Administration GuideSoppressione e riepilogo › Creazione di una regola di soppressione per l'evento Windows 560

Argomento precedente: Esportazione di una regola per la soppressione o il riepilogo

Argomento successivo: Mapping e Analisi

Creazione di una regola di soppressione per l'evento Windows 560

L'abilitazione del controllo degli accessi agli oggetti su un server Windows crea un volume significativo di traffico di eventi, alcuni dei quali probabilmente da eliminare. Ad esempio, Windows genera due eventi ogni volta che un amministratore apre Microsoft Management Console (mmc.exe). I valori ID di questi eventi sono 560 e 562.

In questo esempio, viene creata una nuova regola che elimina gli eventi Windows con un event_id di 560. Il completamento dei passaggi della seguente procedura fornisce una vera regola di soppressione da utilizzare nel proprio ambiente di rete, oltre a una dimostrazione dell'utilizzo della procedura guidata.

Per iniziare con questo esempio, accedere a un server CA User Activity Reporting Module come utente con ruolo e privilegi di amministratore. Non è possibile creare o modificare regole di soppressione quando si accede come utente EiamAdmin.

Per creare una regola di soppressione per gli eventi Windows 560

  1. Aprire la procedura guidata regola di soppressione.
  2. Inserire "Soppressione dell'evento Windows 560" nel campo di immissione del nome e aggiungere la descrizione: "Questa regola sopprime l'evento Windows 560 dato che il sistema operativo crea anche l'evento 562 per lo stesso tipo di accesso alla risorsa. La sua memorizzazione non è necessaria per la dimostrazione di compatibilità".
  3. Proseguire fino al passaggio Filtro e selezionare i seguenti filtri semplici:
    1. Valore modello ideale, Sistema operativo.
    2. Valore categoria evento, Accesso alla risorsa.
    3. Valore classe evento, Apertura risorse.
    4. Valore azione evento, Attività risorse.
  4. Fare clic sulla scheda Filtri avanzati, quindi sul pulsante Nuovo filtro evento.

    Nella tabella viene visualizzata una nuova riga relativa al filtro. È possibile fare clic su un valore o su uno spazio vuoto in ogni cella della tabella per selezionare o inserire un nuovo valore.

    Il campo Operatore logico ha come valore predefinito AND. Se vi sono diversi tipi di eventi da eliminare, è possibile inserire i relativi ID evento con nuove righe che utilizzano l'operatore logico OR.

  5. Impostare i valori del campo Filtri avanzati:
    1. Fare clic sul valore nel campo Colonna e selezionare il campo event_id.
    2. Fare clic sul campo Operatore e selezionare Uguale a.
    3. Fare clic sul campo Valore e inserire il valore 560.
  6. Fare clic su Salva e chiudi.

    La procedura guidata crea automaticamente una cartella Utente per contenere le regole di soppressione. Questa cartella può essere visualizzata espandendo la cartella Regole per la soppressione.