AdministrationshandbuchAktionsalarmeAnpassen von Abfragen für Aktionsalarme › Anpassen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen

Vorheriges Thema: Erstellen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen

Nächstes Thema: Auswählen von Abfragen zur Änderung

Anpassen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen

Vordefinierte Abfragen, die nicht als Aktionsalarme gekennzeichnet sind, dienen zum Erstellen von Berichten. Berichte können Daten für Ereignisse aller Schweregrade enthalten. Sie können ausgewählte Abfragen so anpassen, dass ausschließlichschwerwiegende Ereignisse erfasst werden. Wählen Sie hierzu eine Abfrage, die schwerwiegende Ereignisse zusammen mit weniger schwerwiegenden Ereignissen erfasst, kopieren Sie sie, fügen Sie Filter hinzu, so dass nur die schwerwiegenden Ereignisse erfasst werden, und speichern Sie sie, um sie in einem Alarm zu verwenden.

Legen Sie, bevor Sie beginnen, das Tabellenblatt bereit, auf dem die Definitionen für schwerwiegende Ereignisse aufgelistet werden. Dieses Beispiel basiert auf den folgenden CEG-Informationen:

Kategorie

Klasse

Aktion

Ergebnis

Sicherheitsstufe

Betriebssicherheit

Systemaktivität

System herunterfahren

Erfolgreich

7

Betriebssicherheit

Systemaktivität

System herunterfahren

Fehler

7

Die angepasste Abfrage erfasst Ereignisse für "Herunterfahren" und "Systemstart".

So passen Sie Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen an:

  1. Klicken Sie auf die Registerkarte "Abfragen und Berichte".
  2. Wählen Sie einen Abfragekennungsfilter, der der Kategorie eines schwerwiegenden Ereignisses entspricht.

    Beispiel: Wählen Sie "Betriebssicherheit".

  3. Suchen Sie auf der Abfrageliste nach Abfragen, deren Namen Schlüsselwörter aus "Klasse" oder "Aktion" für den entsprechenden Ereignistyp enthalten.

    Beispiel: Die Schlüsselwörter "System" und "Herunterfahren" tauchen in Abfragen auf, die mit "Starten oder Herunterfahren des Systems nach Host" beginnen.

    Wählen Sie "Konfigurationsverwaltung", und zeigen Sie die Abfragen auf der Liste an, die mit "Starten oder Herunterfahren" beginnen.

  4. Kopieren Sie die Abfrage "Starten oder Herunterfahren des Systems nach Host - Detail". Markieren Sie die Abfrage, und wählen Sie aus der Dropdown-Liste "Optionen" die Option "Kopieren".
  5. Klicken Sie auf "Abfragefilter", und vergleichen Sie die Standardwerte mit den Tabelleneinträgen für schwerwiegende Ereignistypen.

    Für diese Abfrage ist nur "Betriebssicherheit" markiert.

  6. In der Tabelle finden Sie Werte, die Sie unter "Klasse" oder "Aktion" eingeben können.

    Wählen Sie beispielsweise "Systemaktivität" als Klasse und "System herunterfahren" als Aktion.

    Fügen Sie "Ereignisklasse ist Systemaktivität" und "Ereignisaktion ist Herunterfahren" hinzu.

  7. Legen Sie auf der Registerkarte "Erweiterte Filter" fest, ob eine Modifikation erforderlich ist.

    Klicken Sie auf jeder Zeile auf "Löschen", wenn der Filter "Ereignisaktion" gleich "Systemstart" ist oder "Herunterfahren" für diese angepasste Abfrage nicht zutreffend ist.

  8. Ersetzen Sie ihn durch einen Filter für das Ergebnis.

    Beispiel: Erstellen Sie einen Filter, bei dem "Ereignisergebnis" gleich "Erfolgreich" oder "Fehler" ist.

    Klicken Sie auf "Hinzufügen", wählen Sie als Spalte "Ereignisergebnis", als Operator "Gleich" und als Wert "S". Geben Sie als Logik "Oder" ein, und wiederholen Sie die Schritte. Geben Sie als Wert jedoch "F" ein.

  9. Klicken Sie auf "Details", und geben Sie der Abfrage einen Namen, an dem Sie erkennen können, dass sie für einen Alarm verwendet werden soll.

    Beispiel: Geben Sie als Namen "Alarm: Herunterfahren des Systems nach Host - Detail" ein. Ändern Sie die Beschreibung entsprechend.

  10. Klicken Sie auf "Ergebnisbedingungen". Bei schwerwiegenden Bedingungen sollten Sie die Abfrage häufig durchführen.

    Beispiel: Wählen Sie den vordefinierten Bereich "Letzte 5 Minuten", um die Abfrage nach diesem schwerwiegenden Ereignis alle 5 Minuten durchzuführen.

    Wählen Sie aus der Dropdown-Liste "Vordefinierte Bereiche" die Option "Letzte 5 Minuten".

  11. Klicken Sie auf "Speichern".

    Sie können mit dieser Abfrage einen Alarm erstellen, um Personen, Produkte oder Prozesse über das erfolgreiche oder fehlgeschlagene Herunterfahren des Systems zu informieren. (Die Produktbenachrichtigung erfolgt über SNMP-Traps. Die Prozessbenachrichtigung erfolgt über die IT PAM-Ereignis-/Alarmausgabe.)