Данные о последней успешной синхронизации правил корреляции в SIEM и правил фильтрации в системе логирования отображаются на странице Настройки → Компоненты системы → Правила корреляции.
.png)
Выполнение синхронизации правил корреляции происходит автоматически раз в сутки, однако администратор может запустить синхронизацию в ручном режиме.
Для ручного запуска синхронизации необходимо нажать на кнопку Запустить синхронизацию. Поле Последний запуск обновится и будет отображаться таблица результатов процесса синхронизации.
Таблица содержит следующие поля:
- ID брокера — идентификатор брокера, в котором хранится правило;
- ID SIEM — имя события, которому соответствует правило в SIEM;
- Изменено — дата последнего изменения правила;
- Статус — статус правила корреляции. Может принимать следующие значения:
- Успешно — правило корреляции успешно загружено;
- Ошибка — не удалось загрузить правило корреляции.
- Описание — описание ошибки из-за которой не удалось загрузить правило корреляции.
По умолчанию, на странице отображается до 20 записей. Для того, чтобы увеличить число отображаемых записей на странице, нажмите на количество записей в правом нижнем углу страницы и выберите одно из значений:
.png)
Поиск и фильтрация правил
Для того, чтобы найти определенное правило в списке, нажмите на форму поиска в левом верхнем углу таблицы и введите ключевое слово.
.png)
В качестве ключевых слов для поиска могут быть использованы:
- ID брокера;
- ID SIEM;
- Описание ошибки.
Вы также можете отфильтровать список правил по их статусу и дате изменения. Для этого нажмите на иконку фильтра и выберите параметр для фильтрации списка.
.png)