このトピックでは、管理者に対して、メールなどの通知をルールに追加する方法を説明します。ESAは、ルール条件を満たすイベントに対してアラートを生成するときに通知方法を使用します。
ルールに通知を追加すると、そのルールがアラートをトリガーしたときにESAから通知を受けることができます。通知フィールドは必須ではありませんが、ルールに通知フィールドを追加するのがベスト プラクティスです。
ルールに通知方法を追加するときに、次の情報を選択します。
- 出力
- 通知
- 通知サーバ
- テンプレート
前提条件
- ユーザのロールには、ルールを管理する権限が必要です。
- ルールは存在する必要があります。
- 通知方法は、サポートされるサーバおよびテンプレートを使用してあらかじめ構成しておく必要があります。
管理>[システム]>[グローバル通知]に移動します。
詳細な手順については、「システム構成ガイド」を参照してください。
手順
通知方法をルールに追加するには、次の手順を実行します。
- 構成>[ESAルール]>[ルール]タブに移動します。
- [ルール ライブラリ]で、
をクリックして新しいルールを追加するか、既存のルールを選択して
をクリックします。
ルール タイプに応じて、[ルール ビルダ]タブまたは[詳細EPL]タブが表示されます。
両方のタブで、[通知]セクションは同じです。 -
をクリックして、アラートの[出力]を次の中から選択します。
- メール
- SNMP
- Syslog
- スクリプト
- [通知]フィールドをダブル クリックして、事前に構成した出力の名前を選択します。
たとえば、L1-Analystsメール配信グループに送信されるメール通知の名前として「レベル1アナリスト」を選択できます。 - [通知サーバ]フィールドをダブル クリックして、通知を送信するサーバを選択します。
- [テンプレート]フィールドをダブル クリックして、アラートの形式を選択します。
次の図に、Syslog通知の設定を示します。 - 頻度を指定する場合には、[出力抑制の間隔]を選択して、次に[時間(分)]を選択します。
- 別の通知を追加するには、ステップ3~7を繰り返します。
- [保存]をクリックします。
ESAがルール条件に一致するイベントに対してアラートを生成すると、ルールに追加された各通知方法によってアラートを通知されます。
Previous Topic:通知方法
Next Topic:データ エンリッチメント ソースの追加
You are here
Table of Contents > アラートを通知する方法の選択 > 通知方法をルールに追加