Guía de administraciónAlertas de acciónPersonalización de consultas para las alertas de acción › Personalización de consultas para recuperar sólo eventos graves

Tema anterior: Creación de una consulta para recuperar sólo eventos graves

Tema siguiente: Consultas idóneas para modificación

Personalización de consultas para recuperar sólo eventos graves

Las consultas predefinidas que no están etiquetadas como alertas de acción están diseñadas para informes. Es adecuado que los informes contengan datos que reflejen todos los niveles de severidad. Puede personalizar las consultas seleccionadas para sólo recuperen eventos graves. Para ello, identifique una consulta que recupere eventos graves junto con eventos menos graves, cópiela, introduzca filtros que le garanticen que sólo se recuperen los eventos graves y guárdela para seleccionarla en una alerta.

Antes de empezar, tenga a mano una hoja de cálculo que muestre las definiciones de los eventos graves. Este ejemplo se basa en la siguiente información de la gramática de eventos comunes:

Categoría

Clase

Acción

Resultado

Nivel de seguridad

Seguridad operacional

Actividad del sistema

Cierre del sistema

Correcto

7

Seguridad operacional

Actividad del sistema

Cierre del sistema

Incorrecto

7

La consulta que se va a personalizar recupera eventos para inicio y cierre del sistema.

Para personalizar una consulta con el fin de recuperar sólo los eventos graves

  1. Haga clic en la ficha Consultas e informes.
  2. Seleccione un filtro de etiqueta de consulta que coincida con la categoría de un evento grave.

    Por ejemplo, seleccione Seguridad operativa.

  3. Revise la lista de consultas con nombres que contengan las palabras clave encontradas en la clase o la acción para el tipo de evento identificado.

    Por ejemplo, las palabras clave Cierre del sistema aparecerán en las consultas que comiencen con la frase Inicio o cierre del sistema por host.

    Seleccione Gestión de la configuración y vea las consultas de la lista que comiencen por Inicio o cierre del sistema.

  4. Copia la consulta Detalles del inicio o cierre del sistema por host. Resalte la consulta y seleccione Copiar en la lista desplegable Opciones.
  5. Haga clic en Filtros de consulta y compare los valores predeterminados con las entradas de la tabla para el tipo de evento grave.

    En esta consulta está seleccionado Seguridad operativa.

  6. Consulte la tabla para conocer los valores que se deben introducir para clase y acción.

    Por ejemplo, seleccione Actividad del sistema para la clase y Cierre del sistema para la acción.

    Agregue Clase de evento es actividad del sistema y Acción de evento es cierre del sistema.

  7. Seleccione la ficha Filtros avanzados para determinar si es necesario realizar una modificación.

    Haga clic en Suprimir en cada línea dado que el filtro event_action es igual a inicio o cierre del sistema no es pertinente para esta consulta personalizada.

  8. Sustitúyalo por un filtro para el resultado.

    Por ejemplo, cree un filtro en el que event_result sea igual para correcto o incorrecto.

    Haga clic en Agregar, seleccione event_result para la columna, Igual a para el operador y seleccione S para el valor. Introduzca Or para la lógica y repítalo, e introduzca F para Value.

  9. Haga clic en Detalles y asigne un nombre de la consulta de manera que indique que desea utilizarla para una alerta.

    Por ejemplo, introduzca Alerta: detalle de cierre del sistema por host como nombre. Cambie la descripción en consecuencia.

  10. Haga clic en Condiciones de resultado. Para las condiciones graves, considere la posibilidad de utilizar consultas con frecuencia.

    Por ejemplo, seleccione el intervalo predefinido para los últimos cinco minutos para ejecutar la consulta cada cinco minutos para la aparición de este evento grave.

    En la lista desplegable Intervalos predefinidos, seleccione Últimos 5 minutos.

  11. Haga clic en Guardar.

    Puede crear una alerta con esta consulta para notificar a una persona, un producto o un proceso si el intento de cierre del sistema ha sido correcto o incorrecto. (La notificación del producto se lleva a cabo a través de traps de SNMP; la notificación del proceso se lleva a cabo a través de salida de alerta/evento de IT PAM.)