Criar filtros avançados de alerta de log

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Adicione filtros avançados de alerta de log para verificar alertas em busca de condições especificadas. Os filtros reduzem o ruído descartando alertas que não indicam um problema significativo. Ao desenvolver um filtro, você pode testar, atualizar, publicar ou ativar o filtro a qualquer momento.

    Antes de Iniciar

    Função necessária: admin

    O recurso Desabilitar Mecanismo de Regra de Alerta e o recurso Desabilitar Mecanismo de Regra de Detecção devem estar no estado DESLIGADO. Você define os valores navegando até Análise de logs de integridade > Administração de operações de IA preditiva de integridade > Recursos.

    Função necessária: evt_mgmt_operator ou evt_mgmt_admin

    Procedimento

    1. Navegar até Análise de logs de integridade > Detecção de anomalia do log > Filtro de alerta de log avançada.
    2. Selecione Novo.
    3. Insira um nome exclusivo e descritivo para o filtro.
    4. Opcional: Insira uma descrição da operação do filtro.
    5. No campo Modelo de script, selecione o script que mais se aproxima da lógica pretendida.
      O modelo pode atuar como ponto de partida para o código de script personalizado.
      Depois de selecionar um modelo, a caixa de texto Função JS personalizada é preenchida com a função JavaScript apropriada. A função JavaScript aplica o filtro aos dados de carga do alerta e permite ou descarta o alerta. A carga do alerta é o texto e os metadados do tipo de alerta que o filtro analisará.
    6. Salve o registro selecionando Enviar.
      Para continuar modificando o filtro, você deve reabrir o registro da lista de filtros. Você pode editar, testar, publicar e ativar o filtro.
    7. Edite o texto de carga de alerta padrão como preparação para testar a lógica pretendida.

      Para remover suas mudanças e reverter para o texto padrão da caixa de texto Carga do alerta, clique em Redefinir.

      Para sua conveniência, Análise de logs de integridade fornece exemplos de alertas com cargas pré-configuradas. Selecione um alerta de exemplo no campo Alerta de exemplo para exibir sua carga útil na caixa de texto Carga de alerta.

    8. Opcional: Salve os valores atuais do filtro sem testar selecionando Atualizar.
    9. Quando o conteúdo da carga do alerta e a função JavaScript estiverem concluídos, selecione Testar.
      Para simular a operação de alerta, o sistema salva os valores de filtro, aplica o filtro ao texto de carga do Alerta e exibe um dos seguintes resultados:
      • O alerta será descartado.
      • Alerta será permitido.
      Figura 1. Testando o JavaScript para determinar se o alerta deve ser permitido ou descartado
      Testando o JavaScript para determinar se o alerta deve ser permitido ou descartado.
      Nota:
      Se sua nova função JavaScript não estiver se comportando conforme o esperado, você poderá reverter para a última publicada selecionando o link relacionado Reverter função JS.
    10. Repita o processo de atualização da carga do alerta e teste da função JavaScript sempre que necessário.
    11. Quando estiver satisfeito com o filtro, salve seus valores e determine se deve aplicá-lo ao fluxo de logs.
      • Para salvar os valores e aplicar o filtro ao fluxo de logs, certifique-se de que a caixa de seleção Ativo esteja marcada e selecione Publicar.
      • Para salvar o filtro sem aplicá-lo ao fluxo de logs, desmarque a caixa de seleção Ativo e selecione Publicar.
      Nota:
      Se você modificar um filtro publicado, deverá publicar o filtro modificado para aplicá-lo ao fluxo de logs.

    Resultado

    Os valores do filtro ativo são salvos. Se você selecionou a opção Ativo, o filtro será aplicado ao fluxo de logs.