在新增资产设备后,可对事件规则进行配置。
配置解析接入规则
解析接入规则是对采集日志的分析,符合解析接入规则的日志才能被采集到日志审计平台。选择“风险分析 > 事件策略 > 解析接入规则”,配置需要采集的日志规则。其中设备类型与资产中的资产类型匹配,日志分析的格式可分为正则表达式、分隔符、key-value、json格式,请根据实际日志格式选择。
注意
设备类型与资产中的资产类型匹配,日志分析的格式可分为正则表达式、分隔符、key-value、json格式,请根据实际日志格式选择。
配置事件分类规则
事件分类规则是对采集到的日志进行一个分组分类。选择“风险分析 > 事件策略 > 事件分类规则”,点击“新增”,填写分类名称、日志分组、日志等级、关键字/正则表达式、规则所属设备。其中关键字和正则表达式任意填写一个,采集到的日志将符合填写的关键字内容或者正则表达式,归纳到该分类分组中。
注意
其中关键字和正则表达式任意填写一个,采集到的日志将符合填写的关键字内容或者正则表达式,归纳到该分类分组中。
配置事件过滤规则
事件过滤规则是对采集到日志过滤,将不需要的日志条件填入规则。选择“风险分析 > 事件策略 > 事件过滤规则”,点击“新增规则”,选填需要过滤的条件,比如事件名称填写Unix用户登录成功,填写完成后,在采集过程中,将Unix用户登录成功的日志过滤,不采集该日志。
配置事件归并规则
事件归并规则是对采集到日志进行归并。点击“风险分析 > 事件策略 > 事件归并规则”,点击“新增规则”,填写需要归并的日志条件,比如事件名称为rsyslogd日志信息的日志归并在一起,不独立展示。
配置字段映射规则
字段映射规则是对采集到的日志字段内容转义。点击“风险分析 > 事件策略 >字段映射规则”,点击“新增”,填写需要映射的字段。比如设备类型为主机的日志,字段等级为1,需要展示为中文含义,低级。则字段名选择事件等级,字段原始值填1,字段映射值填低级,采集后日志事件等级展示映射后的结果。