Éditer le jeu d'événements

Surveillance > Alertes

• Sur la page Alertes, sélectionnez Événements d'application, Événements de sécurité ou Événements système dans la liste déroulante Fonction de sélection des alertes.
• Sélectionnez <Nouveau jeu d'événements> dans la liste déroulante Définir les événements à trouver ou à ignorer. La fenêtre contextuelle Éditer le jeu d'événements s'affiche.

Elle vous permet de filtrer la surveillance des événements dans les journaux d'événements gérés par le système d'exploitation Windows d'un ordinateur géré. Les événements correspondant à un jeu d'événements peuvent déclencher une alerte ou supprimer le déclenchement d'une alerte, si vous cochez la case Ignorer. Il est possible d'affecter plusieurs jeux d'événements à un ID d'ordinateur. Vous pouvez charger des exemples de jeux d'événements dans la page Système > Configurer.

Si l'une des lignes de jeux d'événements est détectée, l'événement est inclus. Si l'une des lignes de jeux d'événements à Ignorer est présente, elle prend le pas sur TOUTES les lignes de jeux d'événements incluses, le cas échéant.

Remarque: vous pouvez afficher directement les journaux d'événements. Sur un ordinateur Windows, cliquez sur Démarrer, puis sélectionnez Panneau de configuration, Outils d'administration et Observateur d'événements. Cliquez sur Application, Sécurité ou Système pour afficher les événements présents dans le journal. Double-cliquez sur un événement pour afficher sa fenêtre de propriétés. Vous pouvez copier et coller le texte de la fenêtre de propriétés de n'importe quel événement dans les champs Éditer le jeu d'événements.

Vous pouvez utiliser une ou plusieurs des propriétés d'événements suivantes pour spécifier des jeux d'événements :

• Source
• Catégorie
• ID d'événement
• Utilisateur
• Description

Pour créer un jeu d'événements :

1. Dans la page Alertes, sélectionnez Journaux des événements dans la liste déroulante Fonction de sélection des alertes.
2. Sélectionnez un type d'événement dans la liste déroulante.
3. Sélectionnez <Nouveau jeu d'événements> dans la liste déroulante Définir les événements à trouver ou à ignorer. La fenêtre contextuelle Éditer le jeu d'événements s'affiche. Pour créer un jeu d'événements, vous pouvez :

• saisir un nouveau nom et cliquer sur le bouton Nouveau ;
• coller des données relatives à un jeu d'événements sous forme de texte ;
• importer des données relatives à un jeu d'événements depuis un fichier.

1. Lorsque vous saisissez un nouveau nom et cliquez sur Nouveau, la fenêtre Éditer le jeu d'événements affiche les cinq propriétés à partir desquelles vous pouvez filtrer les événements.
2. Cliquez sur Ajouter pour ajouter un événement au jeu d'événements.
3. Cliquez sur Ignorer pour indiquer qu'un événement ne doit pas déclencher d'alarme.
4. Vous pouvez également Renommer, Supprimer ou Exporter le jeu d'événements.

Ignorer

Si vous cochez la case Ignorer, une alerte sera déclenchée pour tous les événements sauf ceux que vous souhaitez ignorer. Les événements ignorés sont toujours prioritaires par rapport aux autres jeux d'événements. Pour pouvoir utiliser la fonction Ignorer, vous devez affecter plusieurs jeux d'événements au même ID d'ordinateur. Par exemple :

1. Sur la page Alertes, sélectionnez Événements d'application, Événements de sécurité ou Événements système dans la liste déroulante Fonction de sélection des alertes.
2. Cochez la case Erreur et sélectionnez < Tous les événements > dans la liste de jeux d'événements. Cliquez sur le bouton Appliquer pour affecter ces paramètres à tous les ID d'ordinateur sélectionnés. Cette procédure indique au système qu'il doit générer une alerte pour tous les événements de type erreur.
3. Affectez à ces mêmes ID d'ordinateurs un jeu d'événements spécifiant tous les événements que vous souhaitez ignorer.

Si l'une des lignes de jeux d'événements à inclure est détectée, l'événement est inclus. Si l'une des lignes de jeux d'événements à Ignorer est détectée, elle prend le pas sur toutes les lignes de jeux d'événements incluses, le cas échéant.

Utilisation de l'astérisque (*)

Insérez un astérisque (*) avec le texte que vous saisissez pour assortir plusieurs enregistrements.Par exemple :

*votre_filtre1*votre_filtre2*

correspondrait à et déclencherait une alarme pour un événement comportant la chaîne suivante :

"Ceci est un test. La description contient votre_filtre1 et votre_filtre2."

Exportation et importation de jeux d'événements

Vous pouvez exporter et importer des enregistrements de jeux d'événements sous forme de fichiers XML.

• Pour exporter un enregistrement de jeu d'événement existant dans un fichier XML, utilisez la fenêtre contextuelle Éditer le jeu d'événements.
• Pour importer un fichier XML contenant un jeu d'événements, sélectionnez <Importer le jeu d'événements> ou <Nouveau jeu d'événements> dans la liste déroulante des jeux d'événements.

Par exemple :

<?xml version="1.0" encoding="ISO-8859-1" ?>
<event_sets>
 <set_elements setName="Test Monitor Set" eventSetId="82096018">
   <element_data ignore="0" source="*SourceValue*" category="*CategoryValue*" eventId="12345" username="*UserValue*" description="*DescriptionValue*"/>
 </set_elements>
</event_sets>

Rubrique 2886: Envoyer vos commentaires. Télécharger une version PDF de ce guide en ligne depuis la première rubrique de la table des matières.