云安全中心的规则标签功能,提供白名单及自定义的规则标签,用户可设置需要打标签的日志筛选范围,并赋予其白名单或自定义的标签。
- 白名单标签:当日志解析出的内容匹配到了白名单标签规则,日志则会被标记为白名单,对应日志将不会产生告警。
- 自定义标签:当日志解析出的内容匹配到了自定义标签规则,日志则会被标记为自定义标签,仍然会产生告警。
新增标签规则
-
登录云安全中心控制台。
-
在左侧导航栏选择“设置 > 规则标签配置”,单击“新建”。
-
在弹出的新增窗口中,配置标签、匹配条件、有效期、备注信息。
- 标签:支持选择一个或多个标签。
- 标签设置为白名单时,当日志解析出的内容匹配到了标签规则,日志则会被标记为白名单,对应日志将不会生成告警。
- 标签设置为自定义标签时,当日志解析出的内容匹配到了标签规则,日志则会被标记为自定义标签,不影响告警产生。
- 标签同时设置了白名单标签和自定义标签时,当日志解析出的内容匹配到了标签规则,日志则会被标记为白名单+自定义标签,对应日志将不会生成告警。
- 匹配条件:配置日志内容需要匹配的条件。
- 有效期:标签规则仅在有效期内生效。若不配置,则永久有效。
- 标签:支持选择一个或多个标签。
-
参数配置完成后,单击“保存”,回到规则标签配置页面。
启用/停止标签规则
-
启用标签规则,规则生效,日志匹配标签规则。
-
停用标签规则,规则失效,日志不匹配标签规则。
从日志添加标签规则
-
登录云安全中心控制台。
-
在左侧导航栏选择“设置 > 规则标签配置”。
-
在日志查询列表找到需要添加标签的日志,点击日志。
-
在日志详情页,单击白名单按钮。
-
在弹出的新增窗口中,配置标签、匹配条件、有效期、备注信息。参数配置完成后,单击“保存”。
查看日志的标签
-
登录云安全中心控制台。
-
在左侧导航栏选择“设置 > 规则标签配置”。
-
在日志查询列表的“规则标签”列,可以查看日志的标签。
-
在日志查询列表找目标日志,点击日志。
-
在日志详情页的基本信息中,可以看到“规则标签”。
