配置事件分类规则
更新时间 2025-09-18 17:58:30
最近更新时间: 2025-09-18 17:58:30
本节介绍如何配置事件分类规则。
事件分类规则是对采集到的日志进行一个分组分类。可对事件分类规则进行新增、查看、修改、删除操作。
新增事件分类规则
登录日志审计(原生版)控制台。
在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”。
单击“新增”,弹出新增规则窗口。
配置事件分类规则。带“*”的为必选参数。
参数 是否必选 参数说明 分类名称 必选 自定义事件分类规则的名称。 日志分组 必选 在下拉框中选择该事件分类中,日志划分的类型。
例如:分组根节点 / 策略违规 / 策略违规/应用策略违规 / 策略违规/应用策略违规/密码策略
日志等级 必选 在下拉框中选择该日志的影响等级。支持轻微、低级、中级、高级、严重。 判断类别 必选 选择日志的判断类型,可选“关键字”或“正则表达式”。
若选择“关键字”,还需填写关键字,多个关键字用英文字符的逗号隔开。
若选择“正则表达式”,还需填写正则表达式。
注意
关键字和正则表达式任意填写一个,采集到的日志将符合填写的关键字内容或者正则表达式,归纳到该分类分组中。
规则所属设备 必选 在下拉框中选择此事件分类规则所属的设备。
例如:根结点 / 主机 / 服务器/Windows系列 / 服务器/Windows系列/Windows 8
规则描述 可选 填写此事件分类规则的描述。 建议措施 可选 填写此事件分类规则的建议处理措施。 配置完成后,单击“提交”,完成事件分类配置。
相关操作
规则配置完成后,在规则列表,支持查询规则、查看规则详情、编辑规则、删除规则。
说明
内置规则不支持修改、删除。
查询规则:在查询栏中,填写需要查询的条件,点击搜索图标,列表展示过滤后的规则。
查看规则详情:单击规则列表操作列的“查看”按钮,进入事件分类规则的详情界面。
修改规则:单击规则列表操作列的“修改”按钮,弹出编辑界面,修改事件分类规则。
删除规则:勾选需要删除的规则,单击规则列表右上方的“删除”按钮,在弹出的提示框中,单击“确定”。
