Edit Event Sets

Monitor > Supervisión de agentes > Alertas de registro de eventos

• Seleccione <New Event Set> de la lista desplegable Definir eventos para correspondencia u omisión. Se abre la ventana emergente Editar conjunto de eventos.

Editar conjuntos de eventos filtra la activación de alertas basadas en el monitoreo de eventos en registros de eventos mantenidos por el SO de Windows de una máquina administrada. Puede asignar conjuntos de eventos múltiples a una ID de máquina.

Los grupos de eventos contienen una o más condiciones. Cada condición contiene filtros para diferentes campos en una entrada de registro de eventos. Los campos son fuente, categoría, ID de evento, usuario y descripción. Una entrada de registro de eventos debe coincidir con todos los filtros de campo de una consideración para ser considerada una coincidencia. Un campo con un caracter de asterisco (*) significa que cualquier cadena, incluída una cadena cero, se considera una coincidencia. Una coincidencia de una de las condiciones en un grupo de eventos es suficiente como para activar una alerta para cualquier máquina a la que se aplica ese grupo de eventos.

Nota: Normalmente, si se agregan dos condiciones a un conjunto de eventos, por lo general se las interpreta como una instrucción OR. Si alguno de ellos es una coincidencia, se activa la alerta. Hay una excepción cuando se selecciona la opción Enviar alerta cuando no se produce este evento dentro de <N> <períodos>. En este caso las dos condiciones deben interpretarse como una sentencia AND. No pueden ocurrir ambas dentro del mismo período de tiempo especificado para activar una alerta.

Nota: Puede mostrar los registros de eventos directamente. En una máquina Windows, haga clic en Inicio, luego haga clic en Panel de Control, luego haga clic en Herramientas administrativas, y luego haga clic en Visor de sucesos. Haga clic en Aplicación, Seguridad o Sistema para mostrar los eventos en ese registro. Haga doble clic en un evento para mostrar la ventana de Propiedades. Puede copiar y pegar texto de la ventana de Propiedades de cualquier evento en los campos Editar conjunto de eventos.

Para crear un nuevo conjunto de eventos

1. Seleccione la página Monitor > Alertas de registros de eventos.
2. Seleccione un Tipo de registro de eventos desde la segunda lista desplegable.
3. Seleccione <New Event Set> de la lista desplegable Definir eventos para correspondencia u omisión. Se abre la ventana emergente Editar conjunto de eventos. Puede crear un nuevo conjunto de eventos de la siguiente forma:
   • Ingresando un nuevo nombre y haciendo clic en el botón Nuevo.
   • Pegando los datos del conjunto de eventos como texto.
   • Importando los datos del conjunto de eventos desde un archivo.
4. Si ingresa un nombre nuevo y hace clic en Nuevo, la ventana Editar conjunto de eventos muestra las cinco propiedades utilizadas para filtrar eventos.
5. Haga clic en Agregar para agregar un nuevo evento a un conjunto de eventos.
6. Haga clic en Ignorar para especificar un evento que no debe activar una alarma.
7. Opcionalmente puede Renombrar, Borrar o Exportar conjunto de eventos.

Ignorar condiciones

Si una entrada de registro de eventos coincide con una o más condiciones de ignorar en un conjunto de eventos, entonces no se activa ninguna alerta por ningún conjunto de eventos, aún si hay condiciones múltiples en conjuntos de eventos múltiples que coinciden con una entrada de registro de eventos. Debido a que las condiciones ignoradas eliminan todos los conjuntos de eventos, es buena idea definir sólo un conjunto de eventos para todas las condiciones ignoradas, de manera que sólo tenga que buscar en un lugar si sospecha que una condición ignorada está afectando el comportamiento de sus alertas. Debe asignar el conjunto de eventos que contiene la condición ignorada a una ID de máquina para que elimine todos los demás conjuntos de eventos aplicados a la misma ID de máquina.

Al ignorar condiciones sólo se eliminan los eventos que comparten el mismo tipo de registro. De manera que si crea un "conjunto ignorar" para todas las condiciones de ignorar, debe aplicarse múltiples veces a la misma ID de máquina, una vez para cada tipo de registro. Por ejemplo, un conjunto ignorar aplicado sólo como tipo de registro de Sistema no eliminará condiciones de evento aplicadas como eventos de tipo de registro de Aplicación y Seguridad.

1. Seleccione la página Monitor > Alertas de registro de eventos.
2. Active la casilla de verificación Error y seleccione <All Events> de la lista de conjunto de eventos. Haga clic en el botón Aplicar para asignar esta configuración a todas las ID de máquinas seleccionadas. Esto indica al sistema que genere un alerta por cada evento del tipo error. Anote el tipo de registro asignado.
3. Cree y asigne un "conjunto de eventos de ignorar" a esas mismas ID de máquinas que especifique todos los eventos que desea ignorar. El tipo de registro debe coincidir con el tipo de registro en el paso 2.

Uso del comodín con asterisco (*)

Incluya un comodín con asterisco (*) con el texto que ingresa para coincidir con registros múltiples.Por ejemplo:

*yourFilterWord1*yourFilterWord2*

Esto coincidiría y activaría una alarma para un evento con la siguiente cadena:

"This is a test. yourFilterWord1 as well as yourFilterWord2 are in the description."

Exportar e importar Editar eventos

Puede exportar e importar registros de conjuntos de eventos como archivos XML.

• Puede exportar un registro de un conjunto de eventos existente a un archivo XML utilizando la ventana emergente Editar conjunto de eventos.
• Puede importar un archivo XML de conjunto de eventos al seleccionar el valor <Import Event Set> o <New Event Set> de la lista desplegable de conjunto de eventos.

Ejemplo:

<?xml version="1.0" encoding="ISO-8859-1" ?>
<event_sets>
 <set_elements setName="Test Monitor Set" eventSetId="82096018">
   <element_data ignore="0" source="*SourceValue*"
category="*CategoryValue*" eventId="12345"
username="*UserValue*" description="*DescriptionValue*"/>
 </set_elements>
</event_sets>