ライブデータに対するルールの実行

ルールを作成しても、まず、Chronicle アカウントで受け取ったイベントに基づく検出は検索されません。ただし、[ライブルール] を [有効] に設定して、検出をリアルタイムで検索するルールを設定します。

ルールをライブにするには、次の手順を行います。

1. ルール ダッシュボードに移動します。

2. ルールの [Rules] オプション アイコンをクリックし、[Live Rule] を有効にします。

   

   ライブルール

3. ライブルールによって生成された検出結果を表示するには、[View Rule Detections] を選択します。

ルールの割り当て

容量ボタンをクリックすると、ライブにできるルール数の上限が表示されます。ルール ダッシュボードの右上にあります。

現在のルール数と上限を示すルール容量

Chronicle では、次のルールの上限が適用されます。

• マルチイベントルールの割り当て - ライブとして有効な複数のイベントルールの現在の数と、ライブとして有効にできるルールの最大数が表示されます。単一イベントルールとマルチイベントルールの違いについて詳しくは、こちらをご覧ください。
• ルールの合計割り当て - すべてのルールの種類でライブとして有効なルールの現在の合計数と、ライブとして有効にできるルールの最大数が表示されます。

さまざまな種類のルールの詳細については、こちらをご覧ください。