Přeskočit obsah

Triggery

Trigger, v alertu nebo detekci, provádí akci. Například v detekci může sekce trigger odeslat e-mail, když je detekována specifikovaná aktivita.

Trigger může:

  • Spustit událost: Odešle událost do Elasticsearch, kde je uložena jako dokument. Poté můžete vidět událost jako log v aplikaci TeskaLabs LogMan.io. Můžete vytvořit vlastní dashboard pro zobrazení detekcí korelčních pravidel nebo najít logy v Průzkumník.
  • Spustit oznámení: Odešle zprávu přes e-mail

Spuštění události

Můžete spustit událost. Konečným výsledkem je, že trigger vytvoří log události, kterou můžete vidět v TeskaLabs LogMan.io.

Položka v trigger Jak zahrnout 
trigger:
  - event:
V triggeru, event znamená, že pravidlo vytvoří událost na základě této pozitivní detekce a odešle ji do datové pipeline přes Elasticsearch, kde je uložena jako dokument. Poté událost projde do TeskaLabs LogMan.io, kde můžete tuto událost vidět v Průzkumník a Dashboards. 
      !DICT
      type: "{str:any}"
      with:
!DICT vytvoří slovník klíčů (polí) a hodnot.

type"st:any" (znamená string), takže jakýkoli typ hodnoty (čísla, slova atd.) může být hodnota v páru klíč-hodnota.

with začíná seznam páru klíč-hodnota, které definujete. Toto jsou pole a hodnoty, ze kterých bude událost složena.

Následující with vytvořte seznam páru klíč-hodnota, nebo pole a hodnoty, které chcete v události mít.

      !DICT
      type: "{str:any}"
      with:
        key.1: "value"
        key.2: "value"
        key.3: "value"
        key.4: "value"

Pokud používáte Elasticsearch a tedy Elastic Common Schema (ECS), můžete si přečíst o standardních polích v ECS reference guide.

Spuštění oznámení

Oznámení odesílají zprávy. V současné době můžete použít oznámení k odesílání e-mailů.

Více informací o psaní oznámení a vytváření e-mailových šablon.