查看规则错误
支持的语言:
Google SecOps
SIEM
规则可能会返回两种主要类型的错误:
编译错误:通过执行静态分析来识别规则语法或逻辑中的问题。
运行时错误:仅在测试规则、运行实时规则或运行回溯搜索时发生。
编译错误
当您保存或测试规则时,Google Security Operations 会识别出编译错误。
规则编辑器左上角的图标用于指示相应规则是否存在错误。
点击 以在运行时错误对话框中查看错误详情。
如果规则没有错误,该图标将显示为绿色 。如果错误消息包含列或行位置,规则编辑器中会以红色下划线显示规则的相应部分。 更复杂的错误不包含位置信息,因为它们是由多个位置的问题组合造成的。
如果您尝试保存或测试存在编译错误的规则,系统会显示运行时错误。 在修复编译错误之前,您无法保存规则或运行测试。
运行时错误
编译时不会显示运行时错误。某些运行时错误会导致规则无法完成,例如偶尔出现的 query took too long to execute。
如需检查规则是否存在运行时错误,请在规则编辑器中点击运行测试。
如果发生运行时错误,测试规则结果栏中会显示一个链接,其中包含有关所发生错误的更多信息。
可能会出现没有实用说明的未知运行时错误。这表示系统首次遇到此特定错误,并且该错误没有关联的用户消息。 如果发生这种情况,请与您的 Google SecOps 代表联系以寻求帮助。
如果在实时规则或回溯性检测执行期间发生运行时错误,检测页面上会显示一个链接,其中包含有关所发生错误的更多信息。
与测试规则类似,在实时规则或回溯性搜寻执行期间发生的运行时错误会显示一个指示器,其中包含可点击的带下划线的文本,可提供有关所发生错误的更多信息。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。