快速添加日志告警模型
操作场景
安全云脑支持将查询分析结果设置告警模型,并在满足条件时触发告警。
本章节将接入如何快速为日志设置告警模型。
前提条件
已完成数据接入,详细操作请参见数据集成。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择
,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。图1 进入目标工作空间管理页面
- 在左侧导航栏选择
,进入安全分析页面。图2 进入安全分析页面
- 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。
图3 管道数据页面
- 输入查询分析语句,设置时间范围,并单击“查询/分析”,显示查询分析结果。
更多查询分析详细操作请参见查询与分析。
- 单击页面右上角“添加告警”,进入新建告警模型页面。
图4 添加告警
- 配置告警基础信息,参数说明如表1所示。
- 设置完成后,单击页面右下角“下一步”,进入设置模型逻辑页面。
- 设置模型逻辑,参数说明如表2所示。
表2 设置模型逻辑 参数名称
参数说明
查询规则
设置告警的查询规则,设置完成后可以单击“运行”,查看当前运行结果。
查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法概述。说明:如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。
查询计划
设置告警查询计划。
告警扩充
触发条件
设置告警触发条件。可设置为:大于/等于/不等于/小于xx时,触发告警。
如有多条触发条件,可以单击“添加”按钮进行添加,最多可添加5个触发条件。
当设置了多个触发条件时,在日志数据扫描检测中,系统将按照从上到下的校验逻辑,如果有满足此处设置的触发条件被检测到时,系统都将展示不同类型的告警。
告警分组
配置将规则查询结果分组到告警的方式。可选择以下方式:
- 将所有查询结果分组到一个告警中
- 将每条查询结果独立触发告警
调试模式
设置是否生成调试类告警。
抑制
设置生产告警后是否停止运行查询。
- 如果设置为抑制,即生成告警后停止运行查询。
- 如果设置为不抑制,即生成告警后不停止运行查询。
- 设置完成后,单击页面右下角“下一步”,进入模型详情预览页面。
- 预览确认无误后,单击页面右下角“确定”。