模拟告警规则
功能介绍
Simulate alert rule
调用方法
请参见如何调用API。
URI
POST /v1/{project_id}/workspaces/{workspace_id}/siem/alert-rules/simulation
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| project_id | 是 | String | 项目 ID。Project ID. |
| workspace_id | 是 | String | 工作空间 ID。Workspace ID. |
请求参数
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| X-Auth-Token | 是 | String | 用户Token,通过调用IAM服务获取用户Token接口获取。 IAM user token, fetch from IAM api. |
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| pipe_id | 是 | String | 数据管道 ID。Pipe ID. |
| query | 是 | String | 查询语句。Query. |
| query_type | 否 | String | 查询语法,SQL。Query type. SQL. |
| from | 是 | Long | 开始时间。Start time. |
| to | 是 | Long | 结束时间。End time. |
| event_grouping | 否 | Boolean | 告警分组。Event grouping. |
| triggers | 是 | Array of AlertRuleTrigger objects | 告警触发规则。Alert triggers. |
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| mode | 否 | String | 模式,数量。Mode. COUNT. |
| operator | 否 | String | 操作符,等于、不等于、大于、小于。 operator. EQ equal, NE not equal, GT greater than, LT less than. |
| expression | 是 | String | expression |
| severity | 否 | String | 严重程度,提示、低危、中危、高危、致命。Severity. TIPS, LOW, MEDIUM, HIGH, FATAL |
| accumulated_times | 否 | Integer | accumulated_times |
响应参数
状态码:200
| 参数 | 参数类型 | 描述 |
|---|---|---|
| X-request-id | String | This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. |
| 参数 | 参数类型 | 描述 |
|---|---|---|
| alert_count | Integer | 告警数量。Alert count. |
| severity | String | 严重程度,提示、低危、中危、高危、致命。Severity. TIPS, LOW, MEDIUM, HIGH, FATAL |
状态码:400
| 参数 | 参数类型 | 描述 |
|---|---|---|
| X-request-id | String | This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. |
请求示例
模拟一条告警规则,告警规则所属的管道ID为ead2769b-afb0-45dd-b9fa-a2953e6ac82f,查询类型为SQL,严重程度为提示。
{
"pipe_id" : "ead2769b-afb0-45dd-b9fa-a2953e6ac82f",
"query" : "* | select status, count(*) as count group by status",
"query_type" : "SQL",
"event_grouping" : true,
"from" : 1665221214000,
"to" : 1665546370000,
"triggers" : [ {
"mode" : "COUNT",
"operator" : "GT",
"expression" : 10,
"severity" : "TIPS"
} ]
} 响应示例
状态码:200
请求成功
{
"alert_count" : 100,
"severity" : "TIPS"
} 状态码
| 状态码 | 描述 |
|---|---|
| 200 | 请求成功 |
| 400 | 请求失败 |
错误码
请参见错误码。
