初始解析并验证是否满足选择条件后我们进入必要的转换阶段对原始事件数据进行附加处理。语言包括条件运算符数学运算符和逻辑运算符处理时间的函数数据类型转换处理字符串和列表以及数据分析函数。因此您可以将信息转换为适合进一步工作的通用格式和或以方便信息安全专家的形式呈现。
|
|