事件歸并規則是對過濾后的事件，基于歸并條件進行歸并。可對事件歸并規則進行新增、查看、編輯、刪除、查詢操作。

新增事件歸并規則

1. 登錄日志審計（原生版）控制臺。

2. 在左側導航欄選擇“風險分析 > 事件策略 > 事件歸并規則”。

3. 單擊“新增規則”，進入“新增事件歸并規則”頁面。

   

4. 填寫事件歸并規則。帶“*”的為必選參數。

   參數	是否必選	參數說明	取值樣例
   歸并規則名稱	必選	自定義歸并規則名稱。	Test
   相關采集器	必選	選擇日志采集器，目前僅可選擇“log_p”。	log_p
   過濾字段選擇	必選	根據業務實際情況填寫過濾字段。	目標端口等于8080
   歸并字段選擇	必選	根據業務實際情況選擇歸并字段。	EVENTNAME
   歸并時間（秒）	必選	選擇日志每次歸并的時間，時間越長歸并的日志越多。	30
   歸并后事件名	可選	自定義歸并后的事件名稱。若不配置，則默認為原事件名稱。	Event1
   歸并后事件等級	可選	選擇歸并后日志事件的等級。若不選擇，則默認為原事件等級。	輕微
   歸并后設置	必選	選擇歸并后日志數據是選擇第一條數據，還是最后一條數據。	第一條

5. 填寫完成后，單擊“確認”，完成歸并規則配置。

相關操作

規則配置完成后，在規則列表，支持查詢規則、查看規則詳情、編輯規則、刪除規則。

• 查詢規則：在查詢欄中，填寫需要查詢的條件，點擊搜索圖標，列表展示過濾后的規則。

• 查看規則詳情：單擊規則列表操作列的“查看”按鈕，查看事件歸并規則詳情。

• 修改規則：單擊規則列表操作列的“修改”按鈕，彈出修改界面，修改事件歸并規則。

• 刪除規則：單擊規則列表操作列的“更多 > 刪除”按鈕，在彈出的提示框中，單擊“確定”。