Guía de administraciónSupresión y resumen › Creación de la regla de supresión del evento de Windows 560

Tema anterior: Exportación de reglas de resumen o supresión

Tema siguiente: Asignación y análisis

Creación de la regla de supresión del evento de Windows 560

La activación de la auditoría de acceso de objetos en un servidor Windows crea un importante volumen de tráfico de eventos, algunos de los que quizá desee eliminar. Por ejemplo, Windows genera dos eventos cada vez que un administrador abre Microsoft Management Console (mmc.exe). Los ID de estos eventos son 560 y 562.

En este ejemplo, crea una regla nueva que suprime los eventos de Windows mediante un event_id 560. Si sigue los pasos indicados en el procedimiento siguiente, obtendrá una regla de supresión real que podrá emplear en el entorno de red, así como para demostrar cómo emplear el asistente.

Para comenzar con este ejemplo, debe iniciar sesión en un servidor de CA Enterprise Log Manager como un usuario con competencias y privilegios de administrador. No puede crear ni editar reglas de supresión si ha iniciado sesión como usuario EiamAdmin.

Para crear una regla de supresión para eventos de Windows 560

  1. Abra el asistente para reglas de supresión.
  2. Escriba "Supresión del evento de Windows 560" en el campo de introducción del nombre y añada la descripción siguiente: "Esta regla suprime el evento de Windows 560, ya que el SO también crea el evento 562 para el mismo tipo de acceso a los recursos. Esta retención no es necesaria para demostrar la conformidad."
  3. Vaya al paso de filtrado y seleccione los siguientes filtros simples:
    1. Valor de Modelo ideal, sistema operativo.
    2. Valor de Categoría de evento, acceso a los recursos.
    3. Valor de Clase de evento, recurso abierto.
    4. Valor de Acción de evento, actividad de los recursos.
  4. Haga clic en la ficha Filtros avanzados y en el botón Nuevo filtro de evento.

    Aparece una nueva línea de filtro en la tabla. Puede hacer clic en un valor o en el espacio vacío de las celdas de la tabla para seleccionar un valor o introducir uno nuevo.

    El campo del operador lógico tiene el valor predeterminado AND. Si dispone de varios tipos distintos de eventos que deseaba suprimir, puede introducir los ID de dichos eventos con nuevas líneas que empleen el operador lógico OR.

  5. Establezca los valores de filtros de campo avanzados:
    1. Haga clic en el valor del campo Columna y seleccione el campo event_id.
    2. Haga clic en el campo Operador y seleccione Equal to.
    3. Haga clic en el campo Valor e introduzca el valor 560.
  6. Haga clic en Guardar y cerrar.

    El asistente crea de forma automática una carpeta Usuario que contiene las reglas de supresión. Puede ver esta carpeta al expandir la carpeta Reglas de supresión.