设置运行频率

规则运行频率会影响为每个规则发现检测的延迟。较长的运行频率会增加事件发生与该事件的检测处理之间的时间。如需了解详情，请参阅检测延迟时间。

如需指定规则的运行频率，请完成以下步骤：

1. 转到“规则信息中心”。

2. 打开规则选项菜单。

3. 点击运行频率。

4. 选择一个运行频率值。

   • 近乎实时：可以以流式方式对数据执行单事件规则。检测引擎会在数据处理完毕后立即执行规则。
   • 10 分钟：对于多事件规则，如果您希望尽快进行检测，请选择此频率。
   • 1 小时：检测会在 1-2 小时后开始处理，之后会受到正常检测延迟时间的影响。
   • 24 小时：检测会在 24 小时后开始处理，之后会受到正常检测延迟时间的影响。

   时长超过一小时的多事件规则的运行频率仅限 1 小时和 24 小时。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。