安全设备-日志审计-规则配置
5 规则配置
5.1 规则配置举例
5.1.1 用户场景
对采集的日志进行进一步分析,匹配告警关联策略,产生告警关联事件。
5.1.2 配置步骤
1. 告警策略
点击告警规则列表右上角‘添加’图标,进入添加告警规则界面,按要求填写相应的添加项 点击提交’完成添加告警规则的操作。
表5-1 告警规则参数说明
配置项 说明
- 告警名称 输入这条告警规则的名称
- 告警级别 可选择告警的级别(一般,重要,紧急)
- 监控频率 选择监控的间隔时间,可选秒/分/时/日/月
- 开启警告 是否开启告警,开启则勾选复选框,关闭就将复选框去掉
- 已存搜索 选择已存搜索
- 搜索内容 可搜索的内容
- 统计类型 日志统计,字段统计,连续统计,基线对比
- 告警类型 输入告警类型
- 告警子类 输入告警的子类型
- 告警条件 选择告警条件
图5-1 点击添加
图5-2 填写配置信息
2. 关联规则(可选配置)
功能介绍:关联规则可以将两台或多台设备相关联的日志整合出来,在工作中可以更方便直观的查
看或者排查问题 菜单项‘规则’‘关联规则’子项。进入关联规则列表展示页面。
图5-3 关联规则
图5-4 添加关联规则
5.1.3 配置验证
1. 告警规则
图5-5 告警规则配置成功
2. 关联规则
图5-6 关联规则配置成功 2
