关联规则是指可根据不同时间节点、不同设备的多条日志进行相互关联，触发关联规 则条件后会产生对应的关联事件。

在【关联规则】页面下，管理员可对关联规则进行新增、编辑、启用与禁用的管理操 作，同时支持通过右上角搜索栏进行规则检索。

管理员可点击<新增>进行关联规则创建，创建流程主要包括基础信息、规则内容、告 警设定等。

新增关联规则：定义多个事件并顺序发生，场景如：Linux系统发现1分钟内多次ssh 登录失败则产生中危告警，具体配置步骤如下：

（1）填写规则基础信息

（2）制定规则内容

条件设定为数据来源设备即日志源设备为用户网络中的Linux（apache）设备， 目的 端口设定为实际的22端口，动作状态为失败，对ABC三个条件做与运算，保证三者必 须都满足，此规则才生效。

定义1分钟内发生次数大于等于3次，则命中此关联策略。

（3）保存配置