Manuel d'administration › Alertes d'action › Personnalisation de requêtes pour les alertes d'action › Création d'une requête pour récupérer les événements graves uniquement

Création d'une requête pour récupérer les événements graves uniquement

Vous pouvez créer une requête sans modèle si vous ne trouvez pas de requête prédéfinie capable de récupérer les types d'événement pour lesquels vous souhaitez être averti. Examinez les types d'événements graves suivants.

Exemple : Création d'une requête pour récupérer uniquement les événements d'échec de mise en quarantaine d'un virus

Imaginons, par exemple, que vous souhaitez être averti en cas d'échec de mise en quarantaine d'un virus. Il est possible que le mot quarantaine n'apparaisse pas dans la liste de requêtes. Dans un tel cas, vous pouvez créer la requête souhaitée et planifier une alerte pour l'exécuter.

Pour créer une requête chargée de récupérer les événements d'échec de mise en quarantaine d'un virus

1. Cliquez sur Requêtes et rapports.
2. Sélectionnez Nouveau sous Options de la liste de requêtes.

   L'Assistant de conception de la requête s'ouvre sur l'étape Détails.

3. Saisissez un nom.

   Par exemple, Alerte : échec de mise en quarantaine d'un virus.

4. Entrez une balise personnalisée.

   Par exemple, entrez Mise en quarantaine de virus

5. Cliquez sur Colonnes de requêtes et ajoutez les colonnes de votre choix.
6. Cliquez sur l'étape Filtres de requête.
7. Entrez un filtre simple basé sur l'entrée CEG correspondant à l'événement.

   Par exemple, sélectionnez la catégorie Sécurité de l'hôte, la classe Activité antivirus, l'action Mise en quarantaine de virus et le résultat F (échec).

   

8. Sélectionnez l'étape Conditions de résultat, puis, dans la liste déroulante Plages prédéfinies, sélectionnez 5 dernières minutes afin d'être alerté en temps voulu.
9. Cliquez sur Enregistrer et fermer.