› › ›

导入例外列表

导入例外列表和关联的项目。

例外列表将例外项分组，并可以与规则关联。当例外项的查询结果为 true 时，即使满足其他条件，关联的规则也不会发出警报。

您可以将多个例外列表分配给一个检测规则。有关更多信息，请参阅创建规则和更新规则。

添加到同一列表的所有例外项都使用 OR 逻辑进行评估。这意味着如果列表中任何项的评估结果为 true，则会阻止规则生成警报。同样，当将多个例外列表分配给规则时，也会使用 OR 逻辑来评估例外。要使用 AND 运算符，您可以在单个例外项中定义多个子句（entries）。

请求 URL

编辑

POST <kibana host>:<port>/api/exception_lists/_import

请求必须包含

包含例外列表的 .ndjson 文件的链接。

例如，使用 cURL

curl -X POST "<KibanaURL>/api/exception_lists/_import"
-u <username>:<password> -H 'kbn-xsrf: true'
--form "file=@<link to file>"

包含例外列表的 .ndjson 文件的相对链接。

URL 查询参数

编辑

名称	类型	描述	必需
`overwrite`	布尔值	确定是否覆盖具有相同 `list_id` 的现有例外列表。如果任何例外项具有相同的 `item_id`，也会被覆盖。	否，默认为 `false`。
`as_new_list`	布尔值	确定导入的列表是否将生成新的 `list_id`。为每个例外项生成额外的 `item_id`。例外列表容器及其项都被覆盖。	否，默认为 `false`。

请求示例

编辑

导入 exception_lists.ndjson 文件中的例外列表，并覆盖具有相同 list_id 值的现有列表。

curl -X POST "<KibanaURL>/api/exception_lists/_import?overwrite=true"
-u <username>:<password> -H 'kbn-xsrf: true'
--form "file=@<link to file>"

包含例外列表的 .ndjson 文件的相对链接。

响应代码

编辑

200: 指示调用成功。

响应负载

编辑

{
  "errors": [],
  "success": true;
  "success_count": 1;
  "success_exception_lists": 1;
  "success_count_exception_lists": 1;
  "success_exception_list_items": true;
  "success_count_exception_list_items": 1;
}

示例 ndjson 文件

编辑

{"_version":"WzEyOTcxLDFd","created_at":"2021-10-19T22:16:22.426Z","created_by":"elastic","description":"Query with a rule_id that acts like an external id","id":"3120bfa0-312a-11ec-9af9-ebd1fe0a2379","immutable":false,"list_id":"7d7cccb8-db72-4667-b1f3-648efad7c1ee","name":"Query with a rule id Number 1","namespace_type":"single","os_types":[],"tags":[],"tie_breaker_id":"e4daafa2-a60b-4e97-8eb4-2ed54356308f","type":"detection","updated_at":"2021-10-19T22:16:22.491Z","updated_by":"elastic","version":1}
{"_version":"WzEyOTc1LDFd","comments":[],"created_at":"2021-10-19T22:16:36.567Z","created_by":"elastic","description":"Query with a rule id Number 1 - exception list item","entries":[{"field":"@timestamp","operator":"included","type":"exists"}],"id":"398ea580-312a-11ec-9af9-ebd1fe0a2379","item_id":"f7fd00bb-dba8-4c93-9d59-6cbd427b6330","list_id":"7d7cccb8-db72-4667-b1f3-648efad7c1ee","name":"Query with a rule id Number 1 - exception list item","namespace_type":"single","os_types":[],"tags":[],"tie_breaker_id":"54fecdba-1b36-467a-867c-a49aaaa84dcc","type":"simple","updated_at":"2021-10-19T22:16:36.634Z","updated_by":"elastic"}

« 获取例外项导出例外列表 »