Creare una query per recuperare solo gli eventi gravi

Administration Guide › Avvisi › Personalizzare le query per gli avvisi › Creare una query per recuperare solo gli eventi gravi

Creare una query per recuperare solo gli eventi gravi

È possibile creare una query da zero se non è presente una query predefinita in grado di recuperare i tipi di eventi di cui si desidera ricevere notifica. Considerare i seguenti tipi di eventi gravi:

Categoria	Classe	Azione	Risultato	Livello di protezione
Host Security	Attività dell'antivirus	Quarantena virus	Operazione non riuscita	6
Host Security	Attività IDS/IPS	Violazione firma	Operazione riuscita	6
Network Security	Attività di violazione firma	Violazione firma	Operazione riuscita	6

Esempio: creare una query per recuperare solo gli errori di quarantena dei virus

Si supponga, ad esempio, di voler ricevere una notifica per ogni errore di quarantena dei virus. Probabilmente, la parola chiave quarantena non compare nell'elenco di query. In questo caso, è possibile creare la query necessaria e pianificare un avviso che la esegue.

Per creare una query che recupera gli errori di quarantena dei virus

Fare clic su Query e rapporti.
In Opzioni elenco query selezionare Nuova.
Verrà visualizzato il passaggio Dettagli della procedura guidata Progettazione query.
Inserire un nome.
Ad esempio, inserire Avviso: errore quarantena virus
Aggiungere un tag personalizzato.
Ad esempio, inserire Quarantena virus
Fare clic sul passaggio Colonne query ed aggiungere le colonne desiderate.
Selezionare il passaggio Filtri query.
Inserire un filtro semplice in base alla voce CEG dell'evento.
Ad esempio, selezionare Sicurezza host come categoria, Attività antivirus come classe, Quarantena virus come azione e F come risultato.
Selezionare il passaggio Condizioni di risultato e selezionare Ultimi 5 minuti dal menu a discesa Intervalli predefiniti, in modo da garantire la tempestività dell'avviso.
Fare clic su Salva e chiudi.

Contatta CA Technologies