如何创建告警配置文件和管理事件

• 创建告警配置文件
• 默认告警配置文件
• 告警通知
• 安全事件工作流

创建告警配置文件

如需创建告警配置文件，请点击右上方导航栏的+添加。您也可以在管理配置文件页面，点击“添加配置文件”。

下面开始创建告警配置文件：

1. 请告警配置文件输入一个唯一名称。
2. 选择告警的重要度，包括严重，重要和关注。
3. 点击+图标，选择需要生成告警的设备或设备组。
4. 点击+ 图标添加告警类型。
5. 包括：

• 预定义告警 - 从大量预定义的告警条件集合中进行选择。这节省了时间，您可以用最少的工作量设置告警配置文件。
• 合规性告警 - 预定义的合规性告警的集合。
• 自定义告警 - 定制基于日志消息，类型等条件的告警。此功能用于导入的日志。

预定义告警

• 选择告警配置类型，并选择告警类别。

点击"保存"按钮，完成操作。

合规性告警

• 从合规性类型字段，选择所需的合规性类型，例如：CCPA, FISMA, PCI, HIPAA, SOX, GLBA, ISO 27001:2013, COCO, NERC。
• 如果您想要排除某些事件ID，则可以在排除事件ID字段进行设置。

自定义告警

• 从下拉列表中选择所需字段。
• 在文本框中为左侧选择的内容设置匹配值。

为导入的日志生成告警

对于通过导入日志添加的应用，如Oracle, Microsoft SQL, print Servers, IIS等，您也可以为它的日志附加字段配置告警。

要为导入日志的特定自定义提取字段生成告警，请选择日志类型并选择需要触发告警的导入日志。指定必须触发告警的自定义字段和值。EventLog Analyzer将自动填充所选日志类型的所有自定义提取字段，您可以从列表中选择所选字段，然后指定所选自定义字段的值。

注意：: 您可以使用+图标添加多个自定义附加字段。

输入告警配置文件的通知类型。

默认告警配置文件

EventLog Analyzer拥有预制的告警配置文件，新添加的设备将自动添加到相应的告警配置文件，例如，防火墙设备将自动添加到基于网络设备的告警配置文件中。

您可以编辑，启用，禁用或删除默认的告警配置文件。

提示：如果修改默认的告警配置文件，将会对新添加的设备失效。对于手动添加的告警配置文件，只对所选的设备产生告警。



告警通知和措施

EventLog Analyzer为您提供了2种告警通知机制

邮件通知

短信通知

您还可以执行脚本动作。

邮件告警设置

请输入邮件告警通知明细。

1. 勾选邮件通知复选框。
2. 输入收件人地址，对于多个邮件地址请使用逗号(,)隔开。
3. 为邮件通知添加主题。也可以在主题直接添加参数。点击“宏”查看参数列表并选择所需参数。
4. 这里显示了默认的邮件内容。您也可以修改或添加参数。点击保存配置文件。

提示：邮件内容相关性告警的邮件内容可以被定制，包括规则名称，相关性时间，动作。此外，您还可以添加指定字段，如下所示：



5. 如果您没有配置邮件服务器，那么在您配置邮件通知时将会弹出提示，要求您配置邮件服务器。

短信通知告警设置

请输入短信告警通知明细。

1. 请勾选短信通知复选框。
2. 输入收件人电话号码。
3. 如需自定义短信内容，请点击添加更多字段，然后点击短消息字段。

如果您未进行短信配置，那么当您勾选短信通知时，将会弹出对话框，要求您进行相应配置。

提示：使用运行程序的通知现在可以和事件管理工作流进行配置了。

向安全事件指派工作流

您可以将事件工作流与安全告警配置进行关联。这样，当触发告警时，相应工作流将会自动执行，您可以在关联工作流页面查看状态。

指派工作流到新的安全告警：

• 点击告警 → +添加告警配置文件，或者
• 点击+添加告警

按照上面的步骤配置告警。

指派工作流到现存告警：

点击告警→ 告警配置 → 管理告警配置文件 →选择更新