Manuel d'administrationAlertes d'actionPersonnalisation de requêtes pour les alertes d'actionPersonnalisation de requêtes pour récupérer les événements graves uniquement › Modification des requêtes candidates

Rubrique précédente: Personnalisation de requêtes pour récupérer les événements graves uniquement

Rubrique suivante: Remarques sur les alertes d'action
Modification des requêtes candidates

Vous pouvez modifier les requêtes prédéfinies sélectionnées afin de les utiliser avec des alertes. Pour personnaliser la requête, ajoutez un filtre simple basé sur l'analyse CEG. Dans la boîte de dialogue Sélection d'une plage de dates, dans la liste déroulante Plages prédéfinies, sélectionnez 5 dernières minutes afin d'être notifié immédiatement. Voici quelques exemples.

Requête d'erreur de configuration réussie

  1. Copiez Détail de l'activité d'erreur de configuration.

    Cette requête renvoie aussi bien les réussites que les échecs. Toutefois, seules les réussites vous intéressent.

  2. Définissez le filtre simple comme décrit ci-dessous.

Catégorie

Classe

Action

Résultat

Niveau de sécurité

Gestion de la configuration

Gestion de la configuration

Erreur de configuration

Terminé

6
  1. Enregistrez sous Alerte : erreur de configuration réussie.

Requête de création réussie d'un fichier de contrôle

  1. Copiez Détail de l'activité de manipulation des données.

    Cette requête récupère toutes les actions d'accès aux données.

  2. Définissez le filtre simple comme décrit ci-dessous.

Catégorie

Classe

Action

Résultat

Niveau de sécurité

Accès aux données

Gestion des objets

Création d'un fichier de contrôle

Terminé

6
  1. Enregistrez sous Alerte : création réussie d'un fichier de contrôle.

Requête d'échec de l'analyse antivirus

  1. Copiez Activité virale par action

    Cette requête filtre toutes les actions antivirales pour la sécurité de l'hôte.

  2. Aidez-vous de la définition suivante.

Catégorie

Classe

Action

Résultat

Niveau de sécurité

Sécurité de l'hôte

Activité antivirus

Erreur d'analyse

Terminé

6
  1. Définissez le filtre simple comme suit.

    La réussite de l'erreur d'analyse est semblable à l'échec de l'analyse antivirus.

  2. Enregistrez sous Alerte : échec de l'analyse antivirus.

Requête d'échec du nettoyage des virus

Vous pouvez utiliser la requête prédéfinie Détail de l'activité de nettoyage ou de détection des virus pour récupérer les actions ayant réussi ou échoué. Cela peut vous suffire. Vous avez toutefois la possibilité de créer deux requêtes séparées basées sur cette requête où vous spécifiez le résultat conformément aux indications de la table CEG pour les événements graves.

  1. Copiez Détail de l'activité de nettoyage ou de détection de virus.
  2. Créez un filtre simple dans lequel vous spécifiez Echec comme résultat.

Catégorie

Classe

Action

Résultat

Niveau de sécurité

Sécurité de l'hôte

Activité antivirus

Nettoyage de virus

Echec

6
  1. Supprimez le filtre avancé.
  2. Enregistrez sous Alerte : échec du nettoyage des virus

Requête de détection d'un virus

Vous pouvez utiliser la requête prédéfinie Détail de l'activité de nettoyage ou de détection des virus pour récupérer les actions ayant réussi ou échoué. Cela peut vous suffire. Vous avez toutefois la possibilité de créer deux requêtes séparées basées sur cette requête où vous spécifiez le résultat conformément aux indications de la table CEG pour les événements graves.

  1. Copiez Détail de l'activité de nettoyage ou de détection de virus.
  2. Créez un filtre simple dans lequel vous spécifiez Opération réussie comme résultat, mais uniquement pour l'activité de détection.

Catégorie

Classe

Action

Résultat

Niveau de sécurité

Sécurité de l'hôte

Activité antivirus

Virus détecté

Terminé

6
  1. Supprimez le filtre avancé.
  2. Enregistrez sous Alerte : virus détecté.