|
|
|
|
Edit Event Sets
Editar conjuntos de eventos filtra la activación de alertas basadas en el monitoreo de eventos en registros de eventos mantenidos por el SO de Windows de una máquina administrada. Puede asignar conjuntos de eventos múltiples a una ID de máquina.
Los grupos de eventos contienen una o más condiciones. Cada condición contiene filtros para diferentes campos en una entrada de registro de eventos. Los campos son fuente, categoría, ID de evento, usuario y descripción. Una entrada de registro de eventos debe coincidir con todos los filtros de campo de una consideración para ser considerada una coincidencia. Un campo con un caracter de asterisco (*) significa que cualquier cadena, incluída una cadena cero, se considera una coincidencia. Una coincidencia de una de las condiciones en un grupo de eventos es suficiente como para activar una alerta para cualquier máquina a la que se aplica ese grupo de eventos.
Nota: Normalmente, si se agregan dos condiciones a un conjunto de eventos, generalmente se los interpreta como una sentencia OR. Si alguno de ellos es una coincidencia, se activa la alerta. La excepción es cuando se selecciona la opción Alertar cuando no se produce este evento dentro de <N> <periods>. En este caso las dos condiciones deben interpretarse como una sentencia AND. No pueden ocurrir ambas dentro del mismo período de tiempo especificado para activar una alerta.
Nota: Puede mostrar registros de evento directamente. En una máquina Windows haga clic en Inicio, luego en Panel de control, luego en Herramientas administrativas, luego haga clic en Visualizador de eventos. Haga clic en Aplicación, Seguridad o Sistema para mostrar los eventos en ese registro. Haga doble clic en un evento para mostrar la ventana de Propiedades. Puede copiar y pegar texto de la ventana de Propiedades de cualquier evento en los campos Editar conjunto de eventos.
Para crear un nuevo conjunto de eventos
- En la página Alertas, seleccione Registros de eventos desde la lista desplegable Seleccionar función de alerta.
- Seleccione un Tipo de registro de eventos desde la segunda lista desplegable.
- Seleccione
<New Event Set>desde la lista desplegable Definir eventos para coincidir o ignorar. Se abre la ventana emergente Editar conjunto de eventos. Puede crear un nuevo conjunto de eventos de la siguiente forma:
- Ingresando un nuevo nombre y haciendo clic en el botón Nuevo.
- Pegando los datos del conjunto de eventos como texto.
- Importando los datos del conjunto de eventos desde un archivo.
- Si ingresa un nombre nuevo y hace clic en Nuevo, la ventana Editar conjunto de eventos muestra las cinco propiedades utilizadas para filtrar eventos.
- Haga clic en Agregar para agregar un nuevo evento a un conjunto de eventos.
- Haga clic en Ignorar para especificar un evento que no debe activar una alarma.
- Opcionalmente puede Renombrar, Borrar o Exportar conjunto de eventos.
Ignorar condiciones
Si una entrada de registro de eventos coincide con una o más condiciones de ignorar en un conjunto de eventos, entonces no se activa ninguna alerta por ningún conjunto de eventos, aún si hay condiciones múltiples en conjuntos de eventos múltiples que coinciden con una entrada de registro de eventos. Debido a que las condiciones ignoradas eliminan todos los conjuntos de eventos, es buena idea definir sólo un conjunto de eventos para todas las condiciones ignoradas, de manera que sólo tenga que buscar en un lugar si sospecha que una condición ignorada está afectando el comportamiento de sus alertas. Debe asignar el conjunto de eventos que contiene la condición ignorada a una ID de máquina para que elimine todos los demás conjuntos de eventos aplicados a la misma ID de máquina.
Al ignorar condiciones sólo se eliminan los eventos que comparten el mismo tipo de registro. De manera que si crea un "conjunto ignorar" para todas las condiciones de ignorar, debe aplicarse múltiples veces a la misma ID de máquina, una vez para cada tipo de registro. Por ejemplo, un conjunto ignorar aplicado sólo como tipo de registro de Sistema no eliminará condiciones de evento aplicadas como eventos de tipo de registro de Aplicación y Seguridad.
- En la página Alertas, seleccione Registros de eventos desde la lista desplegable Seleccionar función de alerta.
- Tilde la casilla Error y seleccione
<All Events>de la lista de conjunto de eventos. Haga clic en el botón Aplicar para asignar esta configuración a todas las ID de máquinas seleccionadas. Esto le pide al sistema generar una alerta para cada tipo de evento de error. Anote el tipo de registro asignado. - Cree y asigne un "conjunto de eventos de ignorar" a esas mismas ID de máquinas que especifique todos los eventos que desea ignorar. El tipo de registro debe coincidir con el tipo de registro en el paso 2.
Uso del comodín con asterisco (*)
Incluya un comodín con asterisco (*) con el texto que ingresa para coincidir con registros múltiples. Por ejemplo:
*yourFilterWord1*yourFilterWord2*
Esto coincidiría y activaría una alarma para un evento con la siguiente cadena:
"Esto es una prueba. yourFilterWord1 así como yourFilterWord2 están en la descripción."
Exportar e importar Editar eventos
Puede exportar e importar registros de conjuntos de eventos como archivos XML.
- Puede exportar un registro de un conjunto de eventos existente a un archivo XML utilizando la ventana emergente Editar conjunto de eventos.
- Puede importar un archivo XML de un conjunto de eventos seleccionando el valor
<Import Event Set>o<New Event Set>de la lista desplegable de conjunto de eventos.
Ejemplo:
<?xml version="1.0" encoding="ISO-8859-1" ?>
<event_sets>
<set_elements setName="Test Monitor Set" eventSetId="82096018">
<element_data ignore="0" source="*SourceValue*"
category="*CategoryValue*" eventId="12345"
username="*UserValue*" description="*DescriptionValue*"/>
</set_elements>
</event_sets>
Punto 2886: Enviar Comentario. Descargue un PDF de este libro en línea del primer punto en la tabla de contenidos.