事件归并规则是对过滤后的事件，基于归并条件进行归并。可对事件归并规则进行新增、查看、编辑、删除、查询操作。

新增事件归并规则

1. 登录日志审计（原生版）控制台。

2. 在左侧导航栏选择“风险分析 > 事件策略 > 事件归并规则”。

3. 单击“新增规则”，进入“新增事件归并规则”页面。

   

4. 填写事件归并规则。带“*”的为必选参数。

   参数	是否必选	参数说明	取值样例
   归并规则名称	必选	自定义归并规则名称。	Test
   相关采集器	必选	选择日志采集器，目前仅可选择“log_p”。	log_p
   过滤字段选择	必选	根据业务实际情况填写过滤字段。	目标端口等于8080
   归并字段选择	必选	根据业务实际情况选择归并字段。	EVENTNAME
   归并时间（秒）	必选	选择日志每次归并的时间，时间越长归并的日志越多。	30
   归并后事件名	可选	自定义归并后的事件名称。若不配置，则默认为原事件名称。	Event1
   归并后事件等级	可选	选择归并后日志事件的等级。若不选择，则默认为原事件等级。	轻微
   归并后设置	必选	选择归并后日志数据是选择第一条数据，还是最后一条数据。	第一条

5. 填写完成后，单击“确认”，完成归并规则配置。

相关操作

规则配置完成后，在规则列表，支持查询规则、查看规则详情、编辑规则、删除规则。

• 查询规则：在查询栏中，填写需要查询的条件，点击搜索图标，列表展示过滤后的规则。

• 查看规则详情：单击规则列表操作列的“查看”按钮，查看事件归并规则详情。

• 修改规则：单击规则列表操作列的“修改”按钮，弹出修改界面，修改事件归并规则。

• 删除规则：单击规则列表操作列的“更多 > 删除”按钮，在弹出的提示框中，单击“确定”。