一，学习模式是asm日常运维的核心，

简单来说就是上ASM策略后，看学习建议（violation），判断是不是误报（false positives），下决定，直到达到我们预期

二，通过demo说明

violation：请求到达F5时，F5根据配置的策略检查该请求，如果该请求不符合F5配置的策略，那么就认为该请求是不合法的，叫violation，在学习页面查看

1，使用前面建立的RDP（关闭DataGuard），

2，使用fiddle访问，F5会block，因为client agent不是浏览器

查看log，这里匹配的是attack signature，属于Negative。

到学习页面（Traffic Learning）

accept suggestion：接受学习建议，接受之前最好看看说明，action：那里会告诉你，如果接受F5会干啥，实验这里，因为fiddle是默认disable的，假如接受学习建议，那么F5会改成allowed

delete suggestion：删除该建议，用户偶尔出现情况。偶尔出现学习建议不确定是不是fals positive，删除历史数据，看看后面还会不会出现类似情况。

ignore suggestion：忽略学习，后面不会出现该violation学习建议了

这里我们选择接受学习建议，（F5每做一个动作都要Apply）

查看log，发现已经不block了，（log注意选择看all）

查看我们已经接受的历史学习记录

上诉是negtive情况，negtive情况是接受建议就相当于该block是误报，然后放白名单

下一节说positive情况

。