日志分析规则构建说明
行为分析模块由运维人员进行安装部署,其核心是规则库的构建。
因此,这里的使用说明主要描述的是分析规则的构建说明。
l 规则信息说明
| 字段名称 | 说明 | 格式 |
|---|---|---|
| 规则名称 | 必填项 | String |
| 规则描述 | 非必填项 | String |
| 行为类型 | 违规、异常(可字典配置新增) | Int |
| 规则类型 | (见表规则类型定义,可字典配置新增) | Int |
| 风险级别 | 很低、低、中等、高、很高风险 | Enum |
| 数据类型 | 取自数据源数据格式 | String |
| 日志类型 | 取自数据源日志类别 | String |
| 添加条件 | 过滤条件 | - |
| 匹配类型 | 包含、排除、或者 | Enum |
| 比较条件 | 等于、模糊匹配、前缀匹配、范围匹配 | Enum |
l 规则类型定义
| 规则类型 | 释义 |
|---|---|
| 基数 | 当时间范围内某个字段的唯一值总数高于或低于阈值时,此规则匹配 |
| 频率 | 当给定时间范围内至少有一定数量的事件时,此规则匹配 |
| 黑名单 | 将某个字段与黑名单进行核对,如果该字段在黑名单中,则进行匹配 |
| 白名单 | 将某个字段与白名单进行核对,如果该字段在白名单中,则进行匹配 |
| 任何 | 匹配所有 |
| 时钟 | 匹配设定时间范围之外的行为 |
| 计算 | 指当给定时间段内的事件量大于或小于前一时间段内的事件量时,此规则匹配 |
| 新值 | 当新值出现在以前从未见过的字段中时,此规则匹配 |
*根据实际业务场景定义行为分析规则