Guida all'amministrazioneSoppressione e riepilogoAttività relative alle regole per la soppressione e il riepilogoModalità di creazione di una regola per il riepilogo › Configurazione di una visualizzazione di riepilogo

Argomento precedente: Selezione di un evento di riepilogo

Argomento successivo: Applicazione di una regola di soppressione o riepilogo
Configurazione di una visualizzazione di riepilogo

Le regole di riepilogo controllano il modo in cui gli eventi nativi vengono visualizzati nell'evento elaborato. È possibile configurare una visualizzazione di riepilogo selezionando Riepilogo per Campi e Campi aggregati.

Per configurare la visualizzazione di una regola di riepilogo

  1. Aprire la procedura guidata di riepilogo e andare al passaggio Riepilogo.
  2. Selezionare il campo o i campi secondo i quali riepilogare gli eventi tramite il controllo pilota:
    Riepilogo per

    Controlla il campo o i campi in base ai quali viene raggruppata l'informazione riepilogata. Ad esempio, nel caso di una regola di riepilogo degli accessi falliti, selezionare source_username per visualizzare il numero degli eventi di accesso non riusciti qualificati per ogni utente univoco. Per completare la regola, occorre selezionare uno o più campi Riepilogo per.

  3. (Facoltativo) Selezionare il campo o i campi per i quali si vuole sia aggregato l'evento elaborato.
    Aggregato

    Controlla il campo o i campi secondo cui sono suddivise le informazioni riepilogate, secondo il campo Riepilogo per. Ad esempio, nel caso di una regola che riepiloghi gli accessi non riusciti, selezionare source_username come campo Riepilogo per e dest_hostname come campo Aggregato. In questo modo viene visualizzato il numero di eventi di accesso non riusciti qualificati per ogni utente unico, suddivisi per l'host al quale l'utente ha tentato di accedere.

    Le informazioni relative ai campi aggregati vengono mantenute nel campo evento non elaborato degli eventi di riepilogo. Nell'esempio precedente, ogni host unico al quale l'utente ha cercato di effettuare l'accesso verrà archiviato assieme al numero di occorrenze nel formato seguente: nomehost1:2,nomehost2:5. Questo esempio indica due tentativi di accesso dall'host 1 e cinque tentativi dall'host 2.

    I campi aggregati sono facoltativi, quindi non è necessario selezionare un campo aggregato per completare la regola.

  4. Fare clic sulla freccia appropriata per andare al passaggio della procedura guidata che si desidera completare successivamente, oppure fare clic su Salva e chiudi.

    Se si fa clic su Salva e chiudi, la nuova regola viene visualizzata nell'elenco; altrimenti, viene visualizzato il passaggio selezionato.

Quando viene creata una nuova regola, essa viene salvata come versione 1.0. Se in seguito la regola viene modificata, una copia separata di essa viene memorizzata come nuova versione. È possibile visualizzare le versioni precedenti e applicarle o copiarle, secondo necessità.

Ulteriori informazioni

Impostazione delle soglie di riepilogo