Administrationshandbuch › Aktionsalarme › Anpassen von Abfragen für Aktionsalarme › Erstellen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen

Erstellen von Abfragen zum ausschließlichen Erfassen von schwerwiegenden Ereignissen

Sie können eine neue Abfrage erstellen, wenn Sie keine vordefinierte Abfrage für die Ereignistypen finden können, über die sie informiert werden möchten. Betrachten Sie die folgenden schwerwiegenden Ereignistypen:

Beispiel: Erstellen von Abfragen zum ausschließlichen Erfassen einer fehlgeschlagenen Virusquarantäne

Sie möchten beispielsweise über fehlgeschlagene Virusquarantäneaktionen informiert werden. Möglicherweise erscheint das Schlüsselwort "Quarantäne" nicht in der Abfrageliste. Ist dies der Fall, können Sie die erforderliche Abfrage erstellen und anschließend einen Alarm planen, der die Abfrage ausführt.

So erstellen Sie eine Abfrage zum Erfassen von fehlgeschlagenen Virusquarantäneaktionen:

1. Klicken Sie auf "Abfragen und Berichte".
2. Wählen Sie unter "Abfragelistenoptionen" die Option "Neu".

   Der Assistent für das Erstellen von Abfragen wird angezeigt, auf dem der Schritt "Details" angezeigt wird.

3. Geben Sie einen Namen ein.

   Beispiel: Geben Sie "Alarm: Fehlgeschlagene Virusquarantäne" ein.

4. Geben Sie eine benutzerdefinierte Kennung ein.

   Beispiel: Geben Sie "Virusquarantäne" ein.

5. Klicken Sie auf den Schritt "Abfragespalten", und fügen Sie die gewünschten Spalten hinzu.
6. Klicken Sie auf den Schritt "Abfragefilter".
7. Geben Sie einen einfachen Filter basierend auf dem CEG-Eintrag für das Ereignis ein.

   Beispiel: Wählen Sie als Kategorie "Hostsicherheit", als Klasse "Antivirusaktivität", als Aktion "Virusquarantäne" und als Ergebnis "F" (fehlgeschlagen).

   

8. Wählen Sie den Schritt "Ergebnisbedingungen", und wählen Sie im Dropdown-Feld "Vordefinierte Bereiche" die Option "Letzte 5 Minuten", um eine zeitnahe Benachrichtigung zu gewährleisten.
9. Klicken Sie auf "Speichern und schließen".