管理ガイド › アクション アラート › CA IT PAM イベント/アラート出力プロセスの使用 › イベント/アラート出力プロセスに送信するイベントのクエリの設計

イベント/アラート出力プロセスに送信するイベントのクエリの設計

CA IT PAM 統合を設定したら、イベント/アラート出力を生成するアラートをスケジュールする最初の手順に進みます。その手順とは、そのアラートに基づくクエリのリストをコンパイルすることです。 通常、これらはポリシー違反を示唆するイベントのクエリです。 次のいくつかのアプローチを組み合わせて実行できます。

• 現在スケジュールされているアラートを分析し、イベント/アラート出力プロセスを実行する必要があるものを識別します。 たとえば、イベント/アラート出力プロセスがヘルプ デスク アプリケーションに通知する場合、ヘルプデスク チケットを開く必要があるアラートを識別します。
• ポリシーを分析し、ログに記録されたイベントまで違反をさかのぼることができるポリシーを特定し、そのようなイベントのためのクエリを作成します。
• ほかの事前定義済みクエリの結果を確認し、改善策を実施する際にヘルプ デスク製品などのサードパーティ製品が使用できるデータを識別します。
• CA IT PAM イベント/アラート出力プロセスがサードパーティのヘルプ デスク製品でチケットを作成する場合は、イベント ログとしてキャプチャされるヘルプ デスク チケットの典型的なタイプを確認します。

CA IT PAM のイベント/アラート出力プロセスを実行するアラートに基づくクエリを特定または設計する方法

1. ヘルプ デスクのチケットを必要とする各イベントに対して、そのイベントのデータを取得する 1 つ以上のクエリを識別、変更、または作成します。
   • このような条件でイベントを収集する個々の事前定義済みクエリを識別します。
   • 事前定義済みクエリをカスタマイズする必要がある場合は、クエリをコピーし、ニーズに合わせてそのコピーを変更します。
   • ヘルプ デスクの通知を必要とする特定のタイプのイベントを収集する事前定義済みクエリが存在しない場合は、必要とするクエリ（複数可）を作成します。
2. IT イベントを検索するクエリで、そのフィールドの 1 つに複数の既知の値がある場合は、事前に定義されたキー設定済みリストを使用するか、キー設定済みリストをカスタマイズするか、新しいキー設定済みリストを作成します。 このようなキーの値が csv ファイルで存在する場合は、それをインポートします。 IT PAM プロセスによって生成されたリストの場合は、そのプロセスを動的値プロセスとして設定し、キーを作成して、CA IT PAM から値をインポートします。
3. CA IT PAM イベント/アラート出力プロセスを、結果を返すクエリごとに実行するのか、結果の行ごとに実行するのかを決定します。
4. クエリをテストします。
   1. キャプチャするイベントを生成する条件を作成します。
   2. クエリまたはクエリのセットを手動で実行します。
   3. ヘルプ デスクの担当者が必要なフォローアップを実行するのにそのクエリ結果が十分かどうかを評価します。
   4. 十分でない場合、必要な情報を提供できるようにクエリまたはクエリのセットを変更し、再テストします。

このような準備を行うことにより、クエリまたはクエリのセットをそれぞれ実行するアラートのスケジュールを設定する場合に、問題解決に必要なデータがイベント/アラートの出力結果に必ず含まれるようになります。

詳細情報：

アクション アラートのクエリのカスタマイズ