Mapping des données 🏷️

Le mapping des champs consiste à associer les données importées à des champs standardisés afin de garantir une analyse cohérente et efficace.

Pourquoi utiliser ECS ?

•  Simplification : Les données provenant de différentes sources sont organisées de manière uniforme.

•  Compatibilité : ECS améliore la compatibilité entre les divers outils.

•  Efficacité : Une structure normalisée permet des recherches plus rapides et précises.

Exemple de champs ECS :

• source.ip : Adresse IP de la source.

• event.type : Type d’événement (erreur, accès, etc.).

• @timestamp : Indique la date et l’heure de l’événement (obligatoire)

Étapes pour configurer le mapping des champs

Une fois vos données importées ou votre source connectée, procédez à la configuration du mapping des champs pour garantir une analyse correcte des événements. Voici les étapes :

1. Accédez à l'écran de mapping : 

Après l'importation des données, l'interface vous redirige automatiquement vers l'écran de mapping.

2. Vérifiez les champs détectés :

   • Chaque champ importé et listé.

   • Malizen détecte automatiquement les types de champs lorsque cela est possible.

     
     

3. Assignez les types de champs :

   • Pour chaque champ, sélectionnez ou confirmez son type en fonction des standards ECS (Elastic Common Schema).

   • Par exemple, les champs comme time ou timestamp doivent être associés à un type temporel pour être utilisés dans les investigations. 

     
     

     

     
     

4. Activez ou désactivez les champs :

   • Désactivez les champs inutiles pour réduire la surcharge.

   • Utilisez "Enable only valid" pour afficher uniquement les champs valides.

     
     

5. Nommez votre dataset :

   • Attribuez un nom clair au dataset importé pour le retrouver facilement.

     
     

     

     
     

À suivre

Résolution des problèmes de mapping❗

Ajustez les types de champs ou désactivez-les pour corriger les erreurs de mapping.