快速添加日志告警模型

操作场景

安全云脑支持将查询分析结果设置告警模型，并在满足条件时触发告警。

本章节将接入如何快速为日志设置告警模型。

前提条件

已完成数据接入，详细操作请参见数据集成。

操作步骤

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
4. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

5. 在左侧导航栏选择“威胁运营 > 安全分析”，进入安全分析页面。
   图2 进入安全分析页面
   

6. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。
   图3 管道数据页面
   

7. 输入查询分析语句，设置时间范围，并单击“查询/分析”，显示查询分析结果。

   更多查询分析详细操作请参见查询与分析。

8. 单击页面右上角“添加告警”，进入新建告警模型页面。
   图4 添加告警
   

9. 配置告警基础信息，参数说明如表1所示。

   表1 告警模型基础配置

   参数名称	参数说明
   管道名称	该告警模型的执行管道，系统默认生成。
   模型名称	自定义该条告警模型的名称。
   严重程度	设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。
   告警类型	选择该条告警模型触发后，提示的告警类型。
   模型类型	默认为规则模型。
   描述	填写该告警模型的描述信息。
   启用状态	设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。

10. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。
11. 设置模型逻辑，参数说明如表2所示。

    表2 设置模型逻辑

    参数名称	参数说明
    查询规则	设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句|分析语句，查询分析语句语法详细内容请参见查询与分析语法概述。 说明： 如果筛留字段为text类型时，默认会使用MATCH_QUERY进行分词查询。
    查询计划	设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为5-59分钟；当运行查询为小时时，可设置为1-23小时；当运行查询为天时，可设置为1-14天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为5-59分钟；当时间窗口为小时时，可设置为1-23小时；当时间窗口为天时，可设置为1-14天。 延迟执行时间：xx分钟，可以设置为0-5分钟。
    告警扩充	自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。
    触发条件	设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。
    告警分组	配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警
    调试模式	设置是否生成调试类告警。
    抑制	设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。

12. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。
13. 预览确认无误后，单击页面右下角“确定”。