# Extraktor hinzufügen

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Extraktor hinzufügen** in der rechten oberen Ecke der [Extraktoren-Übersicht](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/extraktoren.md#extraktoren-ubersicht), um einen neuen Extraktor zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Extraktoren** → **Hinzufügen**.

<figure><img src="/files/nDmquk5vezZvf6VDBHpM" alt=""><figcaption></figcaption></figure>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Extraktor hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Extraktor zu speichern und erstellen.&#x20;

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen.

{% hint style="danger" %}
**Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Extraktor hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren!
{% endhint %}

***

## Grundeinstellungen

<figure><img src="/files/IVTb3jT1tQbTxCjjBp95" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="200.47265625">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Name</td><td>Gib dem Extraktor einen aussagekräftigen Namen.</td></tr><tr><td>Beschreibung</td><td><p>Beschreibe den Extraktor genauer. </p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Dieses Feld ist optional.</p></div></td></tr><tr><td>Aktiviert</td><td><p>Lege fest, ob der Extraktor aktiv Informationen extrahieren soll.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze dazu einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Aktiviert</strong> oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um den Extraktor zu deaktivieren.</p></td></tr></tbody></table>

***

## Regex Matcher

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <i class="fa-plus">:plus:</i> **Matcher hinzufügen**, um einen Bereich auszuklappen, in dem du einen Regex-Matcher für ein bestimmtest Quellfeld definieren kannst.&#x20;

Dieser Matcher wendet ein benutzerdefiniertes Suchmuster (Bedingung) auf das Quellfeld an, um Übereinstimmungen (Pattern-Matches) zu finden und diese Informationen in Standardfeldern ([Capturing Groups](#capturing-groups)) oder [benutzerdefinierten Feldern](#benutzerdefinierte-felder) in entsprechenden Log-Einträgen im Data Lake anzuzeigen.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einem hinzugefügten Regex-Matcher, um diesen vollständig zu entfernen.&#x20;

<figure><img src="/files/YzqxJQOxaFrdPTsfZxsV" alt=""><figcaption></figcaption></figure>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Quellfeldame</td><td>Lege das Feld fest, aus dem die gewünschten Informationen extrahiert werden sollen.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Quellfeldname</strong>, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus.</td></tr><tr><td>Bedingung (Regex) (Syntax: PCRE)</td><td><p>Gib ein wiederkehrendes Suchmuster als Perl-kompatiblen regulären Ausdruck (Perl-Compatible Regular Expression; PCRE) an.</p><p></p><p>Diese, hier definierte Bedingung muss zutreffen, damit entsprechende Feldwerte aus dem Quellfeld extrahiert werden.<br><br><i class="fa-pen-to-square">:pen-to-square:</i> Wenn du unterhalb des Felds <strong>Pattern</strong> bereits Beispiel-Log-Einträge angegeben hast, wird die hier definierte Bedingung mit einer gestrichelten Linie markiert.<br></p><p><img src="/files/29z8xY9Q397YwV3JA0Mw" alt="" data-size="original"></p><p><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>mi</strong> am Ende einer Zeile, um das Fenster <a href="#regex-flags">Regex Flags</a> zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.</p></td></tr><tr><td>Pattern (Regex) (Syntax: PCRE)</td><td><p>Gib ein wiederkehrendes Suchergebnis-Muster als PCRE an.</p><p></p><p>Feldwerte, die durch die zuvor definierte Bedingung gefunden wurden, müssen diesem Suchergebnis-Muster entsprechen, damit sie weiterverarbeitet und in andere Zielfelder integriert werden.</p><p></p><p>Wenn du einen gültigen regulären Ausdruck eingegeben hast, öffnet sich automatisch der Bereich <a href="#capturing-groups">Capturing Groups</a>. Hier kannst du Standard-Zielfelder auswählen, in die extrahierte Informationen integriert werden sollen.<br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf <strong>mi</strong> am Ende einer Zeile, um das Fenster <a href="#regex-flags">Regex Flags</a> zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.</p></td></tr><tr><td>Beispiel</td><td>Gib ein oder mehrere Beispiel-Log-Einträge als Text-String an, die deinem Suchergebnis-Muster entsprechen.</td></tr></tbody></table>

### Regex Flags

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **mi** am Ende einer Zeile, um das Fenster **Regex Flags** zu öffnen. Hier kannst du Einstellungen für deinen regulären Ausdruck festlegen.

<div align="left"><figure><img src="/files/OUpAbGviYwh5QYxLsue3" alt="" width="242"><figcaption></figcaption></figure></div>

Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Multiline</td><td><p>Lege fest, ob Zeilenanfang und -ende in einem mehrzeiligen Text erkannt werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Multiline</strong>, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um die Option zu deaktivieren.</p></td></tr><tr><td>Case Insensitive</td><td><p>Lege fest, ob Groß- und Kleinschreibung ignoriert werden sollen.</p><div data-gb-custom-block data-tag="hint" data-style="info" class="hint hint-info"><p>Diese Option ist standardmäßig aktiviert.</p></div><p><i class="fa-computer-mouse">:computer-mouse:</i> Setze einen Haken in die Checkbox <i class="fa-square">:square:</i> neben <strong>Case Insensitive</strong>, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox <i class="fa-square-check">:square-check:</i>, um die Option zu deaktivieren.</p></td></tr></tbody></table>

### Capturing Groups

<i class="fa-eye">:eye:</i> Dieser Bereich ist nur sichtbar, wenn du im Feld **Pattern (Regex) (Syntax: PCRE)** einen gültigen regulären Ausdruck eingegeben hast.

Im Bereich **Capturing Groups** werden dir Eingabefelder für Standard-Zielfelder angezeigt, in die extrahierte Informationen integriert werden können.

<div align="left"><figure><img src="/files/tIWMsHYrJdKlBxPCd89A" alt=""><figcaption></figcaption></figure></div>

Die Anzahl der angezeigten Eingabefelder für Capturing Groups variiert je nachdem, wieviele Feldwert-Typen sich mithilfe des Suchergebnis-Musters ermitteln lassen.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke in das Feld **Zielfeldname**, um eine Liste aller verfügbaren Felder auszuklappen, und wähle ein Feld aus.

<i class="fa-grip-dots-vertical">:grip-dots-vertical:</i> Klicke und halte bei mehreren Capturing Groups ein **Zielfeldname**-Feld, um es in der Reihenfolge nach oben oder unten zu verschieben.

<p align="center">---------------</p>

<i class="fa-paint-roller">:paint-roller:</i> Wenn du neben den Capturing Groups bereits Beispiel-Log-Einträge angegeben hast, wird jeder Wert, der zu einer bestimmten Capturing Group gehört, mit derselben Farbe markiert.

#### Beispiel für eine Capturing Group

<figure><img src="/files/w1wVOcZxhI9gyvszIhPw" alt=""><figcaption></figcaption></figure>

#### Beispiel für drei Capturing Groups

<figure><img src="/files/mXUMouRxA5SvRJXjmEdb" alt=""><figcaption></figcaption></figure>

### Benutzerdefinierte Felder

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Benutzerdefiniertes Feld hinzufügen**, um ein benutzerdefiniertes Zielfeld auszuwählen, das du an Log-Einträge im Data Lake anhängen kannst, auf die die zuvor definierte Bedingung zutrifft.&#x20;

Benutzerdefinierte Zielfelder musst du zuerst unter **SIEM** → [Benutzerdefinierte Felder](/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/benutzerdefinierte-felder.md) erstellt haben, um sie hier auswählen zu können.

<div align="left"><figure><img src="/files/FcirwBjMSkDkeQfXXsd8" alt=""><figcaption></figcaption></figure></div>

&#x20;Folgende Optionen stehen zur Verfügung:

<table><thead><tr><th width="199.875">Option</th><th>Beschreibung</th></tr></thead><tbody><tr><td>Zielfeldname</td><td>Lege das benutzerdefinierte Zielfeld fest, das an Log-Einträge angehängt werden soll, die der zuvor definierten Bedingung entsprechen. <br><br><i class="fa-computer-mouse">:computer-mouse:</i> Klicke dazu in das Feld <strong>Zielfeldname</strong>, um eine Liste aller verfügbaren, benutzerdefinierten Felder auszuklappen, und wähle ein Feld aus.</td></tr><tr><td>Wert</td><td>Gib einen benutzerdefinierten Wert für das Zielfeld an.</td></tr></tbody></table>

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf **Benutzerdefiniertes Feld hinzufügen**, um ein weiteres Zielfeld zu definieren.

<i class="fa-computer-mouse">:computer-mouse:</i> Klicke auf das **Löschen**-Symbol <i class="fa-trash">:trash:</i> neben einem hinzugefügten Zielfeld, um es wieder zu entfernen.&#x20;


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/erweiterte-einstellungen/extraktoren/extraktor-hinzufugen.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.