5 规则配置

5.1 规则配置举例

5.1.1 用户场景

对采集的日志进行进一步分析,匹配告警关联策略,产生告警关联事件。

5.1.2 配置步骤

1. 告警策略

点击告警规则列表右上角‘添加’图标,进入添加告警规则界面,按要求填写相应的添加项 点击提交’完成添加告警规则的操作。

表5-1 告警规则参数说明

配置项 说明

  1. 告警名称 输入这条告警规则的名称
  2. 告警级别 可选择告警的级别(一般,重要,紧急)
  3. 监控频率 选择监控的间隔时间,可选秒/分/时/日/月
  4. 开启警告 是否开启告警,开启则勾选复选框,关闭就将复选框去掉
  5. 已存搜索 选择已存搜索
  6. 搜索内容 可搜索的内容
  7. 统计类型 日志统计,字段统计,连续统计,基线对比
  8. 告警类型 输入告警类型
  9. 告警子类 输入告警的子类型
  10. 告警条件 选择告警条件

图5-1 点击添加

 

安全设备-日志审计-规则配置_关联规则

图5-2 填写配置信息

 

安全设备-日志审计-规则配置_关联规则_02

2. 关联规则(可选配置)

功能介绍:关联规则可以将两台或多台设备相关联的日志整合出来,在工作中可以更方便直观的查

看或者排查问题 菜单项‘规则’‘关联规则’子项。进入关联规则列表展示页面。

图5-3 关联规则

 

安全设备-日志审计-规则配置_网络_03

图5-4 添加关联规则

安全设备-日志审计-规则配置_关联规则_04

安全设备-日志审计-规则配置_搜索_05

5.1.3 配置验证

1. 告警规则

图5-5 告警规则配置成功

 

安全设备-日志审计-规则配置_子类_06

安全设备-日志审计-规则配置_网络_07

2. 关联规则

图5-6 关联规则配置成功 2

安全设备-日志审计-规则配置_网络_08