查看规则错误
支持的平台:
Google SecOps
SIEM
您可以从规则中获得两种主要类型的错误:
编译错误:通过执行静态分析来识别规则语法或逻辑中的问题。
运行时错误:仅在测试规则、运行实时规则或运行回溯时发生。
编译错误
Google Security Operations 会在您保存或测试规则时识别编译错误。
规则编辑器左上角的图标表示 存在错误。
点击 即可在运行时错误对话框中查看错误详情。
如果您的规则没有错误,则该图标将显示为绿色 。如果错误消息包含列或行位置, 该部分在规则编辑器中会以红色下划线显示。 更复杂的错误不包含位置,因为它们是由多个位置的问题组合导致的。
如果您尝试保存规则或测试存在编译错误的规则,系统会显示运行时错误。 无法保存规则或运行测试 直到编译错误得到解决。
运行时错误
编译期间不会显示运行时错误。某些运行时错误会导致规则无法
完成,如 query took too long to execute,后者是偶尔发生的。
如需检查规则是否存在运行时错误,请在规则编辑器中点击运行测试。
如果发生运行时错误,测试规则结果栏中会显示一个链接 详细说明所发生的错误。
有时可能会出现未知的运行时错误 说明。这表示系统是首次遇到此特定错误,并且没有与该错误关联的用户消息。如果出现这种情况,请与您的 Google Security Operations 代表联系以获取帮助。
如果在实时规则或回溯执行期间发生运行时错误,则链接 显示在检测页面上,其中会详细说明所发生的错误。
与测试规则类似,实时规则或回溯期间发生的运行时错误 有一个指示器,里面有带下划线的可点击文本, 详细了解所发生的错误。