<p class="shortdesc">统计数据集是以统计字段为属性，对所有的接收事件进行流出字节数、事件数量、流入字节数信息进行统计。本文介绍如何新增统计数据集。</p> <section class="section prereq" id="statisticalDataSet__prereq_f1w_tjy_qsb"><div class="tasklabel"><h2 class="doc-tairway">前提条件</h2></div> <p class="p">您已创建安全日志审计实例。</p> </section> <section><div class="tasklabel"><h2 class="doc-tairway">操作步骤</h2></div><ol class="ol steps"><li class="li step stepexpand"> <span class="ph cmd">登录<a class="xref" href="https://www.ocftcloud.com/console/log-audit" target="_blank" rel="external noopener">安全日志审计SLA控制台</a>，进入<span class="keyword wintitle">实例列表</span>页面。</span> </li><li class="li step stepexpand"> <span class="ph cmd">单击目标实例<span class="ph uicontrol"> 操作</span>列的<span class="ph uicontrol">管理</span>，进入安全日志审计控制台。</span> <div class="itemgroup info"> <img class="image" id="statisticalDataSet__d80e53" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112057-1ecc508f988a.png" width="830"> </div> </li><li class="li step stepexpand"> <span class="ph cmd">在上边栏选择<span class="ph uicontrol">规则库</span>，在左侧菜单栏选择<span class="ph menucascade"><span class="ph uicontrol">解决方案</span><abbr> > </abbr><span class="ph uicontrol">解决方案包</span></span>，进入<span class="ph uicontrol">解决方案包</span>页面。</span> </li><li class="li step stepexpand"> <span class="ph cmd">单击自定义的解决方案包下<img class="image" id="statisticalDataSet__image_wdw_ccm_4sb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-14fe3d429a1d.png">图标，进入<span class="ph uicontrol">数据集</span>页面。</span> <div class="itemgroup info"> <div class="p"> <img class="image" id="statisticalDataSet__image_k5j_2cm_4sb" width="800" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-17dcd48d9fd3.png"> </div> </div> </li><li class="li step stepexpand"> <span class="ph cmd" id="statisticalDataSet___Ref35592631">在<span class="ph uicontrol">数据集</span>页面，单击<span class="ph uicontrol">新增</span>，选择<span class="ph uicontrol">统计数据集</span>进入<span class="ph uicontrol">新增统计数据集</span>页面，根据以下信息配置<span class="ph uicontrol">基本</span>栏参数。</span> <div class="itemgroup info"> <div class="p"> <img class="image" id="statisticalDataSet__image_rn4_fcm_4sb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-11647bcd9b48.png"> </div> <table class="table"><caption></caption><colgroup><col><col></colgroup><thead class="thead"> <tr class="row"> <th class="entry colsep-1 rowsep-1" id="statisticalDataSet__entry__1"> <p class="p"> 配置项 </p> </th> <th class="entry colsep-1 rowsep-1" id="statisticalDataSet__entry__2"> <p class="p"> 说明 </p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__1 "> <p class="p"> 名称 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__2 "> <p class="p"> 用来标识统计数据集。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__1 "> <p class="p"> 统计周期 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__2 "> <p class="p"> 数据统计周期，默认为30分钟。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__1 "> <p class="p"> 统计过滤条件 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__2 "> <p class="p">满足过滤条件的事件才会进行统计。设置过滤条件时，事件属性必须以${}进行说明，字符串常量用单引号括起来，如：${srcAddress}=='192.168.0.100'。</p> <div class="note note note_note"><span class="note__title">说明：</span> <ul class="ul" id="statisticalDataSet__ul_q5l_b52_4sb"> <li class="li">如果事件属性是整数类型，则需加“.int”，如：${severity.int}>=5；</li> <li class="li">只有整数类形才可以使用操作符>、<、>=、<=，未加“.int”系统默认做字符串类型处理；</li> <li class="li">支持函数inIpRange(ip,startIp,endIp)：判断ip是不是startIp和endIp区间之内；</li> <li class="li">支持函数startWith(str1,str2)：判断str1是不是以str2开头；</li> <li class="li">支持多条件组合，可以使用逻辑与&&、逻辑或||进行条件组合，使用括号()标识优先级。</li> </ul> </div> </td> </tr> </tbody></table> </div> </li><li class="li step stepexpand"> <span class="ph cmd">根据以下信息设置<span class="ph uicontrol">配置</span>栏参数。</span> <div class="itemgroup info"> <div class="p"> <img class="image" id="statisticalDataSet__image_jwg_3cm_4sb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-1168d08e92e1.png" width="400"> </div> <table class="table"><caption></caption><colgroup><col><col></colgroup><thead class="thead"> <tr class="row"> <th class="entry colsep-1 rowsep-1" id="statisticalDataSet__entry__9"> <p class="p"> 配置项 </p> </th> <th class="entry colsep-1 rowsep-1" id="statisticalDataSet__entry__10"> <p class="p"> 说明 </p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__9 "> <p class="p"> 统计结果淘汰 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__10 "> <p class="p">根据设置的清理周期进行周期性检查，当满足条件的统计数据量超过设置的最大值，就进行根据剩余百分比进行清理，防止内存数据太多影响性能。默认开启统计结果淘汰功能。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__9 "> <p class="p"> 最小值 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__10 "> <p class="p"> （必填项）统计结果范围的最小值，取值范围为1~128，默认为128。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__9 "> <p class="p"> 最大值 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__10 "> <p class="p"> （必填项）统计结果范围的最新大值，取值范围为128~1024，默认为1024。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__9 "> <p class="p"> 剩余百分比 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__10 "> <p class="p"> （必填项）统计数据量较大时只保存剩余百分比的数据，例如0.9，则只保存90%的统计数据。取值范围为0~1，默认为0.9。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__9 "> <p class="p"> 清理周期 </p> </td> <td class="entry colsep-1 rowsep-1" headers="statisticalDataSet__entry__10 "> <p class="p"> （必填项）默认为1分钟。 </p> </td> </tr> </tbody></table> </div> </li><li class="li step stepexpand"> <span class="ph cmd">勾选统计目标项。</span> <div class="itemgroup info"> <div class="p"> <img class="image" id="statisticalDataSet__image_pnh_kcm_4sb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-1a7458ca9d07.png" width="550"> </div> </div> </li><li class="li step stepexpand"> <span class="ph cmd">配置<span class="ph uicontrol">统计属性</span>：在右边的列表框中单击字段，将其添加至左边的<span class="ph uicontrol">已选择字段</span>列表框中。建议统计属性不要超过3项，否则影响统计性能。</span> <div class="itemgroup info"> <div class="p"> <img class="image" id="statisticalDataSet__image_crc_lcm_4sb" width="650" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-1b7434939add.png"> </div> </div> </li><li class="li step stepexpand"> <span class="ph cmd">单击<span class="ph uicontrol">保存</span>。</span> </li></ol></section>