事件分类规则是对采集到的日志进行一个分组分类。可对事件分类规则进行新增、查看、修改、删除操作。
新增事件分类规则
登录日志审计(原生版)控制台。
在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”。
单击“新增”,弹出新增规则窗口。
配置事件分类规则。带“*”的为必选参数。
参数 是否必选 参数说明 分类名称 必选 自定义事件分类规则的名称。 日志分组 必选 在下拉框中选择该事件分类中,日志划分的类型。
例如:分组根节点 / 策略违规 / 策略违规/应用策略违规 / 策略违规/应用策略违规/密码策略
日志等级 必选 在下拉框中选择该日志的影响等级。支持轻微、低级、中级、高级、严重。 判断类别 必选 选择日志的判断类型,可选“关键字”或“正则表达式”。
若选择“关键字”,还需填写关键字,多个关键字用英文字符的逗号隔开。
若选择“正则表达式”,还需填写正则表达式。
注意
关键字和正则表达式任意填写一个,采集到的日志将符合填写的关键字内容或者正则表达式,归纳到该分类分组中。
规则所属设备 必选 在下拉框中选择此事件分类规则所属的设备。
例如:根结点 / 主机 / 服务器/Windows系列 / 服务器/Windows系列/Windows 8
规则描述 可选 填写此事件分类规则的描述。 建议措施 可选 填写此事件分类规则的建议处理措施。 配置完成后,单击“提交”,完成事件分类配置。
导出事件分类规则
登录日志审计(原生版)控制台。
在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”。
手动勾选需要导出的事件分类规则,点击“导出”按钮,可自动下载规则json文件到本地。
导入事件分类规则
登录日志审计(原生版)控制台。
在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”。
点击“导入”按钮。
配置重复数据导入策略,选择需要上传的json文件。
重复数据导入策略支持覆盖和跳过:
覆盖:如果导入解析规则系统已经存在,则覆盖已有策略。
跳过:如果导入解析规则系统已经存在,则保留原有策略,不进行导入。
单击“提交”完成导入。
相关操作
规则配置完成后,在规则列表,支持查询规则、查看规则详情、编辑规则、删除规则。
说明
内置规则不支持修改、删除。
查询规则:在查询栏中,填写需要查询的条件,点击搜索图标,列表展示过滤后的规则。
查看规则详情:单击规则列表操作列的“查看”按钮,进入事件分类规则的详情界面。
修改规则:单击规则列表操作列的“修改”按钮,弹出编辑界面,修改事件分类规则。
删除规则:勾选需要删除的规则,单击规则列表右上方的“删除”按钮,在弹出的提示框中,单击“确定”。
