操作場景

態勢感知（專業版）支持將查詢分析結果設置告警模型，并在滿足條件時觸發告警。

前提條件

已完成數據接入，詳細操作請參見云服務接入。

操作步驟

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“日志審計 > 安全數據”，進入安全分析頁面。 

5. 在左側數據空間導航欄中，單擊數據空間名稱，展開數據管道列后，再單擊管道名稱，右側將顯示管道數據的檢索頁面。 

6. 輸入查詢分析語句，設置時間范圍，并單擊“查詢分析”，顯示查詢分析結果。

   更多查詢分析詳細操作請參見查詢與分析日志。

7. 單擊頁面右上角“添加告警”，進入新建告警模型頁面。

8. 配置告警基礎信息，參數說明如下表所示。

   參數名稱	參數說明
   管道名稱	該告警模型的執行管道，系統默認生成。
   模型名稱	自定義該條告警模型的名稱。
   嚴重程度	設置該告警模型的嚴重程度。可以設置致命、高危、中危、低危、提示級別。
   告警類型	選擇該條告警模型觸發后，提示的告警類型。
   模型類型	默認為規則模型。
   描述	填寫該告警模型的描述信息。
   啟用狀態	設置該告警模型的啟用狀態。 此處設置的狀態，可在整個告警模型設置成功后進行更改。

9. 設置完成后，單擊頁面右下角“下一步”，進入設置模型邏輯頁面。

10. 設置模型邏輯，參數說明如下表所示。

    參數名稱	參數說明
    查詢規則	設置告警的查詢規則，設置完成后可以單擊“運行”，查看當前運行結果。 說明 如果篩留字段為text類型時，默認會使用MATCH_QUERY進行分詞查詢。
    查詢計劃	設置告警查詢計劃。 運行查詢間隔：xx分鐘/小時/天。 當運行查詢間隔為分鐘時，可設置為5-59分鐘；當運行查詢為小時時，可設置為1-23小時；當運行查詢為天時，可設置為1-14天。 時間窗口：xx分鐘/小時/天。 當時間窗口為分鐘時，可設置為5-59分鐘；當時間窗口為小時時，可設置為1-23小時；當時間窗口為天時，可設置為1-14天。 延遲執行時間：xx分鐘，可以設置為0-5分鐘。
    告警擴充	自定義信息：自定義告警擴充信息。 單擊“添加”，并設置key+value信息，完成新增。 告警詳細信息：自定義填寫告警名稱、描述和處置建議。
    觸發條件	設置告警觸發條件。可設置為：大于/等于/不等于/小于xx時，觸發告警。 如有多條觸發條件，可以單擊“添加”按鈕進行添加，最多可添加5個觸發條件。 當設置了多個觸發條件時，在日志數據掃描檢測中，系統將按照從上到下的校驗邏輯，如果有滿足此處設置的觸發條件被檢測到時，系統都將展示不同類型的告警。
    告警分組	配置將規則查詢結果分組到告警的方式。可選擇以下方式： 將所有查詢結果分組到一個告警中 將每條查詢結果獨立觸發告警
    調試模式	設置是否生成調試類告警。
    抑制	設置生產告警后是否停止運行查詢。 如果設置為抑制，即生成告警后停止運行查詢。 如果設置為不抑制，即生成告警后不停止運行查詢。

11. 設置完成后，單擊頁面右下角“下一步”，進入模型詳情預覽頁面。

12. 預覽確認無誤后，單擊頁面右下角“確定”。