解析接入規則是對采集日志的分析，符合解析接入規則的日志才能被采集到日志審計平臺。可對解析接入規則進行新增、查看、編輯、刪除、查詢操作。

新增解析接入規則

1. 登錄日志審計（原生版）控制臺。

2. 在左側導航欄選擇“風險分析 > 事件策略 > 解析接入規則”，配置需要采集的日志規則。

3. 單擊“新增”，進入“新增解析接入規則”頁面。

   

4. 根據頁面提示進行配置。帶“*”的為必選參數。

   1. 基本信息：填寫“解析規則名稱”和需要采集的“設備類型”。填寫后在頁面右下角單擊“下一步”。

      基本信息	是否必選	說明
      解析規則名稱	必選	自定義，注意名稱不能與其他規則重復。
      設備類型	必選	通過下拉框進行選擇。此處選擇的設備類型應與資產的設備類型保持一致。
      優先級	可選	自定義，注意不能與其他規則優先級重復。
      描述	可選	規則的具體說明。

   2. 提取樣本：在“原始樣本”文本框中輸入日志的原始樣本。填寫后在頁面右下角單擊“下一步”。

      提取樣本	是否必選	說明
      原始樣本	必選	輸入原始日志樣本。

   3. 前置過濾：可對日志樣本通過正則表達式先進行一層過濾，默認不過濾。

      前置過濾	是否必選	說明
      原始樣本	-	提取樣本中的原始樣本，只支持查看。
      是否過濾	必選	原始樣本過濾參數，開啟過濾，還需配置后續參數。
      過濾方式	-	默認“正則匹配”，不支持已修改。
      正則表達式	必選	自行填寫正則表達式。
      過濾后樣本	-	后續將在過濾后的樣本中提取字段，只支持查看。

   4. 選擇方法：選擇日志的提取方法，支持正則表達式、分隔符、key-value、json格式。選擇后在頁面右下角單擊“下一步”。

      優先為json > key-value > 分隔符 > 正則表達式。

      方法	說明
      正則表達式	將使用正則表達式提取字段。
      分隔符	將使用分隔符（例如逗號、空格或者字符）提取字段。
      Key-Value	將對key-value類型數據進行提取字段。
      JSON	將對json類型數據進行提取字段。

   5. 提取字段：根據您選擇的提取方法，配置提取字段。配置完成后在頁面右下角單擊“下一步”。

      提取方法	提取字段
      正則表達式	方式一：手動輸入正則表達式 在正則表達式下方，單擊“編輯”，輸入正則表達式后單擊“保存”。會根據所填正則表達式提取字段。
      	方式二：選取需要提取的字段自動填入正則表達式 鼠標左擊在樣本信息中選取需要提取的字段內容。 在彈出的提取字段對話框中配置如下參數。 目標字段：下拉選擇字段標簽，必填。 目標字段名：選擇目標字段后，自動填入。 目標字段類型：選擇目標字段后，自動填入。 樣本字段類型：默認字符型，必填。 長度模式：固定長度為所選中長度，非固定長度按需選擇前置或后置錨點。 示例值：默認為鼠標選中的數據。
      分隔符	選擇分隔符，通過分隔符提取字段。 在分隔符選擇一個分隔符，或手動輸入其他分隔符。 在提取字段列表中，單擊“目標字段”列的“快速選擇”，指定目標。
      key-value	選擇鍵值對分隔符、鍵值分隔符。 鍵值對分隔符：將樣本信息分割成若干對鍵值對。 鍵值分隔符：用戶分割鍵值對內部的鍵與值。 示例：樣本信息為 "name=張三&age=18" ，此時鍵值對分隔符為 "&" ，鍵值分隔符為 "=" 。
      json格式	自動按照json格式將字段提取到提取字段列表中，單擊“目標字段”列的“快速選擇”，指定目標。

   6. 驗證規則：（可選）單擊“添加驗證數據”，填寫實際采集日志，驗證是否可以獲取內容信息，即日志解析規則是否添加有誤。

      • 若可以正常提取，則單擊“下一步”。

      • 若不能正常提取，則單擊“上一步”，修改規則。

   7. 預覽保存：再次檢查配置信息，確認配置無誤后，單擊“保存”，完成解析接入規則的配置。

相關操作

規則配置完成后，在規則列表，支持查看規則詳情、編輯規則、刪除規則。

• 查詢規則：在查詢欄中，填寫需要查詢的條件，點擊“搜索”按鈕，列表展示過濾后的規則。

• 查看規則詳情：單擊規則列表操作列的“查看”按鈕，進入解析接入規則的詳情界面。

• 編輯規則：單擊規則列表操作列的“編輯”按鈕，彈出編輯界面，修改解析接入規則。

• 刪除規則：單擊規則列表操作列的“刪除”按鈕，在彈出的提示框中，單擊“確定”。