Regelfehler ansehen
Es gibt zwei Haupttypen von Fehlern, die durch Regeln verursacht werden können:
Kompilierungsfehler: Probleme in der Syntax oder Logik von Regeln werden durch eine statische Analyse identifiziert.
Laufzeitfehler: treten nur beim Testen einer Regel, beim Ausführen einer Live-Regel oder beim Ausführen einer Retrohunt auf.
Kompilierungsfehler
Google Security Operations identifiziert Kompilierungsfehler, wenn Sie die Regel speichern oder testen.
Das Symbol oben links im Regeleditor gibt an, ob die Regel einen Fehler enthält.
Klicken Sie auf
, um die Fehlerdetails im Dialogfeld Laufzeitfehler aufzurufen.Wenn die Regel keinen Fehler enthält, ist das Symbol ein grünes
. Enthält die Fehlermeldung eine Spalte oder Zeilenposition, wird dieser Teil der Regel im Regeleditor rot unterstrichen. Bei komplexeren Fehlern ist keine Position enthalten, da sie durch eine Kombination von Problemen an mehreren Stellen verursacht werden.Wenn Sie versuchen, eine Regel zu speichern oder zu testen, die einen Kompilierungsfehler enthält, wird ein Laufzeitfehler angezeigt. Sie können keine Regel speichern oder einen Test ausführen bis der Kompilierungsfehler behoben ist.
Laufzeitfehler
Laufzeitfehler werden während der Kompilierungszeit nicht angezeigt. Einige Laufzeitfehler verhindern, dass eine Regel abgeschlossen wird, z. B. query took too long to execute
, der sporadisch auftritt.
Wenn Sie prüfen möchten, ob Ihre Regel Laufzeitfehler enthält, klicken Sie im Regeleditor auf Test ausführen.
Wenn ein Laufzeitfehler auftritt, wird in der Leiste Testregelergebnisse ein Link angezeigt, über den Sie weitere Informationen zum Fehler erhalten.
Es ist möglich, dass Sie unbekannte Laufzeitfehler erhalten, die keinen nützlichen Beschreibung. Dies bedeutet, dass dieser Fehler im System zum ersten Mal auftritt und ihm keine Nutzermeldung zugeordnet ist. Wenden Sie sich in diesem Fall an Ihren Google Security Operations-Mitarbeiter.
Wenn während einer Live-Regel oder einer RetroHunt-Ausführung ein Laufzeitfehler auftritt, wird ein Link auf der Seite Erkennungen mit weiteren Informationen zum aufgetretenen Fehler angezeigt.
Ähnlich wie beim Testen der Regel sind Laufzeitfehler, die bei der Ausführung einer Live-Regel oder eines Retrohunts auftreten, mit einem Indikator mit anklickbarem, unterstrichenem Text gekennzeichnet, der weitere Informationen zum Fehler enthält.