Adicione filtros de alerta de log avançados para verificar alertas em busca de condições especificadas. Os filtros reduzem o ruído soltando alertas que não indicam um problema significativo. Ao desenvolver um filtro, você pode testar, atualizar, publicar ou ativar o filtro a qualquer momento.
Antes de Iniciar
O recurso Desabilitar mecanismo de regra de alerta e o recurso Desabilitar mecanismo de regra de detecção devem estar no estado DESLIGADO. Para definir os valores, navegue até Análise de logs de integridade > Administração de operações de IA preditiva de integridade > Recursos.
Função necessária: evt_mgmt_operator ou evt_mgmt_admin
Procedimento
Navegar até Análise de logs de integridade > Detecção de anomalia do log > Filtro de alerta de log avançado.
Selecione Novo.
Insira um nome exclusivo e descritivo para o filtro.
Opcional: Insira uma descrição da operação do filtro.
Em Modelo de script , selecione o script que mais corresponde à lógica pretendida.
O modelo pode atuar como um ponto de partida para seu código de script personalizado.
Depois de selecionar um modelo, a caixa de texto Função JS personalizada é preenchida com a função JavaScript apropriada. A função JavaScript aplica o filtro aos dados de carga de alerta e permite ou descarta o alerta. A carga de alerta é o texto e os metadados do tipo de alerta que o filtro analisará.
Salve o registro selecionando Enviar .
Para continuar modificando o filtro, você deve reabrir o registro do lista de filtros . Em seguida, você pode editar, testar, publicar e ativar o filtro.
Edite o padrão Carga de alerta texto em preparação para testar a lógica pretendida.
Para remover suas mudanças e reverter para o texto padrão da caixa de texto Carga de alerta, clique em Redefinir .
Para sua conveniência, Análise de logs de integridade fornece alertas de amostra com cargas pré-configuradas. Selecione um exemplo de alerta no Alerta de exemplo Campo para exibir sua carga na caixa de texto Carga de alerta.
Opcional: Salve os valores atuais do filtro sem testar selecionando Atualização .
Quando o conteúdo da carga de alerta e a função JavaScript estiverem concluídos, selecione Teste .
Para simular a operação de alerta, o sistema salva os valores do filtro e aplica o filtro ao Carga de alerta e exibe um dos seguintes resultados:
O alerta será descartado.
O alerta será permitido.
Figura 1. Testando o JavaScript para determinar se o alerta deve ser permitido ou descartado
Nota:
Se sua nova função JavaScript não estiver se comportando conforme o esperado, você poderá reverter para a última função publicada selecionando Reverter função JS link relacionado.
Repita o processo de atualizar a carga de alerta e testar a função JavaScript sempre que necessário.
Quando você estiver satisfeito com o filtro, salve seus valores e determine se deve aplicá-lo ao fluxo de log.
Para salvar os valores e aplicar o filtro ao fluxo de log, certifique-se de Ativo se a caixa de seleção estiver marcada e selecione Publicar .
Para salvar o filtro sem aplicá-lo ao fluxo de log, limpe Ativo marque e selecione Publicar.
Nota:
Se você modificar um filtro publicado, deverá publicar o filtro modificado para aplicá-lo ao fluxo de log.
Resultado
Os valores do filtro ativo são salvos. Se você selecionou a opção Ativo, o filtro será aplicado ao fluxo de log.