管理关联规则
管理规则 页面提供修改、删除、启用、禁用、设置警报配置文件、隐藏和显示规则的选项。通过点击 管理规则 页面左下角的 关联 选项卡进入此页面。
创建关联规则
Log360 Cloud 配备自定义关联规则生成器,允许您使用拖放界面创建自定义规则。创建规则时,可以指定阈值限制、筛选条件等。
- 点击 创建关联规则 按钮,位于管理规则页面右上角。
- 从左侧窗格预定义列表中按所需顺序选择单个动作。您也可以使用顶部的搜索栏搜索动作。
- 勾选 阈值限制 复选框,输入出现次数和时间间隔。
- 选择下一个动作,并在 跟随于 标签下指定两个动作之间的时间间隔(秒或分钟)。
- 点击 创建.
注意:规则设置后,Log360 Cloud 需要最多十五分钟开始关联日志。新设置的关联规则不包含历史日志。
高级选项
关联规则中的每个动作对应于日志或日志中的字段,如消息、端口、用户名等。通过动作右侧的筛选器可访问高级选项,设置每个日志字段的筛选条件。此外,您可以为动作设置最小次数阈值,并对筛选条件进行分组,以制定复杂场景的规则。
链接到
- 比较类型允许您比较同一规则中一个动作中选定字段的值与另一动作中字段的值。例如,当动作 1 中设备名称字段链接到动作 2 和 3 中远程设备值时,仅当动作 1 中设备名称字段的值与动作 2 和 3 的远程设备字段值完全相同时,动作 1 才会触发。 链接到 当您选择
- 时,图标会出现在筛选器末尾。点击图标将显示一个新标签页。 链接到勾选第二个动作中要与前一个动作的值进行比较的字段,然后点击
- 确定 完成两个动作的链接。 是常量
“是常量”条件将字段值视为不变。带此条件的动作仅在字段值所有迭代中保持相同时触发。例如,如果动作中的“目标用户”字段设为“是常量”,则仅当每次迭代字段值相同才触发动作,值变化时不会触发。
自定义动作
Log360 Cloud 允许用户创建可用于关联规则中的自定义动作。通过自定义动作,用户可定义特定条件,并利用这些自定义动作建立关联规则,提高安全配置的灵活性与精确性。
创建自定义动作
要创建自定义动作,点击
- 管理自定义动作 将打开“管理自定义动作”弹窗。点击右上角的新建动作按钮。.
- 将打开“创建自定义动作”弹窗,输入动作名称。
- 输入动作描述(如需要)。从下拉菜单中选择设置动作条件。
- 点击
- 启用和禁用规则: 创建.
在
- 页面选择要启用的规则。 管理规则 管理
- 点击 下拉列表中选择 启用 若要禁用规则,点击列表中的 (
).
- 禁用 。 (
编辑规则
选择要编辑的规则。
- 点击“更新规则”
- 点击 图标打开关联规则构建器,在此页面修改规则。 (
删除规则
选择要删除的规则,点击删除规则
图标。 
关联警报配置文件
您可以启用关联警报配置文件,配置邮件通知以接收触发的关联报告。
在产品的警报选项卡中查看和管理关联警报:
启用关联警报配置文件会自动激活相应的关联规则,即使该规则被禁用。
- 在关联警报配置文件下查看关联警报,分配负责人并跟踪状态。
- 在管理警报配置文件页面更新每个关联警报配置文件的通知设置。
- 此外,您可以将触发的关联警报作为事件添加/映射,分配安全技术员响应事件,并通过与添加普通警报为事件相同的步骤跟踪状态。
© 2025 Zoho Corporation Pvt. Ltd. 保留所有权利。
