怎樣創(chuàng)建告警配置文件

要在用戶界面創(chuàng)建告警配置文件，可通過以下菜單實現(xiàn)：

• 告警頁簽 > 告警配置文件 > +
• 標簽：+添加 > 告警
• 設置頁簽 > 告警 > 添加

請參閱下面的步驟來創(chuàng)建告警配置文件。

1. 輸入告警配置文件的名稱。

2. 指定此報表配置文件生成的告警的嚴重性級別，可選項包括高、中和低。

3. 選擇要生成告警的主機和主機組。

4. 使用預設的告警條件來快速配置告警。如果您的告警需求不在預設的條件中，請使用自定義告警條件。如果您有合規(guī)性告警需求，那么請使用合規(guī)性告警條件進行設置。

預定義告警

1. 選擇預定義告警來定義告警條件。
2. 選擇一個預定義的告警條目。
3. 當選擇了一個預定義的告警條目后，這里將會將會自動填充對應的安全/事件ID、日志類型和消息，且這些字段不可編輯，這樣可以快速創(chuàng)建告警配置文件。
4. 您可以控制告警的生成，將出現(xiàn)一次事件生成一次告警配置為，在特定時間段內(nèi)出現(xiàn)N次事件生成一次告警。您需要設置事件出現(xiàn)的次數(shù)，以及事件出現(xiàn)的時間限制。

合規(guī)性告警

1. 選擇合規(guī)性告警設置。

2. 當選擇和合規(guī)性告警設置之后，下面將會列出支持的合規(guī)性列表，它們是FISMA、PCI、HIPAA、SOX和GLBA。

3. 您可以控制告警的生成，將出現(xiàn)一次事件生成一次告警配置為，在特定時間段內(nèi)出現(xiàn)N次事件生成一次告警。您需要設置事件出現(xiàn)的次數(shù)，以及事件出現(xiàn)的時間限制。

自定義告警

1. 選擇自定義告警設置。

2. 從列表中選擇日志的類型，缺省值為任意。如果要選擇多個日志類型，可以使用+ 更多鏈接，告警將會在出現(xiàn)此類型時生成。

3. 從列表中選擇重要度，缺省值為任意。 如果要選擇多個重要度，可以使用+ 更多鏈接，告警將會在出現(xiàn)此重要度時生成。如果選擇了事件ID，請輸入事件ID，或使用事件ID來選擇指定消息的事件ID。

4. 使用日志消息包含字段定義在日志消息中出現(xiàn)指定的詞組或短語時，觸發(fā)告警，使用除外字段定義當日志消息中存在指定的詞組或短語時，不觸發(fā)告警。

5. 對于以上兩種字段，在高級設置下，您可以配置對于多個字段的匹配選項設置。

6. 您可以控制告警的生成，將出現(xiàn)一次事件生成一次告警配置為，在特定時間段內(nèi)出現(xiàn)N次事件生成一次告警。您需要設置事件出現(xiàn)的次數(shù)，以及事件出現(xiàn)的時間限制。

5. 生成的告警可以通過郵件、短信進行通知，也可以通過運行程序，在生成告警時執(zhí)行一個腳本或程序。設置告警通知選項。

設置通過郵件發(fā)送告警通知

輸入郵件發(fā)送告警通知的明細信息。

1. 輸入郵件的地址。多個郵件地址請使用逗號隔開（,）。

2. 輸入郵件通知的主題，您可以將告警參數(shù)附加到主題行。請從旁邊的參數(shù)列中選擇參數(shù)。

3. 您可以為郵件通知添加備注信息，最大字節(jié)數(shù)限制為250個字符，這個信息將會附加到郵件通知的內(nèi)容中。

如果在EventLog Analyzer中尚未配置郵件服務器，當選擇了通過郵件發(fā)送通知選項時，您會看到郵件配置的提醒信息。

設置通過運行程序通知告警

輸入運行腳本或程序的明細信息。

1. 輸入EventLog Analyzer客戶端機器中腳本文件的路徑和名稱，或者通過瀏覽按鈕選擇腳本文件。

2. 設置要傳送到腳本的告警參數(shù)，從列表中選擇需要的參數(shù)。您可以選擇的參數(shù)包括告警的來源、主機名和重要度

設置通過短信通知告警

輸入短信的明細信息。

1. 輸入接收短信通知的移動電話號碼。

2. 輸入短信通知的消息內(nèi)容，您也可以將告警參數(shù)附加到這里。請從旁邊的列表中選擇要附加的參數(shù)。

如果在EventLog Analyzer中尚未配置短信設置，當選擇了通過短信通知選項時，您會看到配置短信的提醒信息。

6. 點擊添加告警配置文件按鈕完成告警配置文件的創(chuàng)建，所有創(chuàng)建的告警配置文件將會列在告警配置文件明細頁面，在那里您可以啟用、禁用、修改和刪除配置文件。