告警日志概述
当系统根据安全规则捕捉到异常访问时,会根据匹配的安全规则的级别产生相应级别的告警信息。系统支持在告警日志页面查看的所有产生告警的SQL语句的信息和告警等级等相关内容,并可以根据时间、字段和告警等级、规则名称等条件进行筛选。
查询告警日志
1.在菜单栏选择“查询分析 > 告警日志”进入“告警日志”页面,选择“告警日志”页签,设置查询条件(如时间范围、报文、资产等),单击“搜索”即可查询相关告警日志。
2.在告警日志列表中,单击右侧“操作”列中的“详情”可以查看该告警记录的详细信息,包括告警记录基本信息、客户端信息、服务端信息、请求详情、响应详情。
3.在告警日志详细页面,单击“统计数据”,可查看客户端、数据库账号等信息。
告警分析
1.在左侧菜单栏选择“查询分析 > 告警日志”进入“告警日志”页面,选择“告警分析”页签,可设置过滤条件(时间范围、规则名称、资产、数据库账号、客户端IP),查询符合过滤条件的告警信息。
2.单击“操作”列下的“详情”,可查看告警统计详情,包含规则详情、告警资产、各资产下的告警趋势、告警来源(维度包含客户端IP和数据库账号)和触发告警的SQL模板。
3.在“规则详情”区域单击资产数量链接可编辑已启用该规则的资产,单击白名单数量链接可以编辑该规则上启用的白名单。
4.在“告警资产”区域单击“规则启用状态”开关可以变更规则在某资产上的启用状态。
5.在“告警来源”区域,单击“操作”列下的“不再告警”。
6.在弹出的不再告警对话框中编辑相关信息,单击“确定”。将满足条件的客户端IP添加到信任规则和添加到规则白名单。对于普通规则产生的告警:
- 选择“添加到白名单”,再单击“确定”。添加为白名单后,系统对于此规则符合选中项的条件的相关操作不再产生告警。
- 选择“添加到信任规则”,再单击“确定”。添加为信任规则后,对于资产符合信任规则可选属性的将不再发生告警。
7.在触发告警的“SQL模板”区域,单击“操作”列下的“不再告警”。
8.在弹出的不再告警对话框中编辑相关信息,单击“确定”。将满足条件的SQL模板添加到信任规则和添加到规则白名单。对于普通规则产生的告警:
- 选择“添加到白名单”,再单击“确定”。添加为白名单后,系统对于此规则符合选中项的条件的相关操作不再产生告警。
- 选择“添加到信任规则”,再单击“确定”。添加为信任规则后,对于资产符合信任规则可选属性的将不再发生告警。