ESM : Onglet Règles de surveillance

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

L'onglet Règles de surveillance organise les seuils par groupe de sources d'événements.

Pour accéder à cet onglet, accédez à ADMIN > Sources d'événements. L'onglet Gérer s'affiche. Sélectionnez l'onglet Règles de surveillance.

Workflow

Ce workflow montre l'ensemble du processus de configuration des sources d'événements.

Ce workflow montre l'ensemble du processus de configuration des sources d'événements.

Que voulez-vous faire ?

                       
RôleJe souhaite...Me montrer comment
Administrateur

Gérer la configuration des alertes des sources d'événements.

Configuration des alertes de groupes de sources d'événements

Administrateur Organiser des seuils par groupe de sources d'événements.

Configuration des alertes de groupes de sources d'événements

Rubriques connexes

Configuration des alertes de groupes de sources d'événements

Configuration des notifications

Désactivation des notifications

Aperçu rapide

La rubrique Règles de surveillance se compose de trois panneaux :

  • Panneau Groupe d'événements
  • Panneau Seuils
  • Panneau Notifications

Voici un exemple de l'onglet Règles de surveillance.

Exemple d'écran Règles de surveillance.

                 
1Affiche le panneau Groupes.
2Affiche le panneau Seuils.
3Affiche le panneau Notifications.

Panneau Groupe d'événements

Exemple de panneau Groupes d'événements.

Le groupe sélectionné dans ce panneau détermine les seuils qui doivent être affichés dans le panneau Seuils. Vous pouvez définir un ensemble de seuils pour chaque groupe de sources d'événements. Notez que les groupes sont affiché dans un ordre spécifique :

  • Faites glisser-déplacer les groupes pour modifier l'ordre spécifié.
  • Les groupes placés en tête de liste sont prioritaires sur ceux qui suivent : RSA NetWitness Suite vérifie les seuils dans l'ordre prévu dans ce panneau. Ainsi, vos groupes prioritaires doivent être en haut de cette liste

Panneau Seuils

Voici un exemple du panneau Seuils pour un groupe de sources d'événements.

Exemple du panneau Seuils pour un groupe de sources d'événements.

Le panneau Seuils contient les caractéristiques suivantes.

                               
FonctionnalitéDescription
Activer

La case à cocher Activer indique si les seuils définis pour un groupe sont activés ou non. Si c'est le cas, des notifications sont envoyées chaque fois que les seuils de ce groupe dépassent la plage définie. Dans le cas contraire, aucune surveillance de ce groupe de sources d'événements n'est effectuée.

Remarque : Si vous configurez un seuil et si vous tentez d'enregistrer la page sans l'activer, vous recevez un message de confirmation vous demandant si la règle doit être activée.

Si vous activez une règle sans avoir de seuil défini, vous continuerez à recevoir des notifications automatiques (de base) tant que les notifications automatiques sont activées.

Voir ci-dessous pour plus de détails sur l'apparence des notifications.

Faible nombre d'événements
Faible nombre de minutes ou d'heures

Il s'agit de la limite inférieure du seuil. Saisissez le plus petit nombre d'événements et la période. Si le groupe de sources d'événements reçoit moins de messages que spécifié ici, le seuil n'est pas atteint et les notifications sont envoyées.

Nombre élevé d'événements
Nombre élevé de minutes ou d'heures
Fonctionne de la même manière que pour les valeurs inférieures : Si le groupe de sources d'événements reçoit plus de messages que spécifié ici, le seuil n'est pas atteint et les notifications sont envoyées.
Date et heure de la dernière modificationCe champ indique la date et l'heure auxquelles les seuils ont été modifiés pour la dernière fois.
EnregistrerEnregistre les modifications que vous avez effectuées sur les seuils.

Panneau Notifications

Voici un exemple du panneau Notifications pour un groupe de sources d'événements.

Exemple du panneau Notifications pour un groupe de sources d'événements.

Le tableau suivant décrit les champs du panneau Notifications

                                       
ChampDescription

Outils

+  -

Les éléments suivants sont disponibles dans la barre d'outils :

  • Ajouter (+) : le fait de cliquer sur Ajouter présente un menu dans lequel vous pouvez choisir le type de notification
  • Supprimer (-) : supprime la ligne sélectionnée de la liste.
Paramètres de notification

Cliquer sur ce lien permet d'ouvrir un nouvel onglet de navigateur et de vous renvoyer à la page Administration > Système > Notifications dans NetWitness Suite.

Type

Affiche le type de la notification que vous avez choisie. Les options disponibles sont les suivantes :

  • E-mail
  • SNMP
  • Syslog
Notification Consultez leConfigurer les sorties de Notificationrubrique dans leGuide de Configuration systèmePour plus d'informations.

Serveur de notification

Consultez leConfigurer les serveurs de Notificationrubrique dans leGuide de Configuration systèmePour en savoir plus
Modèle

Pour la gestion de la source d'événements, RSA fournit trois modèles prêts à l'emploi pour les notifications. Vous pouvez utiliser ces modèles tels quels ou les personnaliser en fonction des besoins de votre organisation :

  • Modèle d'e-mail : envoie des notifications aux adresses e-mail spécifiées.
  • Modèle SNMP : envoie des notifications au serveur SNMP spécifié.
  • Modèle Syslog : envoie des notifications au serveur Syslog spécifié.

Consultez leConfigurer le système pour les Notificationsrubrique dans leGuide de Configuration systèmePour plus d'informations.

Limitation des sorties Utilisez cette option pour limiter la fréquence de réception des notifications de cette règle, en cas de déclenchement d'une multitude d'alertes sur une courte période. 

Voici des exemples de notifications basées sur les modèles fournis :

Exemple de boîte de dialogue de notification de surveillance de source d'événement.

  • E-mail :

    Pour les notifications par e-mail, la troisième colonne, Type d'alarme, indique si l'alarme déclenchée a été basée sur un seuil défini par l'utilisateur ou sur les données de base dépassant les limites normales. Si la surveillance ou les notifications automatiques sont désactivées, vous ne recevrez pas de notifications automatiques. Cela est également vrai pour Syslog et SNMP, sauf que ces notifications sont mises en forme différemment.

  • Trap SNMP :

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="NetWitness Suite Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Exemple Syslog :

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|NetWitness Suite Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
You are here
Table of Contents > Références  > ESM : Onglet Politiques de surveillance

Attachments

    Outcomes