Manuel d'administrationAlertes d'actionCréation d'une alerte d'action › Sélection d'une requête d'alerte

Rubrique précédente: Ouverture de l'assistant de planification d'alerte d'action

Rubrique suivante: Définition des paramètres de planification de jobs d'alerte

Sélection d'une requête d'alerte

Sélectionnez les balises ou requêtes sur lesquelles baser un nouveau job d'alerte d'action. La requête, ainsi que tout filtre que vous ajoutez, définit les circonstances dans lesquelles une alerte est générée. Par exemple, pour créer une alerte afin de surveiller le trafic depuis un hôte ou un port, utilisez la requête Tous les événements, ajoutez des filtres pour définir les hôtes source à surveiller, ainsi qu'un seuil d'événements.

Remarque : La catégorie de requêtes Alertes d'action contient des requêtes conçues pour les différentes alertes courantes requises.

Pour sélectionner une requête d'alerte

  1. Ouvrez l'assistant de planification d'alerte d'action.
  2. Saisissez un nom de job.
  3. Dans le menu déroulant de fuseau horaire, sélectionnez le fuseau horaire dans lequel vous souhaitez planifier le rapport.
  4. Sélectionnez le bouton d'option Requêtes ou Balises pour sélectionner les rapports par balise ou de manière séparée.

    Remarque : La planification des alertes par balise vous permet d'ajouter des alertes sans modifier le job lui-même. Si vous sélectionnez la balise "Gestion des identités", toute alerte associée à cette balise est ajoutée au job à l'heure d'exécution planifiée. Vous pouvez ajouter une nouvelle alerte au job en attribuant la balise Gestion des identités à une requête. Cette fonction s'applique également aux balises personnalisées.

    (Facultatif) Désactivez la case Activer pour activer l'alerte d'action ultérieurement et non pas dès que vous l'avez terminée. Cette case à cocher est activée par défaut.

    Remarque : La possibilité de créer un job d'alerte désactivé a été conçue pour une utilisation avec des alertes récurrentes. Si vous désactivez la case à cocher Activé d'un job, puis que vous créez ce job avec une occurrence unique ("Maintenant" ou "Une fois"), il est supprimé de la liste Alerte planifiée.

  5. Sélectionnez une ou plusieurs balises pour limiter le nombre de balises et de rapports affichés (facultatif). Cette fonction se comporte de la même manière que la Liste de rapports.
  6. Sélectionnez les balises ou les requêtes que vous souhaitez utiliser en tant que modèles et utilisez le contrôle de déplacement pour les ajouter à la zone Requêtes sélectionnées. Vous pouvez sélectionner aussi bien des requêtes d'événements que d'incidents dans un job d'alerte unique.
  7. Accédez à la prochaine étape de planification que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, le job d'alerte est planifié. Sinon, l'étape sélectionnée apparaît.

Informations complémentaires :

Création d'un filtre d'événement avancé

Définition des conditions de résultats