AdministrationshandbuchUnterdrückung und Zusammenfassung › Erstellen einer Regel zur Unterdrückung des Windows-Ereignisses 560

Vorheriges Thema: Exportieren von Unterdrückungs- oder Zusammenfassungsregeln

Nächstes Thema: Zuordnen und analysieren

Erstellen einer Regel zur Unterdrückung des Windows-Ereignisses 560

Wenn auf einem Windows-Server die Objektzugriffsüberwachung aktiviert wird, entsteht eine erhebliche Menge an Ereignisverkehr, von dem Sie möglicherweise einen Teil eliminieren möchten. Windows erstellt beispielsweise jedes Mal, wenn ein Administrator die Microsoft Management Console (mmc.exe) öffnet, zwei Ereignisse. Diese Ereignisse haben die ID-Werte 560 und 562.

In diesem Fall erstellen Sie eine neue Regel, mit der Windows-Ereignisse mit der Ereignis-ID 560 unterdrückt werden. Wenn Sie die Schritte im folgenden Verfahren durchführen, haben Sie eine Unterdrückungsregel, die Sie sowohl in Ihrer Netzwerkumgebung als auch zum Zeigen der Funktionsweise des Assistenten verwenden können.

Um mit diesem Beispiel zu beginnen, müssen Sie sich bei einem CA Enterprise Log Manager-Server als Benutzer mit der Administratorrolle und den Administratorberechtigungen anmelden. Wenn Sie als EiamAdmin-Benutzer angemeldet sind, können Sie keine Unterdrückungsregeln erstellen oder bearbeiten.

So erstellen Sie eine Unterdrückungsregel für das Windows-Ereignis 560:

  1. Öffnen Sie den Assistenten für Unterdrückungsregeln.
  2. Geben Sie in das Eingabefeld für den Namen "Unterdrückung des Windows-Ereignisses 560" ein, und fügen Sie folgende Beschreibung hinzu: "Diese Regel unterdrückt Windows-Ereignisse mit der ID 560, da das Betriebssystem für dieselbe Art des Ressourcenzugriffs auch Ereignis 562 erstellt. Zum Beleg der Richtlinientreue muss dieses Ereignis nicht aufbewahrt werden."
  3. Fahren Sie mit dem Schritt "Filterung" fort, und wählen Sie die folgenden einfachen Filter aus:
    1. Idealmodellwert, Betriebssystem.
    2. Ereigniskategoriewert, Ressourcenzugriff.
    3. Ereignisklassenwert, Ressource geöffnet.
    4. Ereignisaktionswert, Ressourcenaktivität.
  4. Klicken Sie auf der Registerkarte "Erweiterte Filter" auf die Schaltfläche "Neuer Ereignisfilter".

    In der Tabelle wird eine neue Filterzeile angezeigt. Sie können auf einen Wert oder auf den leeren Bereich in den einzelnen Tabellenzellen klicken, um einen Wert auszuwählen oder einen neuen Wert einzugeben.

    Das Feld für den logischen Operator enthält den Wert AND (UND). Wenn Sie mehrere unterschiedliche Arten von Ereignissen unterdrücken möchten, können Sie die jeweiligen Ereignis-IDs in neue Zeilen eingeben, für die der logische Operator OR (ODER) verwendet wird.

  5. Legen Sie die Werte für den erweiterten Feldfilter fest:
    1. Klicken Sie auf den Wert im Feld "Spalte", und wählen Sie das Feld "event_id" aus.
    2. Klicken Sie auf das Feld "Operator", und wählen Sie "Gleich" aus.
    3. Klicken Sie auf das Feld "Wert", und geben Sie den Wert 560 ein.
  6. Klicken Sie auf "Speichern und schließen".

    Der Assistent erstellt automatisch einen Benutzerordner, in dem Ihre Unterdrückungsregeln gespeichert werden. Sie können diesen Ordner anzeigen, indem Sie den Ordner "Unterdrückungsregeln" erweitern.