AdministrationshandbuchAktionsalarmeErstellen von Aktionsalarmen › Auswählen einer Alarmabfrage

Vorheriges Thema: Öffnen des Assistenten zum Planen von Aktionsalarmen

Nächstes Thema: Festlegen von Parametern für die Alarmjobplanung

Auswählen einer Alarmabfrage

Wählen Sie Kennungen oder Abfragen als Grundlage für einen neuen Aktionsalarmjob aus. Die Abfrage sowie hinzugefügte Filter definieren den Umstand, unter dem ein Alarm generiert wird. Wenn Sie beispielsweise einen Alarm erstellen möchten, um den Datenverkehr eines Hosts oder Ports zu überwachen, verwenden Sie die Abfrage "Alle Ereignisse" und fügen Sie Filter zur Angabe des zu überwachenden Quell-Hosts sowie einen Ereignisschwellenwert hinzu.

Hinweis: Die Abfragekategorie "Aktionsalarme" enthält Abfragen für verschiedene gängige Alarmanforderungen.

So wählen Sie eine Alarmabfrage aus:

  1. Öffnen Sie den Assistenten zum Planen von Aktionsalarmen.
  2. Geben Sie einen Jobnamen ein.
  3. Wählen Sie im Drop-down-Menü "Zeitzone" die Zeitzone aus, in der Sie den Bericht planen möchten.
  4. Um Berichte nach Kennung oder einzeln auszuwählen, aktivieren Sie das Optionsfeld "Abfragen" oder "Kennungen".

    Hinweis: Wenn Sie Alarme nach Kennungen planen, können Sie Alarme hinzufügen, ohne den Job selbst zu ändern. Bei Auswahl der Kennung "Identitätsverwaltung" werden sämtliche Alarme mit dieser Kennung dem Job zur geplanten Ausführungszeit hinzugefügt. Auf diese Weise können Sie dem Job einen neuen Alarm hinzufügen, indem Sie einer Abfrage die Kennung "Identitätsverwaltung" zuweisen. Dies gilt auch für benutzerdefinierte Kennungen.

    (Optional) Deaktivieren Sie das Kontrollkästchen "Aktivieren", wenn Sie den Aktionsalarm nicht gleich nach Fertigstellung, sondern erst später aktivieren möchten. Standardmäßig ist das Kontrollkästchen markiert.

    Hinweis: Die Möglichkeit, einen deaktivierten Alarmjob zu erstellen, ist für wiederkehrende Alarme vorgesehen. Wenn Sie das Kontrollkästchen "Aktiviert" für einen Job deaktivieren und diesen Job als einmal auszuführenden Job ("Jetzt" oder "Einmal") erstellen, wird er aus der Liste "Geplante Alarme" entfernt.

  5. (Optional) Die Anzeige von Kennungen und Berichten kann durch Auswahl einer oder mehrerer Kennungen eingegrenzt werden. Mit dieser Funktion wird das Verhalten der Berichtsliste angepasst.
  6. Wählen Sie die gewünschten Kennungen oder einzelnen Abfragen aus, und fügen Sie sie mithilfe der Wechselsteuerung zum Bereich "Ausgewählte Abfragen" hinzu. Sie können sowohl Ereignisabfragen als auch Incident-Abfragen in einem einzigen Alarmjob auswählen.
  7. Fahren Sie mit dem Planungsschritt fort, den Sie als nächstes ausführen möchten, oder klicken Sie auf "Speichern und schließen".

    Wenn Sie auf "Speichern und Schließen" klicken, wird der Alarmjob geplant. Andernfalls wird der ausgewählte Schritt angezeigt.

Weitere Informationen:

Erstellen erweiterter Ereignisfilter

Festlegen von Ergebnisbedingungen