［Source］→ 正規表現

concatenate

イベントから抽出されたデータから複合値を作成するためのルールを設定します。

extract

extract 属性は、正規表現と一致した複数の値を抽出する必要がある方法を示します。

使用可能な値は、all および first です。

all 値は、正規表現と一致した全ての値を抽出する必要があることを示します。一致した全ての値について、個別の検知イベントが生成されます。

first 値は、正規表現と一致した最初の値のみを抽出する必要があることを示します。

type

この正規表現によって抽出される値の種別を示します。

使用可能な値は次の通りです：

• URL—URL アドレス
• MD5—MD5 ハッシュ
• SHA1—SHA1 ハッシュ
• SHA256—SHA256 ハッシュ
• HASH—MD5、SHA1、または SHA256 ハッシュ
• IP—IP アドレス
• DOMAIN—ドメイン名
• CONTEXT—背景情報

この属性は任意です。省略すると、既定の CONTEXT 値が使用されます。

use_for_retroscan

指定した正規表現と一致した抽出値をレトロスキャンに使用する必要があることを示します。

抽出値をレトロスキャンに使用する必要がある場合、この属性の値は true です。

抽出値をレトロスキャンに使用してはならない場合、この属性の値は false です。

この属性は、［RegExps］→［Source］→ id 属性が http_file_lookup または http_single_lookup イベントソースに設定されている要素内で使用することはできません。

<RE_MD5 type="MD5" use_for_retroscan="true" extract="all">([\da-fA-F]{32})</RE_MD5>