您在添加完資產后，需要在“采集配置”模塊中添加資產采集方法。

新增采集資產

Syslog資產

1. 登錄日志審計控制臺。

2. 選擇“系統配置 > 采集管理 > syslog-udp”，進入syslog-udp資產配置頁。

3. 選擇待采集設備的“資產組”和“資產IP”，單擊“新增”完成資產配置。

Snmptrap資產

同上，區別于采集方式選擇Snmptrap。配置Snmptrap采集資產：

1. 新增MIB文件任務。在菜單“系統配置> 采集管理 > MIB管理”頁面中，單擊“新增”，上傳MIB文件。

2. 在菜單“系統配置 > 采集管理 > SnmpTrap管理”頁面中，單擊“新增”，對彈出的對話框中填寫相關參數，詳情見下表。

3. 單擊“提交”，完成Snmptrap資產的對接。

Linux設備

Linux采集腳本下載：Linux系統syslog配置說明.zip

針對Linux操作系統的syslog采集配置，為減輕運維人員工作，編寫了自動化配置腳本，由運維人員執行腳本即可完成配置，將系統日志上報到服務端，該文檔主要對配置腳本提供使用說明。

安裝步驟：

1. 上傳腳本到服務器任意目錄下；

2. 使用root用戶登陸：**su - root**，并切換到上傳目錄下；

3. 增加腳本執行權限：

   chmod 744 cmd_syslog_config_20201027.sh

4. 執行安裝腳本：

   sh cmd_syslog_config_20201027.sh

   執行成功后，會顯示如下指令：syslog restart complete!

5. 執行 source /etc/profile指令，修改您的環境變量，確保采集腳本可以正常生效。

Windows設備

Windows采集軟件包下載：eventlog_win.zip。

Windows系統以管理員身份運行eventlog_win安裝包。

Windows安裝包安裝步驟：

1. 解壓安裝包之后，打開 /config/syslog_conf.xml 文件，根據您業務的實際需求修改“本機的IP”和“UDP接收的IP”。

2. 修改完IP，右鍵 > 以管理員身份運行安裝文件Install，等待程序安裝完成。

3. 待程序安裝完成后即可正常使用Windows工具采集日志。

規則配置

配置日志的解析接入規則：點擊“風險分析 > 事件策略 > 解析接入規則”，目前已經配置常見的日志規則可在該頁面中查看，若需要新增自定義規則，可單擊“新增”進行配置。選擇需要采集的設備類型和日志樣本。

可對日志樣本先進行一層過濾，如：通過正則表達式，過濾端口等信息。默認不過濾。

選擇日志格式解析的方式：正則表達式解析、分隔符解析、key-value解析、json格式解析。優先為json>key-value>分隔符>正則表達式。

鼠標左擊選中樣本信息中需要提取的字段內容，選擇對應字段，添加到字段列表中。

填寫實際采集日志，驗證日志解析規則是否添加有誤（可跳過）。

最后檢查保存即可。

配置告警規則：點擊“風險分析 > 告警策略”，目前已經配置常見的告警規則可在該頁面中查看，若需要新增自定義規則，可點擊新增進行配置。

其中告警規則邏輯關系可選擇and、or、fb、rule。

條件可引用菜單“風險分析 > 對象資源”的內容作為字段值引用。