Manuel d'administration › Alertes d'action › Personnalisation de requêtes pour les alertes d'action › Personnalisation de requêtes pour récupérer les événements graves uniquement

Personnalisation de requêtes pour récupérer les événements graves uniquement

Les requêtes prédéfinies qui ne sont pas marquées comme alertes d'action sont conçues pour les rapports. Il est normal que les rapports contiennent des données reflétant tous les types de sévérité d'événement. Vous pouvez personnaliser les requêtes sélectionnées afin qu'elles récupèrent uniquement les événements graves. Pour ce faire, vous devez identifier une requête chargée de récupérer des événements de sévérité variable, la copier, entrer des filtres indiquant de récupérer uniquement les événements graves, puis enregistrer la requête pour pouvoir la sélectionner avec une alerte.

Avant de commencer, ouvrez la feuille de calcul répertoriant les définitions des événements graves. Cet exemple est basé sur les informations CEG suivantes.

La requête à personnaliser récupère les événements d'arrêt et de démarrage du système.

Pour personnaliser une requête afin qu'elle récupère uniquement les événements graves

1. Cliquez sur l'onglet Requêtes et rapports.
2. Sélectionnez un filtre de balise de requête correspondant à la catégorie de l'événement de cette sévérité.

   Par exemple, sélectionnez Sécurité opérationnelle.

3. Passez en revue la liste en recherchant les requêtes dont le nom contient les mots clés indiqués dans la classe ou l'action du type d'événement identifié.

   Par exemple, les mots clés Arrêt du système apparaissent dans la requête commençant par Démarrage ou arrêt du système par hôte.

   

4. Copiez la requête Détail du démarrage ou de l'arrêt du système par hôte. Mettez la requête en surbrillance et sélectionnez Copier dans la liste déroulante Options.
5. Cliquez sur Filtres de requête et comparez la valeur par défaut aux entrées du tableau pour le type d'événement de cette sévérité.

   Pour cette requête, seule Sécurité opérationnelle est sélectionnée.

6. Reportez-vous au tableau pour connaître les valeurs à saisir pour Classe et Action.

   Par exemple, sélectionnez la classe Activité du système et l'action Arrêt du système.

   

7. Sélectionnez l'onglet Filtres avancés pour déterminer si une modification est nécessaire.

   Supprimer chaque ligne car le filtre indiquant qu'event_action est égal à Arrêt ou Démarrage du système n'est pas pertinent pour cette requête personnalisée.

8. Remplacez-le par un filtre pour le résultat.

   Par exemple, créez un filtre où event_result est égal à échec ou réussite.

   

9. Cliquez sur Détails et spécifiez un nom pour la requête, indiquant explicitement que vous souhaitez l'utiliser pour une alerte.

   Par exemple, saisissez Alerte : détail de l'arrêt du système par hôte. Modifiez la description en fonction.

10. Cliquez sur Conditions de résultats. Pour les conditions graves, exécutez une requête fréquemment.

    Par exemple, sélectionnez la plage prédéfinie des 5 dernières minutes afin de rechercher toutes les 5 minutes l'occurrence d'un événement de cette sévérité.

    

11. Cliquez sur Enregistrer.

    Vous pouvez créer une alerte avec cette requête, afin d'avertir un utilisateur, un processus ou un produit de la réussite ou de l'échec d'une tentative d'arrêt du système. La notification au produit s'effectue par le biais d'interruptions SNMP ; la notification des processus par une sortie d'événement/d'alerte CA IT PAM.