نمایش اتریبیوت های درخواستی در پارسر هایی با تعداد اتریبیوت زیاد
گاهی به علت تعداد زیاد اتریبیوت ها در برخی از پارسر ها، برخی از فیلدها ممکن است در پنجره ایونت دیتیل نمایش داده نشوند و لازم است تا نام اتریبیوت مربوطه در قسمت ستون های گزارش ایجاد شوند تا خروجی مشاهده شود. این موضوع مخصوصا در پارسر های Windows و Sysmon مشاهده شده است.
لیست اتریبیوت های مپ شده این سنسور ها در کورلاگ جهت استحضار ارائه می گردد. کارکرد لیست به این شکل است که نام فیلد در لاگ خام و نام اتریبیوت در کورلاگ ذکر شده است و کافیست سروی فایل پیوست جستجو نمایید.
به عنوان مثال بخشی از لیست مربوط به سیسمان در ادامه ارائه می گردد:
<attrKeyMap attr="targetDomain" key="TargetDomainName"/>
<attrKeyMap attr="winLogonId" key="LogonId"/>
<attrKeyMap attr="appName" key="Application"/>
<attrKeyMap attr="procId" key="NewProcessId"/>
<attrKeyMap attr="procPath" key="ImagePath"/>
در این لیست key نام فیلد در لاگ خام می باشد و attr نام فیلد در کورلاگ را نمایش می دهد. مثلا مقدار فیلد LogonId در لاگ خام، در اتریبیوت winLogonId در کورلاگ قابل نمایش می باشد، یا مقدار فیلد NewProcessId در لاگ خام، در اتریبیوت procId در کورلاگ قابل نمایش می باشد. فایل های تکمیلی در ادامه ارائه می گردد.
