配置告警規則
更新時間 2025-02-28 11:11:07
最近更新時間: 2025-02-28 11:11:07
分享文章
本小節介紹日志審計(原生版)配置告警規則。
告警策略功能是對采集到的日志進行告警判斷,符合告警策略的日志進行告警。
配置告警策略
告警策略,對采集到的日志進行告警判斷,符合告警策略的日志進行告警。
1.登錄日志審計(原生版)控制臺。
2.在左側導航欄選擇“風險分析 > 告警策略” ,單擊“新增規則”,填寫告警條件。
| 參數 | 參數說明 | 取值樣例 |
|---|---|---|
| 規則名稱 | 自定義輸入告警規則名稱。 | Test |
| 可信度 | 自定義您的告警規則可信度,根據業務實際情況填寫可信度,填寫范圍:0-100。 | 1 |
| 規則等級 | 在下拉框中選擇您的告警規則等級。 | 輕微 |
| 超時時間 | 填寫此告警規則的持續時間,時間不小于0秒。 | 60 |
| 關聯類型 | 選擇告警規則關聯的設備類型,可選“單設備關聯規則”或“多設備關聯規則”。 | 單設備關聯規則 |
| 告警類型 | 在下拉框中選擇該條告警規則的告警類型。 | 用戶違規異常行為 / 違規行為 |
| 攻擊鏈類型 | 請您根據攻擊方向或影響選擇類型。 | 未知類型 |
| 歸并方式 | (可多選)基于日志詳情或告警規則信息選擇歸并方式。 | 告警目標ip |
| 設備類型 | (可多選)根據您發生告警的設備進行選擇。 | 根結點 / 主機 / 服務器/其他 |
| 資產IP | (可多選)根據您選擇的資產填寫IP,若不填寫默認匹配所有資產。 | 0.0.0.0 |
| 規則描述 | 自定義該條告警規則的內容。 | - |
| 整改建議 | 填寫此條告警發生后,建議的整改規范。 | - |
3.填寫完成后,單擊“下一步”,開始補充邏輯規則。
4.單擊“確認”完成告警規則配置。
配置告警過濾規則
告警過濾規則,對符合告警規則的日志再進行一層過濾。
1.登錄日志審計(原生版)控制臺。
2.在左側導航欄選擇“風險分析 > 告警過濾規則”,單擊“新增”,填寫告警過濾條件。
| 參數 | 參數說明 | 取值樣例 |
|---|---|---|
| 規則名稱 | 自定義輸入告警過濾規則名稱。 | Test |
| 告警等級 | 在下拉框中選擇需要過濾告警的告警等級。 | 輕微 |
| 開始時間 | 填寫該告警過濾規則生效的開始日期。 | - |
| 結束時間 | 填寫該告警過濾規則生效的開始日期。 | - |
| 告警名稱 | 填寫待過濾的告警名稱。 | - |
3.填寫完成后,單擊“確認”完成過濾規則創建。
