Administrationshandbuch › Aktionsalarme › Arbeiten mit CA IT PAM Ereignis-/Alarmausgabeprozessen › Entwerfen von Ereignisabfragen, die an den Ereignis-/Alarmausgabeprozess zu senden sind

Entwerfen von Ereignisabfragen, die an den Ereignis-/Alarmausgabeprozess zu senden sind

Nachdem Sie die CA IT PAM-Integration eingerichtet haben, können Sie den ersten Schritt zur Planung von Alarmen für die Ereignis-/Alarmausgabe durchführen: Erstellen Sie eine Liste mit Abfragen, auf denen die Alarme basieren sollen. Hierbei handelt es sich üblicherweise um Ereignisabfragen, die auf eine Richtlinienverletzung hinweisen. Sie können auf unterschiedliche Weise vorgehen:

• Analysieren Sie die aktuell geplanten Alarme, um Alarme zu ermitteln, bei denen der Ereignis-/Alarmausgabeprozess ausgeführt werden sollte. Wenn durch den Ereignis-/Alarmausgabeprozess beispielsweise eine Helpdesk-Anwendung benachrichtigt wird, geben Sie Alarme an, die das Öffnen eines Helpdesk-Tickets veranlassen sollten.
• Analysieren Sie Ihre Richtlinien, um diejenigen zu identifizieren, bei denen eine Verletzung auf ein protokolliertes Ereignis zurückgeführt werden konnte, und erstellen Sie dann eine Abfrage für ein solches Ereignis.
• Untersuchen Sie die Ergebnisse anderer vordefinierter Abfragen, um nach Daten zu suchen, die ein Drittanbieterprodukt wie z. B. eine Helpdesk-Anwendung für Hilfsmaßnahmen nutzen könnte.
• Wenn der CA IT PAM-Ereignis-/Alarmausgabeprozess in einem Helpdesk-Produkt eines Drittanbieters Tickets erstellt, überprüfen Sie die üblicherweise erstellten Helpdesk-Tickets auf Ursachen, die in Form von Ereignisprotokollen erfasst werden könnten.

So bestimmen und definieren Sie Abfragen, auf denen Alarme zur Ausführung des CA IT PAM-Ereignis-/Alarmausgabeprozesses beruhen:

1. Identifizieren, ändern oder erstellen Sie für jeden Ereignistyp, der ein Helpdesk-Ticket erfordert, eine oder mehrere Abfragen, die Daten für ein solches Ereignis erfassen.
   • Identifizieren Sie sämtliche vordefinierten Abfragen, die Ereignisse unter solchen Umständen erfassen.
   • Wenn eine vordefinierte Abfrage angepasst werden muss, kopieren Sie sie, und ändern Sie die Kopie entsprechend Ihren Anforderungen.
   • Sofern keine vordefinierten Abfragen zur Erfassung eines bestimmten Ereignistyps, der eine Helpdesk-Benachrichtigung erfordert, vorhanden sind, erstellen Sie die Abfrage oder Abfragen entsprechend Ihrer Anforderungen.
2. Bei jeder Abfrage, die nach einem IT-Ereignis suchen soll, bei dem eines der Felder einen von mehreren bekannten Werten aufweisen kann, verwenden Sie entweder eine vordefinierte Schlüsselliste, passen Sie eine Schlüsselliste an, oder erstellen Sie eine neue Schlüsselliste. Wenn die Werte für eine solche Schlüsselliste in einer CSV-Datei gespeichert sind, importieren Sie sie. Wenn eine Liste von einem IT PAM-Prozess generiert wird, konfigurieren Sie diesen Prozess als Prozess mit dynamischen Werten, erstellen Sie den Schlüssel, und importieren Sie anschließend die Werte aus CA IT PAM.
3. Bestimmen Sie, ob der CA IT PAM-Ereignis-/Alarmausgabeprozess jeweils pro Abfrage, die Ergebnisse liefert, oder pro Ergebniszeile ausgeführt werden soll.
4. Testen Sie die Abfrage.
   1. Sorgen Sie dafür, dass die Bedingung eintritt, die zu dem Ereignis führt, das erfasst werden soll.
   2. Führen Sie die Abfrage oder den Abfragesatz manuell aus.
   3. Prüfen Sie, ob die Abfrageergebnisse für die Helpdesk-Mitarbeiter zur weiteren Bearbeitung ausreichen.
   4. Wenn dies nicht der Fall ist, ändern Sie die Abfrage oder den Abfragesatz so ab, dass die erforderlichen Informationen bereitgestellt werden, und wiederholen Sie den Test.

Mit dieser Vorbereitung stellen Sie sicher, dass bei der Planung eines Alarms, der diese Abfrage bzw. diesen Abfragesatz ausführt, die zurückgelieferte Ereignis-/Alarmausgabe die zur Problemlösung benötigten Daten enthält.

Weitere Informationen

Anpassen von Abfragen für Aktionsalarme