Guida all'amministrazioneAvvisiPersonalizzare le query per gli avvisi › Personalizzare le query in modo da recuperare solo gli eventi gravi

Argomento precedente: Creare una query per recuperare solo gli eventi gravi

Argomento successivo: Possibili query da modificare

Personalizzare le query in modo da recuperare solo gli eventi gravi

Le query predefinite non dotate di tag di avviso sono progettate per l'utilizzo con i rapporti. È normale che i rapporti contengano dati che rispecchiano eventi di tutti i livelli di gravità. È possibile personalizzare le query selezionate in modo da recuperare solo gli eventi gravi. Per fare ciò, identificare una query che recupera eventi gravi e meno gravi, copiarla, inserire filtri in grado di recuperare i soli eventi gravi e salvare la query per consentirne la selezione in un avviso.

Prima di iniziare, tenere a portata di mano il foglio di calcolo con l'elenco delle definizioni degli eventi gravi. L'esempio è basato sulle seguenti informazioni CEG:

Categoria

Classe

Azione

Risultato

Livello di protezione

Protezione operativa

Attività di sistema

Chiusura del sistema

Operazione riuscita

7

Protezione operativa

Attività di sistema

Chiusura del sistema

Operazione non riuscita

7

La query da personalizzare recupera gli eventi relativi all'arresto e all'avvio del sistema.

Per personalizzare una query in modo da recuperare solo gli eventi gravi

  1. Fare clic sulla scheda Query e rapporti.
  2. Selezionare un filtro di tag di query corrispondente alla categoria di un evento grave.

    Ad esempio, scegliere Sicurezza operativa.

  3. Individuare nell'elenco le query con nomi contenenti parole chiave presenti nella classe o nell'azione del tipo di evento identificato.

    Ad esempio, le parole chiave Arresto del sistema compaiono nelle query che iniziano con la frase Avvio o arresto del sistema per host.

    Selezionare Gestione configurazione e visualizzare nell'elenco le query che contengono le parole "avvio o arresto del sistema".

  4. Copiare la query Dettagli di avvio o arresto del sistema per Host. Evidenziare la query e selezionare Copia dall'elenco a discesa Opzioni.
  5. Fare clic su Filtri di query e confrontare le impostazioni predefinite con le voci di tabella per il tipo di evento grave.

    Per questa query, è selezionato solo Sicurezza operativa.

  6. Fare riferimento alla tabella per i valori da inserire per classe ed azione.

    Ad esempio, selezionare Attività di sistema come classe e Arresto del sistema come azione.

    Aggiungere Classe evento Attività di sistema e Azione evento Arresto del sistema.

  7. Selezionare la scheda Filtri avanzati per stabilire se occorrono modifiche.

    Fare clic su Elimina per ogni riga, poiché il filtro event_action uguale ad avvio o arresto del sistema non è pertinente a questa query personalizzata.

  8. Sostituire con un filtro per il risultato.

    Ad esempio, creare un filtro in cui event_result sia uguale a conferma o errore.

    Fare clic su Aggiungi, selezionare event_result come colonna, Uguale a come operatore ed S come valore. Inserire O per logica e ripetere il procedimento aggiungendo però F come Valore.

  9. Fare clic su Dettagli e denominare la query in modo da indicare l'intenzione di utilizzarla per un avviso.

    Ad esempio, inserire come nome Avviso: informazioni di arresto del sistema da parte dell'host. Modificare la descrizione di conseguenza.

  10. Fare clic su Condizioni risultato. Per i casi più gravi, eseguire le query di frequente.

    Ad esempio, selezionare l'intervallo predefinito per gli ultimi 5 minuti, in modo da eseguire la query ogni 5 minuti nel caso si verifichi questo evento grave.

    Dall'elenco a discesa Intervalli predefiniti, selezionare Ultimi 5 minuti.

  11. Fare clic su Salva.

    Con questa query è possibile creare un avviso per notificare una persona, un prodotto o un processo di conferma o mancato arresto del sistema. La notifica del prodotto viene eseguita attraverso trap SNMP, mentre quella del processo attraverso un output di evento/avviso di IT PAM.