# Eingangsfilter hinzufügen Klicke auf **Eingangsfilter hinzufügen** in der rechten oberen Ecke der [Eingangsfilter-Übersicht](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/eingangsfilter.md#eingangsfilter-ubersicht), um einen neuen Eingangsfilter zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Eingangsfilter** → **Hinzufügen**.

Klicke auf **Eingangsfilter hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Eingangsfilter zu speichern und erstellen. Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Eingangsfilter hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Grundeinstellungen

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Name	Gib dem Eingangsfilter einen aussagekräftigen Anzeigenamen.
Beschreibung	Beschreibe den Eingangsfilter genauer. Dieses Feld ist optional.
Aktiviert	Lege fest, ob der Eingangsfilter aktiv ist und damit spezifische Feldwerte in bestimmten Roh-Logs ausgefiltert werden, oder ob er inaktiv ist. Diese Option ist standardmäßig aktiviert. Setze dazu einen Haken in die Checkbox neben Aktiviert oder entferne den Haken aus der Checkbox , um den Eingangsfilter zu deaktivieren.

Option

Beschreibung

Name

Gib dem Eingangsfilter einen aussagekräftigen Anzeigenamen.

Beschreibung

Beschreibe den Eingangsfilter genauer.

Dieses Feld ist optional.

Aktiviert

Lege fest, ob der Eingangsfilter aktiv ist und damit spezifische Feldwerte in bestimmten Roh-Logs ausgefiltert werden, oder ob er inaktiv ist.

Diese Option ist standardmäßig aktiviert.

Setze dazu einen Haken in die Checkbox neben Aktiviert oder entferne den Haken aus der Checkbox , um den Eingangsfilter zu deaktivieren.

*** ## Quelle Hier kannst du die Roh-Log-Quelle festlegen, in der du spezifische Feldwerte ausfiltern möchtest.

Option	Beschreibung
Quelle	Lege eine Roh-Log-Quelle fest. Die standardmäßig ausgewählte Quelle ist Event Relay. Klicke in das Feld Quelle, um eine Liste aller verfügbaren Roh-Log-Quellen auszuklappen. Es stehen folgende Optionen zur Verfügung: Event Relay: Filtere über ein benutzerdefiniertes Kollektor-Relais gesammelte Logs. Windows-Ereignisprotokoll: Filtere eingehende Event-Logs auf Windows-Hosts. Linux Syslog: Filtere eingehende Syslogs auf Linux-Hosts. macOS Unified Logs: Filtere eingehende Syslogs auf macOS-Hosts.

Option

Beschreibung

Quelle

Lege eine Roh-Log-Quelle fest.

Die standardmäßig ausgewählte Quelle ist Event Relay.

Klicke in das Feld Quelle, um eine Liste aller verfügbaren Roh-Log-Quellen auszuklappen. Es stehen folgende Optionen zur Verfügung:

Event Relay: Filtere über ein benutzerdefiniertes Kollektor-Relais gesammelte Logs.
Windows-Ereignisprotokoll: Filtere eingehende Event-Logs auf Windows-Hosts.
Linux Syslog: Filtere eingehende Syslogs auf Linux-Hosts.
macOS Unified Logs: Filtere eingehende Syslogs auf macOS-Hosts.

Je nachdem, welche **Quelle** du auswählst, stehen dir folgende weitere Einstellungen zur Verfügung: {% tabs %} {% tab title="Event Relay" %} Das folgende Eingabefeld wird nur angezeigt, wenn du als Quelle **Event Relay** auswählst.

Option	Beschreibung
Event Relay	Lege das benutzerdefinierte Kollektor-Relais fest, dessen gesammelte Logs du vorfiltern möchtest. Klicke dazu in das Feld Event Relay, um eine Liste aller verfügbaren Kollektor-Relais auszuklappen, und wähle ein oder mehrere Relais aus. Bitte beachte: Wenn du noch kein benutzerdefiniertes Kollektor-Relais unter SIEM → Allgemeine Kollektoren → Event Relay hinzugefügt hast, ist diese Liste leer. Klicke auf das Entfernen-Symbol neben einem hinzugefügten Relais, um es wieder aus dem Feld Event Relay zu entfernen.

Option

Beschreibung

Event Relay

Lege das benutzerdefinierte Kollektor-Relais fest, dessen gesammelte Logs du vorfiltern möchtest.

Klicke dazu in das Feld Event Relay, um eine Liste aller verfügbaren Kollektor-Relais auszuklappen, und wähle ein oder mehrere Relais aus.

Bitte beachte: Wenn du noch kein benutzerdefiniertes Kollektor-Relais unter SIEM → Allgemeine Kollektoren → Event Relay hinzugefügt hast, ist diese Liste leer.

Klicke auf das Entfernen-Symbol neben einem hinzugefügten Relais, um es wieder aus dem Feld Event Relay zu entfernen.

{% endtab %} {% tab title="Betriebssystemspezifische Logs " %} Die folgenden Eingabefelder werden nur angezeigt, wenn du als Quelle **Windows-Ereignisprotokoll**, **Linux Syslog** oder **macOS Unified Logs** auswählst.

Lege eingehende Event-Logs bzw. Syslogs auf Windows-, Linux- oder macOS-Hosts fest, die du vorfiltern möchtest. Es stehen folgende Optionen zur Verfügung: ### Zugeordnete Referenzen Hier kannst du definieren, für welche Hosts oder Gruppen von Hosts die vorgenommenen Einstellungen gelten sollen.

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Hosts	Lege Hosts fest, für die die vorgenommenen Einstellungen gelten sollen. Klicke dazu in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden. Klicke auf das Entfernen-Symbol neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.
Tag-Verknüpfung	Lege fest, wie viele Tags ein zugeordneter Host enthalten muss, damit die Einstellungen für ihn gelten. Die standardmäßig ausgewählte Tag-Verknüpfung ist Alle Tags sind bei der Referenz vorhanden. Klicke in das Feld Tag-Verknüpfung, um eine Liste aller verfügbaren Optionen auszuklappen. Folgende Optionen stehen zur Verfügung: Alle Tags sind bei der Referenz vorhanden: Ein zugeordneter Host muss alle angegebenen Tags enthalten, damit die Einstellungen für ihn gelten. Mindestens einer der angegebenen Tags ist vorhanden: Ein zugeordneter Host muss mindestens einen der angegebenen Tags enthalten, damit die Einstellungen für ihn gelten.
Tags	Lege Tags für Gruppen von Hosts fest, für die die vorgenommenen Einstellungen gelten sollen. Klicke dazu in das Feld Tags, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden. Klicke auf das Entfernen-Symbol neben einem hinzugefügten Tag, um ihn aus dem Feld Tags zu entfernen.

Option

Beschreibung

Hosts

Lege Hosts fest, für die die vorgenommenen Einstellungen gelten sollen.

Klicke dazu in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.

Klicke auf das Entfernen-Symbol neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.

Tag-Verknüpfung

Lege fest, wie viele Tags ein zugeordneter Host enthalten muss, damit die Einstellungen für ihn gelten.

Die standardmäßig ausgewählte Tag-Verknüpfung ist Alle Tags sind bei der Referenz vorhanden.

Klicke in das Feld Tag-Verknüpfung, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

Alle Tags sind bei der Referenz vorhanden: Ein zugeordneter Host muss alle angegebenen Tags enthalten, damit die Einstellungen für ihn gelten.
Mindestens einer der angegebenen Tags ist vorhanden: Ein zugeordneter Host muss mindestens einen der angegebenen Tags enthalten, damit die Einstellungen für ihn gelten.

Tags

Lege Tags für Gruppen von Hosts fest, für die die vorgenommenen Einstellungen gelten sollen.

Klicke dazu in das Feld Tags, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden.

Klicke auf das Entfernen-Symbol neben einem hinzugefügten Tag, um ihn aus dem Feld Tags zu entfernen.

### Ausgeschlossene Referenzen Hier kannst du definieren, welche Hosts oder Gruppen von Hosts von den vorgenommenen Einstellung explizit ausgenommen werden sollen. {% hint style="info" %} Die Angabe von ausgeschlossenen Hosts ist optional. {% endhint %} Klicke auf **Ausnahmen definieren** neben **Zugeordnete Hosts**, um die Optionen für **Ausgeschlossene Hosts** anzuzeigen.

Nimm alle Einstellungen wie bei der Angabe eines zugeordneten Hosts vor. {% endtab %} {% endtabs %} *** ## Filterfelder Hier kannst du spezifische Felder auswählen und Feldwerte definieren, die du ausfiltern möchtest.

Klicke in das Eingabefeld **Name**, um eine Liste aller verfügbaren Filterfelder auszuklappen, und wähle ein Feld aus. Sobald du ein Feld ausgewählt hast, wird der Feldname ausgegraut angezeigt. Im Eingabefeld **Typ** erscheint der hinterlegte Feldtyp. {% hint style="warning" %} **Bitte beachte**: Je nach ausgewählter **Quelle** stehen unterschiedliche Felder zur Auswahl. {% endhint %} Je nachdem, welches Feld du im Eingabefeld **Name** auswählst und welcher Feldtyp dahinter liegt, stehen weitere Optionen für die Angabe spezifischer Feldwerte zur Verfügung: {% tabs %} {% tab title="Typ: Regulärer Ausdruck" %} Das folgende Eingabefeld ist nur sichtbar, wenn du ein Feld des Typs **Regulärer Ausdruck** auswählst.

Option	Beschreibung
Pattern (Regex) (Syntax: RE2)	Gib einen regulären Ausdruck in RE2-Syntax an, um die Feldwerte, die du ausfiltern möchtest, näher zu definieren. Die RE2-Syntax bezieht sich auf die RE2 Regex-Engine von Google. Klicke auf das Fahnen-Symbol am Ende eines Eingabefelds, um das Fenster Regex Flags zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.

Option

Beschreibung

Pattern (Regex) (Syntax: RE2)

Gib einen regulären Ausdruck in RE2-Syntax an, um die Feldwerte, die du ausfiltern möchtest, näher zu definieren.

Die RE2-Syntax bezieht sich auf die RE2 Regex-Engine von Google.

Klicke auf das Fahnen-Symbol am Ende eines Eingabefelds, um das Fenster Regex Flags zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.

### Regex Flags

Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Multiline	Lege fest, ob Zeilenanfang und -ende in einem mehrzeiligen Text erkannt werden sollen. Diese Option ist nicht standardmäßig aktiviert. Setze einen Haken in die Checkbox neben Multiline, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox , um die Option zu deaktivieren.
Case Insensitive	Lege fest, ob Groß- und Kleinschreibung ignoriert werden sollen. Diese Option ist nicht standardmäßig aktiviert. Setze einen Haken in die Checkbox neben Case Insensitive, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox , um die Option zu deaktivieren.

Option

Beschreibung

Multiline

Lege fest, ob Zeilenanfang und -ende in einem mehrzeiligen Text erkannt werden sollen.

Diese Option ist nicht standardmäßig aktiviert.

Setze einen Haken in die Checkbox neben Multiline, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox , um die Option zu deaktivieren.

Case Insensitive

Lege fest, ob Groß- und Kleinschreibung ignoriert werden sollen.

Diese Option ist nicht standardmäßig aktiviert.

Setze einen Haken in die Checkbox neben Case Insensitive, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox , um die Option zu deaktivieren.

{% endtab %} {% tab title="Typ: Zahl" %} Das folgende Eingabefeld wird nur angezeigt, wenn du ein Feld des Typs **Zahl** auswählst.

Option	Beschreibung
Wert	Gib eine ganze Zahl an, um den Feldwert, den du ausfiltern möchtest, näher zu definieren. Klicke dazu in das Feld Werte und nutze die Buttons und , um die Anzahl höher oder niedriger einzustellen. Oder gib manuell eine Zahl ein und bestätige deine Eingabe mit der Enter-Taste.

{% endtab %} {% tab title="Typ: Zeichenfolge" %} Das folgende Eingabefeld wird nur angezeigt, wenn du ein Feld des Typs **Zeichenfolge** auswählst.

Option	Beschreibung
Wert	Wähle eine vordefinierte Zeichenfolge aus, um den Feldwert, den du ausfiltern möchtest, näher zu definieren. Klicke dazu in das Feld Wert, um eine Liste aller verfügbaren Zeichenfolgen auszuklappen, und wähle eine Zeichenfolge aus.

{% endtab %} {% endtabs %} Klicke auf **Filterfeld hinzufügen**, um weitere Filter hinzuzufügen. Klicke auf das **Löschen**-Symbol am Ende einer Zeile, um den hinzugefügten Filter zu entfernen. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/eingangsfilter/eingangsfilter-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.