Manuel d'administrationSuppression et récapitulationTâches liées aux règles de suppression et de récapitulationCréation d'une règle de récapitulation › Configuration d'un affichage de récapitulation

Rubrique précédente: Sélection d'un événement de récapitulation

Rubrique suivante: Application d'une règle de suppression ou de récapitulation
Configuration d'un affichage de récapitulation

Les règles de récapitulation contrôlent la manière dont les événements natifs s'affichent dans l'événement ajusté. Un affichage de récapitulation peut être configuré à l'aide des champs Récapitulés selon et Cumulés.

Pour configurer un affichage de règle de récapitulation

  1. Ouvrez l'assistant de récapitulation et avancez jusqu'à l'étape Récapitulation.
  2. A l'aide du contrôle de déplacement, sélectionnez le ou les champs qui doivent récapituler l'événement ajusté.
    Récapitulés selon

    Contrôle le ou les champs selon lesquels les informations récapitulées sont regroupées. Par exemple, dans le cas d'une règle récapitulant les échecs de connexion, sélectionnez source_username pour afficher le nombre d'événements d'échec de connexion pour chaque utilisateur unique. Pour que la règle soit complète, vous devez sélectionner au moins un champ Récapitulés selon.

  3. Sélectionnez le ou les champs selon lesquels cumuler l'événement ajusté (facultatif).
    Cumulés

    Contrôle le ou les champs selon lesquels les informations récapitulées sont subdivisées, en fonction du champ de récapitulation. Par exemple, dans le cas d'une règle récapitulant les échecs de connexion, sélectionnez source_username en tant que champ Récapitulés selon et dest_hostname en tant que champ Cumulés. Ainsi s'affiche le nombre d'événements d'échec de connexion pour chaque utilisateur unique, subdivisés en fonction de l'hôte auquel l'utilisateur a tenté de se connecter.

    Les informations des champs Cumulés sont conservées dans le champ d'événement brut des événements récapitulés. Dans l'exemple précédent, chaque hôte unique auquel l'utilisateur a tenté de se connecter est stocké avec le nombre d'occurrences au format suivant : nomd'hôte1:2,nomd'hôte2:5. Dans cet exemple, on peut relever 2 tentatives de connexion sur l'hôte 1 et 5 tentatives sur l'hôte 2.

    Les champs Cumulés sont facultatifs ; il n'est pas nécessaire de sélectionner un champ de ce type pour finaliser une règle.

  4. Cliquez sur la flèche appropriée pour accéder à l'étape de l'assistant que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, la nouvelle règle apparaît dans la liste. Sinon, l'étape choisie s'affiche.

Lorsque vous créez une nouvelle règle, elle est enregistrée en version 1.0. Si vous modifiez la règle ultérieurement, une copie distincte de la règle est stockée en tant que nouvelle version. Vous pouvez afficher des versions antérieures et les appliquer ou les copier comme bon vous semble.

Informations complémentaires :

Définition de seuils de récapitulation