詳細アラートフィルターを追加して、指定された条件のアラートをスキャンします。フィルターを使用して、重要な問題を示さないアラートを削除することで、ノイズが低減されます。フィルターの開発中に、いつでもフィルターのテスト、更新、公開、または有効化を行うことができます。
始める前に
[アラートルールエンジンの無効化 (Disable Alert Rule Engine)] 機能と [検出ルールエンジンの無効化 (Disable Detection Rule Engine)] 機能を [オフ] ステータスにする必要があります。値を設定するには、次の場所に移動します。 .
必要なロール:evt_mgmt_operator、evt_mgmt_admin
手順
-
移動先 .
-
[New (新規)] を選択します。
-
フィルターのわかりやすい一意の名前を入力します。
- オプション:
フィルターの操作の説明を入力します。
-
[スクリプトテンプレート] フィールドで、目的のロジックに最も近いスクリプトを選択します。
このテンプレートは、カスタムスクリプトコードの開始点として機能します。
テンプレートを選択すると、[カスタム JS 関数] テキストボックスに、適切な JavaScript 関数が入力されます。JavaScript 関数はアラートペイロードデータにフィルターを適用し、アラートを許可またはドロップします。アラートペイロードは、フィルターで分析する種類のアラートのテキストとメタデータです。
-
[送信] を選択してレコードを保存します。
フィルターの変更を続行するには、
フィルターリストからレコードを再度開く必要があります。その後、フィルターの編集、テスト、公開、および有効化を行うことができます。
-
目的のロジックをテストする準備として、デフォルトの [アラートペイロード] テキストを編集します。
変更を破棄して [アラートペイロード] のテキストをデフォルトに戻すには、[リセット] をクリックします。
便宜上、ヘルスログアナリティクス は事前設定されたペイロードを含むサンプルアラートを提供しています。[アラートの例 (Example alert)] フィールドでサンプルアラートを選択して、[アラートペイロード] テキストボックスにペイロードを表示します。
- オプション:
[更新] を選択して、テストせずにフィルターの現在の値を保存します。
-
アラートペイロードのコンテンツと JavaScript 関数が完了したら、[テスト] を選択します。
アラート操作をシミュレートするために、システムはフィルター値を保存し、
[アラートペイロード] のテキストにフィルターを適用してから、次のいずれかの結果を表示します。
- アラートが削除されます。(Alert will be dropped.)
- アラートが許可されます。(Alert will be allowed.)
図 : 1. JavaScript をテストしてアラートを許可またはドロップするかを決定する
注: 新しい JavaScript 関数が思うように動作しない場合は、[JS 関数を元に戻す (Revert JS Function)] 関連リンクを選択することで、公開されている最新の関数に戻すことができます。
-
アラートペイロードの更新と JavaScript 関数のテストのプロセスを必要に応じて繰り返します。
-
フィルターに問題がなければ、その値を保存し、ログストリームに適用するかどうかを決定します。
- 値を保存してログストリームにフィルターを適用するには、[アクティブ] チェックボックスがオンになっていることを確認し、[公開] を選択します。
- ログストリームにフィルターを適用せずに保存するには、[アクティブ] チェックボックスをオフにして、[公開] を選択します。
注: 公開されたフィルターを変更した場合は、変更したフィルターを公開してログストリームに適用する必要があります。
タスクの結果
アクティブなフィルターの値が保存されます。[アクティブ] オプションを選択すると、そのフィルターがログストリームに適用されます。