Warnmeldungen: Hinzufügen einer erweiterten EPL-Regel

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie durch Schreiben einer EPL-Abfrage Regelkriterien definieren. EPL ist eine deklarative Sprache zur Bearbeitung von häufig auftretenden, zeitbasierten Ereignisdaten. Sie dient zum Ausdrücken von Filterungen, Aggregationen und Verknüpfungen über mehrere verteilte Ereignisstreams. EPL umfasst außerdem Mustersemantik zum Ausdruck komplexer zeitlicher Zusammenhänge zwischen Ereignissen.

Schreiben Sie eine erweiterte EPL-Regel, wenn die Regelkriterien komplexer sind als die Angaben in der Regelerstellung ermöglichen.

Die EPL-Syntax kann im Rahmen dieses Handbuchs nicht erläutert werden. 

Voraussetzungen

Im Folgenden finden Sie die Voraussetzungen für das Hinzufügen einer erweiterten Regel:

  • Sie müssen die EPL (Event Processing Language) kennen.
  • Sie müssen ESA-Anmerkungen kennen, um markieren zu können, welche EPL-Anweisungen mit erzeugten Warnmeldungen verknüpft sind.

Verfahren

So fügen Sie eine erweiterte EPL-Regel hinzu:

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
  2. Wählen Sie in der Regelbibliothek die Optionen„Liste hinzufügen“-Symbol > Erweiterte EPL aus.

    Registerkarte „Neue erweiterte EPL-Regel“

  3. Geben Sie im Feld Name der Regel einen eindeutigen, deskriptiven Namen ein.

    Dieser Name wird in der Regelbibliothek angezeigt. Wählen Sie ihn spezifisch genug, um die Regel von anderen abzugrenzen.

  4. Erläutern Sie im Feld Beschreibung, welche Ereignisse von der Regel erkannt werden..

    Der Anfang der Beschreibung wird in der Regelbibliothek angezeigt.

  5. Wählen Sie Testregel aus, um die Regel automatisch zu deaktivieren, wenn die Summe aller Testregeln den Speicherschwellenwert überschreitet.

    Verwenden Sie den Testregelmodus als Sicherheitsvorkehrung, um zu erkennen, ob eine Regel effizient ausgeführt wird, und um Ausfallzeiten aufgrund von mangelndem Speicherplatz zu vermeiden. Weitere Informationen erhalten Sie unter Verwenden von Testregeln.

  6. Klassifizieren Sie den Schweregrad für die Regel als Niedrig, Mittel, Hoch oder Kritisch.
  7. Schreiben Sie zur Definition der Regelkriterien eine Abfrage in EPL.

    Hinweis: Für alle Metaschlüsselnamen müssen Sie einen Unterstrich anstelle eines Punkts verwenden. Zum Beispiel ist ec_outcome korrekt, aber ec.outcome nicht.

  8. Für die Erstellung dynamischer Anweisungsnamen in ESA müssen Sie die Metaschlüssel in geschweifte Klammern setzen und diese Anmerkung in die Syntax einfügen:

    @Name("RIG {ip_src} {alias_host} {ec_activity}")

    Hierbei gilt:

    • RIG ist der statische Teil des Anweisungsnamen
    • {ip_src}, {alias_host}, {ec_activity} ist der dynamische Teil des Anweisungsnamen

    Hinweis: Wenn Metadaten im dynamischen Teil des Anweisungsnamens einen Null-Wert aufweisen, wird dieser als statischer Text angezeigt.

    Wenn eine Regel eine Warnmeldung erzeugen soll, fügen Sie diese ESA-Anmerkung in der Syntax ein:

    @RSAAlert

    Weitere Informationen zu ESA-Anmerkungen finden Sie unter ESA-Anmerkungen.

You are here
Table of Contents > Hinzufügen von Regeln zur Regelbibliothek > Hinzufügen einer erweiterten EPL-Regel

Attachments

    Outcomes