事件策略
解析接人规则
解析接入规则是对采集日志的分析,符合解析接入规则的日志才能被采集到日志审计平台。点击“风险分析”>“事件策略”>“解析接入规则”,配置需要采集的日志规则。可对解析接入规则进行新增、查看、编辑、删除、查询操作。
- 新增:点击“新增”按钮,弹出解析接入规则添加界面,根据页面提示填写相应的信息,*号标识的为必填属性,点击提交,即可添加成功。
详情步骤如下:
基本信息:填写规则名称和选择需要采集的设备类型。
提取样本:将原始日志复制到该文本框。
前置过滤:可对日志样本通过正则表达式先进行一层过滤,默认不过滤。
选择方法:解析方法支持正则表达式解析、分隔符解析、key-value解析、json格式解析。优先为json>key-value>分隔符>正则表达式。
提取字段:根据选择的不同方法,填写需要提取的内容。 - 查看:点击“查看”按钮,弹出解析接入规则的详情界面。
- 编辑:点击“编辑”按钮,弹出编辑界面,修改解析接入规则。
- 查询:在查询栏中,填写需要查询的条件,点击“搜索”按钮,列表展示过滤后的规则。
注意
正则表达式提取方式:鼠标左击选中样本信息中需要提取的字段内容,选择对应字段,添加到字段列表中。
验证规则:填写实际采集日志,验证日志解析规则是否添加有误(可跳过)。
预览保存:检查填写内容是否正确,确定无误后点击保存。
事件分类规则
事件分类规则是对采集到的日志进行一个分组分类。点击“风险分析”>“事件策略”>“事件分类规则”,可对事件分类规则进行新增、查看、编辑、删除、查询操作。
- 新增:点击“新增”按钮,弹出事件分类规则添加界面,根据页面提示填写相应的信息,*号标识的为必填属性,点击提交,即可添加成功。
- 查看:点击“查看”按钮,弹出事件分类规则的详情界面。
- 编辑:点击“编辑”按钮,弹出编辑界面,修改事件分类规则。
- 查询:在查询栏中,填写需要查询的条件,点击“搜索”按钮,列表展示过滤后的规则。
事件归并规则
事件归并规则是对采集到日志进行归并。点击“风险分析”>“事件策略”>“事件归并规则”,可对事件归并规则进行新增、查看、编辑、删除、查询操作。
- 新增:点击“新增”按钮,弹出事件归并规则添加界面,根据页面提示填写相应的信息,*号标识的为必填属性,点击提交,即可添加成功。
- 查看:点击“查看”按钮,弹出事件归并规则的详情界面。
- 编辑:点击“编辑”按钮,弹出编辑界面,修改事件归并规则。
- 查询:在查询栏中,填写需要查询的条件,点击“搜索”按钮,列表展示过滤后的规则。