Vous pouvez créer une règle personnalisée pour générer une infraction ou envoyer des notifications lorsque les journaux cessent de provenir de toute source de journal.
- Aller à la section Règles :
- Accédez à Infractions > Règles.
- Cliquez sur Actions > Nouvelle règle d’événement.
Ensuite vous Assistant de règle fenêtre.
À cette étape, utilisez le paramètre par défaut.
Étapes :
- Dans l’éditeur de règles, cliquez sur Groupe de test et choisissez dans la liste déroulante Test de source de journal
- Recherchez et sélectionnez le paramètre ‘quand l’événement n’a pas été détecté par’.
- Définir le ‘de ces sources de journal’ et ‘ce nombre-ci’(par exemple, 10 minutes (défini en secondes)).
Par exemple, dans la capture d’écran, j’ai nommé la règle test_wather puis j’ai défini « et quand l’événement n’a pas été détecté par un ou plusieurs de SRV-WIN-XXX pendant 6000 secondes » sélectionné Groupe « Système » et j’ai ajouté Notes « surveillance de source de journal« :
- Sous l’onglet Réponse , choisissez la ou les réponses à effectuer lorsqu’un événement déclenche cette règle.
- Cliquez sur Gérer les destinations
- Dans la fenêtre ouverte, cliquez sur ajouter : Pour ajouter une nouvelle destination.
- Dans la fenêtre ouverte Propriétés de la destination de transfert : Configurez vos propriétés de destination et cliquez sur Enregistrer. Par exemple, dans la capture d’écran, j’ai défini la destination sur un serveur en utilisant le protocole TCP. . For example, in the screenshot, I set the destination on a server by using tcp protocol.
Après cela, vous pouvez voir que votre Destination créée. Choisissez-la et cliquez sur terminer
Maintenant, dans Infractions, vous pouvez voir votre règle créée. Par exemple, dans la capture d’écran, j’ai créé la règle test_wather.
Maintenant, si votre source de journal cesse de fonctionner, vous verrez un message à ce sujet. Par exemple, dans la capture d’écran, la règle envoie un message sur le serveur via le protocole TCP.
