# Extraktoren

Benutzerdefinierte Extraktoren bieten dir die Möglichkeit, spezifische Informationen aus Quellfeldern gesammelter Logs zu ziehen und diese in andere Standard-Zielfelder oder in [benutzerdefinierte Felder](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/benutzerdefinierte-felder.md) zu integrieren. 

Dies ist vor allem dann nötig, wenn die gewünschten Informationen nicht automatisch durch deine genutzten Kollektoren erkannt, extrahiert und in Standardfeldern in Log-Einträgen im [Data Lake](/docs/manual/bedienung-der-plattform/siem/data-lake.md) angezeigt werden können.

***

<i class="fa-compass">:compass:</i> Navigiere zu **SIEM** → **Extraktoren**, um eine Auflistung aller benutzerdefinierten Extraktoren anzuzeigen. Wenn du noch keinen Extraktor erstellt hast, ist diese Ansicht leer.

<figure><img src="/files/lnBTmsNHZVvOD5xJWM9b" alt=""><figcaption></figcaption></figure>

Du kannst der [Extraktoren-Übersicht](#extraktoren-ubersicht) unter anderem entnehmen:

* aus welchem Quellfeld durch den Extraktor Informationen extrahiert werden.
* in welche Standard- und/oder benutzerdefinierten Zielfelder Informationen extrahiert werden.
* ob ein Extraktor aktiv oder inaktiv ist.

Des Weiteren hast du hier die Möglichkeit, einen neuen [Extraktor hinzuzufügen](#extraktor-hinzufugen).

***

## Navigation

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld <i class="fa-magnifying-glass">:magnifying-glass:</i> **Freitextsuche** oberhalb der Liste und gib einen frei gewählten Suchbegriff ein, um bestimmte Listenelemente zu finden.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Aktualisieren**-Symbol <i class="fa-arrows-rotate-reverse">:arrows-rotate-reverse:</i> oberhalb der Liste, um alle Listenelemente zu aktualisieren.

<i class="fa-computer-mouse-scrollwheel">:computer-mouse-scrollwheel:</i> Scrolle in der Liste nach unten oder passe die Ergebnisanzeige pro Seite an: ![](/files/2OyJnQuiS9EayPZHDbB3) um weitere Einträge in der Liste zu sehen.\
Nutze die Seitennavigation: ![](/files/IWrRD7h50XDr2neLTKmC) um zwischen mehreren Seiten zu wechseln.&#x20;

### Liste filtern

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Filtern**-Symbol <i class="fa-filter">:filter:</i> oberhalb der Liste, um die Liste nach vordefinierten Parametern zu filtern.

<details>

<summary>Verfügbare Filter</summary>

<table><thead><tr><th width="206.60546875">Parameter</th><th width="116.515625">Art</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Aktiviert</td><td>Boolescher Wert</td><td><p>Filtere nach allen aktiven oder inaktiven Extraktoren.<br></p><p>Folgende Werte stehen zur Verfügung:</p><ul><li><strong>True</strong>: Der Extraktor ist aktiv.</li><li><strong>False</strong>: Der Extraktor ist inaktiv.</li></ul></td></tr><tr><td>Benutzerdefinierte Felder</td><td>String</td><td>Filtere nach allen Extraktoren, in denen ein bestimmtes benutzerdefiniertes Zielfeld definiert ist, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren benutzerdefinierten Felder angezeigt.</td></tr><tr><td>Capturing Groups</td><td>String</td><td>Filtere nach allen Extraktoren, in denen ein bestimmtes Standard-Zielfeld definiert ist, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Capturing Groups angezeigt.</td></tr><tr><td>Quellfeldname</td><td>String</td><td>Filtere nach allen Extraktoren, in denen ein bestimmtes Quellfeld definiert ist, oder schließe diese aus den Ergebnissen aus. Es werden alle verfügbaren Quellfelder angezeigt.</td></tr></tbody></table>

</details>

### Listenelemente sortieren

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke im Tabellenkopf auf das **Sortieren**-Symbol <i class="fa-sort">:sort:</i> neben einem Spaltennamen, um nach der jeweiligen Spalte in aufsteigender Reihenfolge <i class="fa-angle-up">:angle-up:</i> oder in absteigender Reihenfolge <i class="fa-chevron-down">:chevron-down:</i> zu sortieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Sortieren**-Symbol <i class="fa-bars-sort">:bars-sort:</i> oberhalb der Liste, um die Priorität der vorgenommenen Sortierung anzupassen. Es öffnet sich ein Menü, in dem alle Spalten angezeigt werden, nach denen die Liste sortiert ist. Verschiebe die angezeigten Elemente per Drag-and-Drop, um die Sortierpriorität zu ändern.

### Weitere Aktionen für Listenelemente

<i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben einem Listenelement, um das entsprechende Element auszuwählen. Oder setze einen Haken in die Checkbox im Tabellenkopf, um alle Listenelemente gemeinsam auszuwählen.&#x20;

Neben dem Suchfeld erscheint nun die Anzahl der ausgewählten Listenelemente.

Zudem erscheint das Menü <i class="fa-slider">:slider:</i> **Aktionen** in der rechten oberen Ecke. Klicke darauf, um das dazugehörige Untermenü auszuklappen. Folgende Aktionen stehen zur Verfügung:

<table><thead><tr><th width="149.84375">Aktion</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Löschen</td><td><p>Lösche alle ausgewählten Extraktoren.</p><p></p><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Löschen</strong> und bestätige die Meldung, die erscheint, mit Klick auf <strong>Unwiederbringlich Löschen</strong>.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Gelöschte Elemente sind unwiederbringlich verloren!</p></div></td></tr><tr><td>Aktivieren</td><td><p><i class="fa-eye">:eye:</i> Diese Aktion ist nur klickbar, wenn ausschließlich inaktive Extraktoren ausgewählt sind.</p><p></p><p>Aktiviere alle inaktiven Extraktoren.</p></td></tr><tr><td>Deaktivieren</td><td><i class="fa-eye">:eye:</i> Diese Aktion ist nur klickbar, wenn ausschließlich aktive Extraktoren ausgewählt sind.<br><br>Deaktiviere alle aktiven Extraktoren.</td></tr></tbody></table>

***

## Extraktoren: Übersicht

<figure><img src="/files/KxLypEasSzsATZG6yShr" alt=""><figcaption></figcaption></figure>

Die Extraktoren-Übersicht ist als tabellarische Liste aufgebaut. Du kannst der Liste folgende Informationen entnehmen:

<table><thead><tr><th width="200.03125">Spalte</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td>Zeigt den benutzerdefinierten Namen des Extraktors sowie eine zusätzliche Beschreibung, falls verfügbar. Zudem werden Erstelldatum und -uhrzeit sowie letztes Bearbeitungsdatum und -uhrzeit angezeigt.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf den Namen eines Extraktors, um zur entsprechenden <a href="#extraktor-bearbeitungsansicht">Bearbeitungsansicht</a> zu navigieren. Hier kannst du vorgenommene Einstellungen anpassen und den Extraktor löschen.</td></tr><tr><td>Quellfeldname</td><td>Zeigt den Namen des Quellfelds, aus dem durch den Extraktor Informationen extrahiert werden.</td></tr><tr><td>Capturing Groups</td><td>Zeigt den oder die Namen der Standard-Zielfelder, in die extrahierte Informationen integriert werden.</td></tr><tr><td>Benutzerdefinierte Felder</td><td>Zeigt den oder die Namen der <a href="/pages/naIkrJ5zUHfaT1fJG53E">benutzerdefinierten Zielfelder</a>, falls definiert, in die extrahierte Informationen integriert werden.</td></tr><tr><td>Aktiviert</td><td>Zeigt an, ob der Extraktor aktiv Informationen aus Roh-Logs zieht oder nicht.<br><br>Ist der Extraktor aktiviert, wird dies mit einem grünen <strong>Check</strong>-Symbol <i class="fa-circle-check" style="color:$success;">:circle-check:</i> angezeigt. Deaktivierte Extraktoren werden mit einem roten <strong>Kreis</strong>-Symbol <i class="fa-circle" style="color:red;">:circle:</i> angezeigt.</td></tr></tbody></table>

***

## Extraktor hinzufügen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Extraktor hinzufügen** in der rechten oberen Ecke, um einen [neuen Extraktor zu erstellen](#extraktor-hinzufugen).

***

## Extraktor: Bearbeitungsansicht

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf den Namen eines Extraktors, um zur entsprechenden Bearbeitungsansicht zu navigieren. Hier kannst du [vorgenommene Einstellungen](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/extraktoren/extraktor-hinzufugen.md#grundeinstellungen) anpassen und den Extraktor löschen.

Folgende Aktionen stehen zur Verfügung:

<table><thead><tr><th width="200.39453125">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Änderungen speichern</td><td><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Änderungen speichern</strong>, nachdem du Einstellungen geändert hast.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Nicht gespeicherte Änderungen sind unwiederbringlich verloren!</p></div></td></tr><tr><td>Zurück</td><td><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Zurück</strong>, um zurück zur Listenübersicht zu gelangen.</td></tr><tr><td>Löschen</td><td><p><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>Löschen</strong> und bestätige die Meldung, die erscheint, mit <strong>Löschen</strong>, um alle vorgenommenen Einstellungen zu löschen.</p><div data-gb-custom-block data-tag="hint" data-style="danger" class="hint hint-danger"><p><strong>Bitte beachte</strong>: Gelöschte Einstellungen sind unwiederbringlich verloren!</p></div></td></tr></tbody></table>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/extraktoren.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.