更新时间:2026-05-15 GMT+08:00
快速添加日志告警模型
操作场景
安全云脑的告警有两类:
- 原始的云服务告警:将其他云服务的告警日志或攻击日志接入安全云脑后,可在安全云脑查看到对应告警或攻击。支持接入的云服务日志请参见支持接入的云服务日志,接入云服务日志请参见接入日志数据,查看告警请参见查看告警信息。
- 模型告警:通过将查询分析结果添加到告警模型,通过新增日志告警模型,并在满足条件时触发告警,即可生成模型告警。告警的更多信息请参见告警概述。
本章节将介绍如何快速为日志设置告警模型。
前提条件
已完成数据接入,详细操作请参见云服务接入。
快速添加日志告警模型
- 登录安全云脑 SecMaster控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。 图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入安全分析页面。 图2 进入安全分析页面
- 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。 图3 管道数据页面
- 输入查询分析语句,设置时间范围,并单击“查询/分析”,显示查询分析结果。
更多查询分析详细操作请参见查询与分析日志。
- 单击页面右上角“添加告警”,进入新建告警模型页面。 图4 添加告警
- 配置告警基础信息,参数说明如表1所示。
表1 告警模型基础配置 参数名称
参数说明
管道名称
该告警模型的执行管道,系统默认生成。无需配置。
模型名称
自定义该条告警模型的名称。命名规则:
- 名称只能包含英文字母、数字、空格、特殊字符、中文字符
- 特殊字符指的是()、【】、[]、-、_、/、.
- 不能包含secmaster、isap或csb
严重程度
设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。告警的严重程度风险等级说明可参见告警的风险等级分类。
告警类型
选择该条告警模型触发后,提示的告警类型。
模型类型
默认为规则模型。无需配置。
描述
必填,填写该告警模型的描述信息。长度不超过4096个字符。
启用状态
设置该告警模型的启用状态,即是否启用该模型告警。启用后,当满足模型的触发条件时会上报告警。
此处设置的状态,可在整个告警模型设置成功后进行更改。
- 设置完成后,单击页面右下角“下一步”,进入“设置模型逻辑”页面。
- 设置模型逻辑,参数说明如表2所示。
表2 设置模型逻辑 参数名称
参数说明
查询规则
设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。
查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述。说明:如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。
查询计划
设置告警查询计划。
告警扩充
触发条件
设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。
如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。
当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。
告警分组
配置将规则查询结果分组到告警的方式。可选择以下方式:
- 将所有查询结果分组到一个告警中
- 将每条查询结果独立触发告警
调试模式
设置是否生成调试类告警。若告警模型生成的告警仅仅用于模型调试,建议打开此按钮。
- “生成调试类告警”按钮打开:告警模型生成的告警中“simulation”字段值为“true”,表示该条告警是调试类告警。
- “生成调试类告警”按钮关闭:告警模型生成的告警中“simulation”字段值为“false”。
抑制
设置生产告警后是否停止运行查询。
- 如果设置为抑制,即生成告警后停止运行查询。
- 如果设置为不抑制,即生成告警后不停止运行查询。
- 设置完成后,单击页面右下角“下一步”,进入“模型预览详情”页面。
- 预览确认无误后,单击页面右下角“确定”。
- 配置完成后,在左侧导航栏选择,进入智能建模的可用模型页面,查看已创建模型。
父主题: 安全分析
