Mapping des données 🏷️
- Dorine
- 20 mars
- 2 min de lecture
Le mapping des champs consiste à associer les données importées à des champs standardisés afin de garantir une analyse cohérente et efficace.
Pourquoi utiliser ECS ?
Simplification : Les données provenant de différentes sources sont organisées de manière uniforme.
Compatibilité : ECS améliore la compatibilité entre les divers outils.
Efficacité : Une structure normalisée permet des recherches plus rapides et précises.
Exemple de champs ECS :
source.ip : Adresse IP de la source.
event.type : Type d’événement (erreur, accès, etc.).
@timestamp : Indique la date et l’heure de l’événement (obligatoire)
Étapes pour configurer le mapping des champs
Une fois vos données importées ou votre source connectée, procédez à la configuration du mapping des champs pour garantir une analyse correcte des événements. Voici les étapes :
⚠️ Attention : les champs doivent obligatoirement être mappés. Un champ ne peut être mappé qu’une seule fois !
Accédez à l'écran de mapping :
Après l'importation des données, l'interface vous redirige automatiquement vers l'écran de mapping.
Vérifiez les champs détectés :
Chaque champ importé et listé.
Malizen détecte automatiquement les types de champs lorsque cela est possible.
Assignez les types de champs :
Pour chaque champ, sélectionnez ou confirmez son type en fonction des standards ECS (Elastic Common Schema).
Par exemple, les champs comme time ou timestamp doivent être associés à un type temporel pour être utilisés dans les investigations.
Activez ou désactivez les champs :
Désactivez les champs inutiles pour réduire la surcharge.
Utilisez "Enable only valid" pour afficher uniquement les champs valides.
Nommez votre dataset :
Attribuez un nom clair au dataset importé pour le retrouver facilement.
Problème d'accès ? Contactez-nous sur Bug report
