「規則」介面可讓您定義規則,以評估所有內送事件,並將選取的事件傳送到指定的輸出通道。例如,您可以將每個嚴重性層級為 5 的事件以電子郵件寄給安全分析人員配送清單或管理員。
附註:所有事件也都會傳送到資料庫。
系統會根據每個過濾規則依序評估內送事件,直到發現符合的事件,然後執行與該規則相關的傳送動作:
傳送給電子郵件: 使用組態的 SMTP 傳送將事件傳送給一或多個使用者
寫入檔案: 將事件寫入 Identity Audit 伺服器上指定的檔案中
傳送給 Syslog: 將事件轉送給設定的 syslog 伺服器
提示:相關的動作會一次處理多個事件。因此,選取將用來傳送事件的輸出通道時請考慮可能會對效能造成的負面影響。例如,「寫入檔案」動作使用最少系統資源,因此傳送大量事件到電子郵件或 syslog 之前,可以先使用此動作來測試規則準則以判斷資料量。
此外,當您設定「傳送給電子郵件」動作時,應該考慮收件人可有效處理的事件數量,然後據以調整過濾規則。
事件輸出是 JavaScript Object Notation (JSON) 格式,這是一種輕量型資料交換格式。事件是由欄位名稱 (例如 "evt" 代表「事件名稱」) 加上半形冒號和值 (例如 "Start") 組成,事件之間則以半形逗號分隔。
{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Processing started for Collector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}