(可选)步骤十:配置日志解析器
本章节将介绍如何配置日志解析器,以便将日志数据进行格式转换,实现无码化,将源日志转换成用户需要的数据类型。
安全云脑提供模板日志解析器(规则),可以直接使用模板进行配置。当模板日志解析器(规则)无法满足日志转换的情况下,可自定义新增日志解析器(规则)。
方式一:使用模板进行创建
此处以“安恒WAF日志解析”为例进行介绍。
- 登录管理控制台。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图1 进入目标工作空间管理页面
- 在左侧导航栏选择“解析器管理”页签,进入解析器管理页面。
,进入采集管理页面后,选择图2 进入解析器管理页面
- 在解析器管理页面中,选择“模板列表”页签。
- 在模板列表页面中,单击“安恒WAF日志解析”所在行“操作”列的“由模板创建”。
- 在新增解析器页面中,进行参数配置。
表1 新增解析器 参数名称
参数说明
基本信息
名称
解析器名称,系统已根据模板自动生成,可进行修改。
描述
解析器描述信息,系统已根据模板自动生成,可进行修改。
规则列表
解析器解析规则,系统已根据模板自动生成,可进行修改。
如需添加规则,可以单击“添加”,选择规则类型,并根据选择的规则配置对应的参数信息。
- 解析规则:选择解析器的解析规则,详细参数说明请参见解析器规则说明。
- 条件控制:选择解析器的条件控制原则,支持选择“if条件”、“else条件”、“else if条件”。
- 设置完成后,单击页面右下角“确定”。
方式二:自定义新增解析器
模板日志解析器(规则)无法满足日志转换的情况下,可自定义新增日志解析器(规则)。
- 登录管理控制台。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图3 进入目标工作空间管理页面
- 在左侧导航栏选择“解析器管理”页签,进入解析器管理页面。
,进入采集管理页面后,选择图4 进入解析器管理页面
- 在解析器列表管理页面中,单击“新增”,进入新增解析器页面。
- 在新增解析器页面中,进行参数配置。
表2 新增解析器 参数名称
参数说明
基本信息
名称
设置解析器名称。
描述
输入解析器描述信息。
规则列表
设置解析器解析规则。操作步骤如下:
- 单击“添加”,并选择规则类型。
- 解析规则:选择解析器的解析规则,详细参数说明请参见解析器规则说明。
- 条件控制:选择解析器的条件控制原则,支持选择“if条件”、“else条件”、“else if条件”。
- 根据选择的规则配置对应的参数信息。
- 单击“添加”,并选择规则类型。
- 设置完成后,单击页面右下角“确定”。