|
|
|
アクション アラートとしてタグ付けされない事前定義済みクエリは、レポート用に設計されます。 レポートには、すべての重大度レベルのイベントを反映するデータを含めることをお勧めします。 一部のクエリを選択して、重大なイベントだけを取得するようにカスタマイズできます。 その場合は、それほど重大ではないイベントと重大なイベントの両方を取得するクエリを指定して、コピーし、重大なイベントだけを取得するようにフィルタを入力して、アラートでの選択対象としてそのクエリを保存します。
事前に、重大なイベントの定義がリストされたスプレッドシートを手元に用意しておいてください。 この例は、以下の CEG 情報を基にしています。
|
カテゴリ |
クラス |
アクション |
結果 |
セキュリティ レベル |
|---|---|---|---|---|
|
操作上セキュリティ |
システム アクティビティ |
システム シャットダウン |
Success |
7 |
|
操作上セキュリティ |
システム アクティビティ |
システム シャットダウン |
Failure |
7 |
カスタマイズするクエリは、システム シャットダウンとシステム起動の両方のイベントを取得します。
重大なイベントだけを取得するようにクエリをカスタマイズする方法
たとえば、[操作上のセキュリティ]を選択します。
たとえば、キーワード「システム シャットダウン」は、「ホストごとのシステム起動/シャットダウン」という語句で始まるクエリに含まれています。
![[設定管理]を選択し、リストの「システム起動」または「システム シャットダウン」で始まるクエリを表示します。](o1112790.png)
このクエリについては、[操作上のセキュリティ]だけが選択されています。
たとえば、[クラス]には[システム アクティビティ]を、[アクション]には[システム シャットダウン]を選択します。
![[イベント クラス]に「システム アクティビティ」を、[イベント アクション]に「システム シャットダウン」を追加します。](o1112795.png)
それぞれ、event_action フィルタが「システム起動」と等しい、「シャットダウン」はこのカスタム クエリに関係がないという理由により、各行で[削除]をクリックします。
たとえば、event_result が成功か失敗のいずれかと等しいというフィルタを作成します。
![[追加]をクリックし、[列]に[event_result]、[演算子]に[等しい]、[値]に[S]をそれぞれ選択します。 [ロジック]に「Or」と入力し、[値]に「F」と入力する以外は前の行と同じ値を選択します。](o1112804.png)
たとえば、「アラート: ホストごとのシステム シャットダウン詳細」と入力します。 必要に応じて説明を変更します。
たとえば、[事前定義済み範囲]で[過去 5 分間]を選択すると、この重大なイベントが発生したかどうかのクエリを 5 分ごとに実行します。
![[事前定義済み範囲]ドロップダウン リストから[過去 5 分間]を選択します。](o1112799.png)
このクエリを使用するアラートを作成すると、システム シャットダウンが成功したか、シャットダウンの試行に失敗したかが、担当者、製品、またはプロセスに通知されます (製品への通知は SNMP トラップによって行われ、プロセスへの通知は IT PAM イベント/アラート出力プロセスによって行われます)。
| Copyright © 2010 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |