解析接入规则是对采集日志的分析,符合解析接入规则的日志才能被采集到日志审计平台。可对解析接入规则进行新增、查看、编辑、删除、查询操作。
新增解析接入规则
登录日志审计(原生版)控制台。
在左侧导航栏选择“风险分析 > 事件策略 > 解析接入规则”,配置需要采集的日志规则。
单击“新增”,进入“新增解析接入规则”页面。
根据页面提示进行配置。带“*”的为必选参数。
基本信息:填写“解析规则名称”和需要采集的“设备类型”。填写后在页面右下角单击“下一步”。
基本信息 是否必选 说明 解析规则名称 必选 自定义,注意名称不能与其他规则重复。 设备类型 必选 通过下拉框进行选择。此处选择的设备类型应与资产的设备类型保持一致。 优先级 可选 自定义,注意不能与其他规则优先级重复。 描述 可选 规则的具体说明。 提取样本:在“原始样本”文本框中输入日志的原始样本。填写后在页面右下角单击“下一步”。
提取样本 是否必选 说明 原始样本 必选 输入原始日志样本。 前置过滤:可对日志样本通过正则表达式先进行一层过滤,默认不过滤。
前置过滤 是否必选 说明 原始样本 - 提取样本中的原始样本,只支持查看。 是否过滤 必选 原始样本过滤参数,开启过滤,还需配置后续参数。 过滤方式 - 默认“正则匹配”,不支持已修改。 正则表达式 必选 自行填写正则表达式。 过滤后样本 - 后续将在过滤后的样本中提取字段,只支持查看。 选择方法:选择日志的提取方法,支持正则表达式、分隔符、key-value、json格式。选择后在页面右下角单击“下一步”。
优先为json > key-value > 分隔符 > 正则表达式。
方法 说明 正则表达式 将使用正则表达式提取字段。 分隔符 将使用分隔符(例如逗号、空格或者字符)提取字段。 Key-Value 将对key-value类型数据进行提取字段。 JSON 将对json类型数据进行提取字段。 提取字段:根据您选择的提取方法,配置提取字段。配置完成后在页面右下角单击“下一步”。
提取方法 提取字段 正则表达式 方式一:手动输入正则表达式
在正则表达式下方,单击“编辑”,输入正则表达式后单击“保存”。会根据所填正则表达式提取字段。
方式二:选取需要提取的字段自动填入正则表达式
鼠标左击在样本信息中选取需要提取的字段内容。
在弹出的提取字段对话框中配置如下参数。
目标字段:下拉选择字段标签,必填。
目标字段名:选择目标字段后,自动填入。
目标字段类型:选择目标字段后,自动填入。
样本字段类型:默认字符型,必填。
长度模式:固定长度为所选中长度,非固定长度按需选择前置或后置锚点。
示例值:默认为鼠标选中的数据。
分隔符 选择分隔符,通过分隔符提取字段。
在分隔符选择一个分隔符,或手动输入其他分隔符。
在提取字段列表中,单击“目标字段”列的“快速选择”,指定目标。
key-value 选择键值对分隔符、键值分隔符。
键值对分隔符:将样本信息分割成若干对键值对。
键值分隔符:用户分割键值对内部的键与值。
示例:样本信息为 "name=张三&age=18" ,此时键值对分隔符为 "&" ,键值分隔符为 "=" 。
json格式 自动按照json格式将字段提取到提取字段列表中,单击“目标字段”列的“快速选择”,指定目标。 验证规则:(可选)单击“添加验证数据”,填写实际采集日志,验证是否可以获取内容信息,即日志解析规则是否添加有误。
若可以正常提取,则单击“下一步”。
若不能正常提取,则单击“上一步”,修改规则。
预览保存:再次检查配置信息,确认配置无误后,单击“保存”,完成解析接入规则的配置。
相关操作
规则配置完成后,在规则列表,支持查看规则详情、编辑规则、删除规则。
查询规则:在查询栏中,填写需要查询的条件,点击“搜索”按钮,列表展示过滤后的规则。
查看规则详情:单击规则列表操作列的“查看”按钮,进入解析接入规则的详情界面。
编辑规则:单击规则列表操作列的“编辑”按钮,弹出编辑界面,修改解析接入规则。
删除规则:单击规则列表操作列的“删除”按钮,在弹出的提示框中,单击“确定”。
