设置运行频率

规则运行频率会影响为每个规则发现检测的延迟。较长的运行频率会增加事件发生与该事件的检测处理之间的时间。 如需了解详情，请参阅检测延迟时间。

如需指定规则的运行频率，请完成以下步骤：

1. 转到“规则信息中心”。

2. 打开规则选项菜单。

3. 点击运行频率。

4. 选择一个运行频率值。

   • 近乎实时：单事件规则可以以流式方式对数据执行。检测引擎会在处理数据后立即执行规则。
   • 10 分钟：对于多事件规则，如果您希望尽快检测到事件，请选择此频次。
   • 1 小时：检测会在 1-2 小时后开始处理，之后会受到正常检测延迟时间的影响。
   • 24 小时：检测会在 24 小时后开始处理，之后会受到正常检测延迟的影响。

   系统会根据多事件规则的匹配时间窗口自动设置运行频率：

   • 如果时长为 1 到 48 小时，运行频率为 1 小时。
   • 如果窗口大小超过 48 小时，运行频率为 24 小时。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。