没有内置规则的粗粒度接入
在针对第三方安全设备或网络设备做日志接入时, SAS-L 平台可以针对客户需求进行粗粒度的日志接入存储——不做范式化配置,直接存储原始日志。有些客户只是需要安全合规,满足原始日志的存储即可,并不需要对日志进行具体字段的解析或者分析。这种情况下,不需要进行复杂的范式化配置操作,只需要按照下面的步骤针对原始日志建立一个新的数据库表,直接存储即可。
步骤1 在数据源中可以看到已经建立好的第三方设备数据源,没有做范式化配置,会有一个红色三角提示。
步骤2 点击进入数据源,针对设备进行字段提取的操作。
步骤3 下一步跳过前两步骤,直接进入范式化最后一步,创建日志类型和数据库表名。
步骤4 新建一个数据库表,用于存储没有做范式化规则的第三方日志,另外还需要建立一个日志检索分类,用于查询此类日志。
步骤5 完成上述配置后,就完成了粗粒度的第三方日志接入配置,不范式化,仅针对第三方日志进行原始日志的存储。
效果如下:
638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
