事件分類規則是對采集到的日志進行一個分組分類。可對事件分類規則進行新增、查看、修改、刪除操作。

新增事件分類規則

1. 登錄日志審計（原生版）控制臺。

2. 在左側導航欄選擇“風險分析 > 事件策略 > 事件分類規則”。

3. 單擊“新增”，彈出新增規則窗口。

   

4. 配置事件分類規則。帶“*”的為必選參數。

   參數	是否必選	參數說明
   分類名稱	必選	自定義事件分類規則的名稱。
   日志分組	必選	在下拉框中選擇該事件分類中，日志劃分的類型。 例如：分組根節點 / 策略違規 / 策略違規/應用策略違規 / 策略違規/應用策略違規/密碼策略
   日志等級	必選	在下拉框中選擇該日志的影響等級。支持輕微、低級、中級、高級、嚴重。
   判斷類別	必選	選擇日志的判斷類型，可選“關鍵字”或“正則表達式”。 若選擇“關鍵字”，還需填寫關鍵字，多個關鍵字用英文字符的逗號隔開。 若選擇“正則表達式”，還需填寫正則表達式。 注意 關鍵字和正則表達式任意填寫一個，采集到的日志將符合填寫的關鍵字內容或者正則表達式，歸納到該分類分組中。
   規則所屬設備	必選	在下拉框中選擇此事件分類規則所屬的設備。 例如：根結點 / 主機 / 服務器/Windows系列 / 服務器/Windows系列/Windows 8
   規則描述	可選	填寫此事件分類規則的描述。
   建議措施	可選	填寫此事件分類規則的建議處理措施。

5. 配置完成后，單擊“提交”，完成事件分類配置。

相關操作

規則配置完成后，在規則列表，支持查詢規則、查看規則詳情、編輯規則、刪除規則。

• 查詢規則：在查詢欄中，填寫需要查詢的條件，點擊搜索圖標，列表展示過濾后的規則。

• 查看規則詳情：單擊規則列表操作列的“查看”按鈕，進入事件分類規則的詳情界面。

• 修改規則：單擊規則列表操作列的“修改”按鈕，彈出編輯界面，修改事件分類規則。

• 刪除規則：勾選需要刪除的規則，單擊規則列表右上方的“刪除”按鈕，在彈出的提示框中，單擊“確定”。