檢視次數:
配置日誌檢查模組以定義其在政策中的行為。設計模組行為並使用 API 實施時,請使用 關於日誌檢查 中提供的相同背景資訊和指導。
策略物件包含兩個物件,您可以用來配置日誌檢查模組:
  • LogInspectionPolicyExtension:控制模組狀態(開啟或關閉),並識別應用的日誌檢查規則。
  • PolicySettings:策略設定包括與日誌檢查相關的設定,這些設定控制模組的運行行為,例如自動應用推薦掃描,以及事件轉發和存儲。(請參閱 配置策略和預設策略設定。)
在您創建這些對象並將它們添加到Policy對象後,您可以使用PoliciesApi類來根據Policy對象修改現有的策略。
以下 JSON 代表 LogInspectionPolicyExtension 物件的資料結構:
{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}
moduleStatus 屬性是唯讀的。它提供日誌檢查模組的運行狀態。(請參閱 電腦防護狀態報告。)

一般步驟 上層主題

使用以下步驟來配置日誌檢查模組:
  • 建立一個 LogInspectionPolicyExtension 物件並設定屬性。
  • 建立一個 PolicySettings 物件來配置模組的運行時設置。(請參閱 配置策略和預設策略設置。)
  • 建立一個 Policy 物件並新增 LogInspectionPolicyExtensionPolicySettings 物件。
  • 使用 PoliciesApi 物件在 Server & Workload Security保護 上新增或更新政策。
建立一個 LogInspectionPolicyExtension 物件 來設定模組狀態並指派規則:
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"
policy_config_log_inspection.rule_ids = li_rules
將日誌檢查策略擴展新增到策略物件,然後使用PoliciesApi物件來修改Server & Workload Security保護上的策略。
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
modifyPolicypolicy_id(或 policyID)參數用於識別要在 Server & Workload Security保護 上修改的實際政策。此政策根據用作 policy 參數的政策對象進行修改。任何未設置的 policy 參數屬性將在實際政策中保持不變。

範例 上層主題

以下範例會開啟日誌檢查並為策略新增日誌檢查規則。
檢視來源
# Set the state
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"

# Add the rules
policy_config_log_inspection.rule_ids = li_rules

# Add to a policy
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

# Modify the policy on Server & Workload Security保護
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
return modified_policy.id
秘訣
秘訣
另請參閱 API 參考中的 修改政策 操作。
秘訣
秘訣
如果您只需要為政策新增、移除或列出日誌檢查規則,請使用 PolicyLogInspectionRuleAssignmentsApi 類別。前面的範例使用 LogInspectionPolicyExtensionPolicyPoliciesApi 類別來新增日誌檢查規則,但這也可以僅使用 PolicyLogInspectionRuleAssignmentsApi 類別來完成。詳細資訊,請參閱 API 參考的政策部分中的 政策日誌檢查規則分配和建議
如需有關驗證 API 呼叫的資訊,請參閱 使用 Server & Workload Security保護 驗證

建立日誌檢查規則 上層主題

通常,若要建立日誌檢查規則,您需要執行以下步驟:

步驟

  1. 建立一個 IntegrityMonitoringRule 物件。
  2. 配置規則屬性以設定名稱、描述和要檢查的日誌檔案。屬性在子規則中描述。
  3. 使用 IntegrityMonitoringRulesApi 物件將規則新增至 Server & Workload Security保護

接下來需執行的動作

將規則物件的Template屬性設置為指示您如何定義規則:
  • Basic:單個規則組中的單個日誌檢查規則。您需要為規則的每個屬性提供值。
  • Custom:單個或多個群組下的單個或多個規則。您提供定義規則的 XML(base64 編碼)。將 CustomXML 屬性的值設置為自定義 XML。
注意
注意
無法使用 API 存取入侵防護、完整性監控和日誌檢查規則的配置選項。要更改這些選項,請在 Server & Workload Security保護 控制台中開啟規則屬性並點選配置標籤。
要使用 API 建立日誌檢查規則,請向 the loginspectionrules 端點發送 POST 請求。(請參閱 建立日誌檢查規則 操作在 API 參考 中。)

建立基本的日誌檢查規則 上層主題

以下範例配置了一個基本的日誌檢查規則並在Server & Workload Security保護上創建它。
檢視來源
# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="basic-rule"
li_rule.pattern = pattern
li_rule.pattern_type = "string"
li_rule.rule_description = "Rule for " + path + " and pattern " + pattern
li_rule.groups = [group]

# Add the rule to Server & Workload Security保護
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
如需有關驗證 API 呼叫的資訊,請參閱 使用 Server & Workload Security保護 驗證

使用 XML 創建日誌檢查規則 上層主題

以下範例從 XML 建立日誌檢查規則,並將規則新增到 Server & Workload Security保護
檢視來源
# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="custom"
li_rule.XML = xml

# Add the rule to Server & Workload Security保護
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
如需有關驗證 API 呼叫的資訊,請參閱 使用 Server & Workload Security保護 驗證