在新增资产设备后,您需要对事件规则进行配置才可以通过日志审计(原生版)服务获取业务所需的日志信息。
配置解析接入规则
解析接入规则是对采集日志的分析,符合解析接入规则的日志才能被采集到日志审计平台。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 事件策略 > 解析接入规则”,配置需要采集的日志规则。
3.单击“新增”,进入“新增解析接入规则”页面。
4.填写“解析规则名称”和“设备类型”,填写后单击“下一步”。
说明此处选择的设备类型应与资产的设备类型保持一致。
5.在“原始样本”对话框中输入日志的原始样本信息,填写完成后单击“下一步”。
6.选择日志的提取方法,可选:正则表达式解析、分隔符解析、Key-Value解析、Json格式解析。
7.根据您选择的提取方法,配置提取字段,配置完成后验证是否可以获取内容信息,若可以正常提取则单击“保存”,完成解析接入规则的配置。
配置事件分类规则
事件分类规则是对采集到的日志进行一个分组分类。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”,单击“新增”。
3.在弹出的对话框中填写事件分类规则的参数。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 分类名称 | 填写事件分类规则的名称。 | Test |
| 日志分组 | 选择该事件分类中,日志划分的类型,在下拉框中选择。 | 分组根节点 / 策略违规 / 策略违规/应用策略违规 / 策略违规/应用策略违规/密码策略 |
| 日志等级 | 选择该日志的影响等级。 | 轻微 |
| 判断类别 | 选择日志的判断类型,可选“关键字”或“正则表达式”。 | 关键字 |
| 关键字/正则表达式 | 根据上一项的选择填写: - 若选择“关键字”,请填写关键字,多个关键字用英文字符的逗号隔开。 - 若选择“正则表达式”,则填写正则表达式。 |
- |
| 规则所属设备 | 选择此事件分类规则所属的设备,在下拉框中选择。 | 根结点 / 主机 / 服务器/Windows系列 / 服务器/Windows系列/Windows 8 |
| 规则描述 | 填写此事件分类规则的描述。 | - |
| 建议措施 | 填写此事件分类规则的建议处理措施。 | - |
注意其中关键字和正则表达式任意填写一个,采集到的日志将符合填写的关键字内容或者正则表达式,归纳到该分类分组中。
4.填写完成后,单击“提交”,完成事件分类配置。
配置事件过滤规则
事件过滤规则是对采集到日志过滤,将不需要审计的日志条件填入规则,不再审计过滤的日志。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 事件策略 > 事件过滤规则”,单击“新增规则”。
3.在弹出的对话框中填写过滤规则,填写完成后单击“提交”。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 规则名称 | 自定义过滤规则名称。 | Test |
| 相关采集器 | 选择日志采集器,目前仅可选择“log_p” | log_p |
| 过滤规则 | 根据业务实际情况填写过滤规则。 | 目标端口等于8080 |
配置事件归并规则
事件归并规则是对过滤后的事件,基于归并条件进行归并。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 事件策略 > 事件归并规则”,单击“新增规则”。
3.在“新增事件归并规则”页面填写归并事件规则。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 归并规则名称 | 自定义归并规则名称。 | Test |
| 相关采集器 | 选择日志采集器,目前仅可选择“log_p” | log_p |
| 过滤规则 | 根据业务实际情况填写过滤规则。 | 目标端口等于8080 |
| 归并字段选择 | 根据业务实际情况选择归并字段。 | EVENTNAME |
| 归并时间 | 选择日志每次归并的时间,时间越长归并的日志越多。 | 30 |
| 归并后事件名 | 自定义归并后的事件名称。 | Event1 |
| 归并后事件等级 | 选择归并后日志事件的等级。 | 轻微 |
| 归并后设置 | 选择归并后日志数据是选择第一条数据还是最后一条数据。 | 第一条 |
4.填写完成后,单击“确认”,完成归并规则配置。
配置字段映射规则
字段映射规则是对采集到的日志字段内容映射,如等级字段,接收到的可能是数值1、2、3,可以通过字段映射成:低、中、高。
1.登录日志审计(原生版)控制台。
2.在左侧导航栏选择“风险分析 > 事件策略 >字段映射规则”,单击“新增”。
3.在弹出的对话框中选择字段映射规则的相关参数。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 设备类型 | 选择需要配置字段映射的设备类型。 | 主机 / 服务器/其他 |
| 字段名 | 在下拉框中选择配置字段映射规则的字段名。 | 业务系统 |
| 字段原始值 | 填写配置规则设备类型下字段的原始值。 | 1 |
| 字段映射值 | 填写配置规则设备类型下字段的映射值。 | 低 |
