警告のルーティング

特定の種類のメッセージのみが書き込まれるように警告の出力を設定できます。これによって、警告メッセージや Smart Policy メッセージなどの重要なデータを、SIEM などの中枢システムにルーティングしてトリアージし、監査などの重要度の低いメッセージをアーカイブに保管することができます。デフォルトで、警告の出力は alert および smart_policy メッセージを送信するように設定されていますが、 警告の出力定義に message_types キーを追加することでカスタマイズできます。

次に例を示します。

alert_output:
  outputs:
    # write all message types to standard out
    -   type: stdout
      enabled: true
      template: 'Alert triggered: {{ .StrategyName}}'
      message_types:
      -   alert
      -   smart_policy
      -   audit