Manuel d'administrationSuppression et récapitulation › Création d'une règle de suppression des événements Windows 560

Rubrique précédente: Exportation d'une règle de suppression ou de récapitulation

Rubrique suivante: Mappage et analyse

Création d'une règle de suppression des événements Windows 560

Lorsqu'il est activé sur un serveur Windows, l'audit des accès aux objets génère un volume important de trafic d'événements, pour certains inutilement redondants. Par exemple, Windows génère deux événements chaque fois qu'un administrateur ouvre Microsoft Management Console (mmc.exe). Ces événements sont identifiés par les numéros 560 et 562.

Dans cet exemple, vous pouvez créer une règle qui supprime les événements Windows avec une valeur event_id de 560. Les étapes de la procédure suivante vous montrent comment utiliser l'assistant et obtenir une règle de suppression que vous pouvez utiliser dans votre environnement réseau.

Pour commencer, vous devez vous connecter à un serveur CA User Activity Reporting Module en tant qu'utilisateur possédant le rôle Administrator et les droits associés. Vous ne pouvez pas créer ou modifier des règles de suppression en étant connecté en tant qu'utilisateur EiamAdmin.

Pour créer une règle de suppression des événements Windows 560

  1. Ouvrez l'Assistant de règles de suppression.
  2. Tapez "Suppression des événements Windows 560" dans le champ de saisie du nom et ajoutez la description suivante : "Cette règle supprime l'événement Windows 560 car un événement 562 est déjà créé par le SE pour le même type d'accès aux ressources. Il n'est pas nécessaire, pour des raisons de conformité, de conserver les deux événements."
  3. Avancez jusqu'à l'étape Filtrage en cours et sélectionnez les filtres simples suivants.
    1. Valeur Modèle idéal, Système d'exploitation.
    2. Valeur Catégorie d'événement, Accès aux ressources.
    3. Valeur Classe d'événement, Ouverture d'une ressource.
    4. Valeur Action d'événement, Activité de la ressource.
  4. Cliquez sur l'onglet Filtres avancés et sur le bouton Nouveau filtre d'événement.

    Une nouvelle ligne de filtre apparaît dans le tableau. Cliquez sur une valeur ou sur l'espace vide dans chaque cellule du tableau pour sélectionner une valeur ou en entrer une nouvelle.

    Le champ d'opérateur logique prend sa valeur par défaut AND. Si vous souhaitez supprimer plusieurs types d'événements, vous pouvez entrer leurs ID en ajoutant de nouvelles lignes et en utilisant l'opérateur logique OR.

  5. Définissez les valeurs de filtre de champ avancé.
    1. Cliquez sur la valeur du champ Colonne et sélectionnez le champ event_id.
    2. Cliquez sur le champ Opérateur et sélectionnez Egal à.
    3. Cliquez sur le champ Valeur et entrez la valeur 560.
  6. Cliquez sur Enregistrer et fermer.

    L'assistant crée automatiquement un dossier Utilisateur destiné à contenir vos règles de suppression. Vous pouvez voir ce dossier en développant le dossier Règles de suppression.