更新时间:2024-11-15 GMT+08:00
分享

(可选)步骤十:配置日志解析器

本章节将介绍如何配置日志解析器,以便将日志数据进行格式转换,实现无码化,将源日志转换成用户需要的数据类型。

安全云脑提供模板日志解析器(规则),可以直接使用模板进行配置。当模板日志解析器(规则)无法满足日志转换的情况下,可自定义新增日志解析器(规则)。

方式一:使用模板进行创建

此处以“安恒WAF日志解析”为例进行介绍。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择设置 > 采集管理,进入采集管理页面后,选择“解析器管理”页签,进入解析器管理页面。

    图2 进入解析器管理页面

  5. 在解析器管理页面中,选择“模板列表”页签。
  6. 在模板列表页面中,单击“安恒WAF日志解析”所在行“操作”列的“由模板创建”
  7. 在新增解析器页面中,进行参数配置。

    表1 新增解析器

    参数名称

    参数说明

    基本信息

    名称

    解析器名称,系统已根据模板自动生成,可进行修改。

    描述

    解析器描述信息,系统已根据模板自动生成,可进行修改。

    规则列表

    解析器解析规则,系统已根据模板自动生成,可进行修改。

    如需添加规则,可以单击“添加”,选择规则类型,并根据选择的规则配置对应的参数信息。

    • 解析规则:选择解析器的解析规则,详细参数说明请参见解析器规则说明
    • 条件控制:选择解析器的条件控制原则,支持选择“if条件”“else条件”“else if条件”

  8. 设置完成后,单击页面右下角“确定”

方式二:自定义新增解析器

模板日志解析器(规则)无法满足日志转换的情况下,可自定义新增日志解析器(规则)。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  4. 在左侧导航栏选择设置 > 采集管理,进入采集管理页面后,选择“解析器管理”页签,进入解析器管理页面。

    图4 进入解析器管理页面

  5. 在解析器列表管理页面中,单击“新增”,进入新增解析器页面。
  6. 在新增解析器页面中,进行参数配置。

    表2 新增解析器

    参数名称

    参数说明

    基本信息

    名称

    设置解析器名称。

    描述

    输入解析器描述信息。

    规则列表

    设置解析器解析规则。操作步骤如下:

    1. 单击“添加”,并选择规则类型。
      • 解析规则:选择解析器的解析规则,详细参数说明请参见解析器规则说明
      • 条件控制:选择解析器的条件控制原则,支持选择“if条件”“else条件”“else if条件”
    2. 根据选择的规则配置对应的参数信息。

  7. 设置完成后,单击页面右下角“确定”

相关文档