在新增資產設備后，您需要對事件規則進行配置才可以通過日志審計（原生版）服務獲取業務所需的日志信息。

配置解析接入規則

解析接入規則是對采集日志的分析，符合解析接入規則的日志才能被采集到日志審計平臺。

1.登錄日志審計（原生版）控制臺。

2.在左側導航欄選擇“風險分析 > 事件策略 > 解析接入規則”，配置需要采集的日志規則。

3.單擊“新增”，進入“新增解析接入規則”頁面。

4.填寫“解析規則名稱”和“設備類型”，填寫后單擊“下一步”。

說明
此處選擇的設備類型應與資產的設備類型保持一致。

5.在“原始樣本”對話框中輸入日志的原始樣本信息，填寫完成后單擊“下一步”。

6.選擇日志的提取方法，可選：正則表達式解析、分隔符解析、Key-Value解析、Json格式解析。

7.根據您選擇的提取方法，配置提取字段，配置完成后驗證是否可以獲取內容信息，若可以正常提取則單擊“保存”，完成解析接入規則的配置。

配置事件分類規則

事件分類規則是對采集到的日志進行一個分組分類。

1.登錄日志審計（原生版）控制臺。

2.在左側導航欄選擇“風險分析 > 事件策略 > 事件分類規則”，單擊“新增”。

3.在彈出的對話框中填寫事件分類規則的參數。

注意
其中關鍵字和正則表達式任意填寫一個，采集到的日志將符合填寫的關鍵字內容或者正則表達式，歸納到該分類分組中。

4.填寫完成后，單擊“提交”，完成事件分類配置。

配置事件過濾規則

事件過濾規則是對采集到日志過濾，將不需要審計的日志條件填入規則，不再審計過濾的日志。

1.登錄日志審計（原生版）控制臺。

2.在左側導航欄選擇“風險分析 > 事件策略 > 事件過濾規則”，單擊“新增規則”。

3.在彈出的對話框中填寫過濾規則，填寫完成后單擊“提交”。

配置事件歸并規則

事件歸并規則是對過濾后的事件，基于歸并條件進行歸并。

1.登錄日志審計（原生版）控制臺。

2.在左側導航欄選擇“風險分析 > 事件策略 > 事件歸并規則”，單擊“新增規則”。

3.在“新增事件歸并規則”頁面填寫歸并事件規則。

4.填寫完成后，單擊“確認”，完成歸并規則配置。

配置字段映射規則

字段映射規則是對采集到的日志字段內容映射，如等級字段，接收到的可能是數值1、2、3，可以通過字段映射成：低、中、高。

1.登錄日志審計（原生版）控制臺。

2.在左側導航欄選擇“風險分析 > 事件策略 >字段映射規則”，單擊“新增”。

3.在彈出的對話框中選擇字段映射規則的相關參數。

4.填寫完成后，單擊“提交”完成字段映射規則配置。