Reporting : Panneau Créer/Modifier une alerte

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode

Le panneau Créer/Modifier une alerte est un panneau de la vue Liste des alertes. Ce panneau vous permet de créer ou modifier une alerte selon les besoins.

Workflow

workflow de la vue Alerte

Que voulez-vous faire ?

                                           
RôleJe souhaite...Documentation

Administrateur/analyste

Configurer le Reporting Engine

Configurer le Reporting Engine

Administrateur/analyste

Configurer une alerte*

Configuration d’une alerte

Administrateur/analyste

Planifier une alertePlanifier une alerte

Administrateur/analyste

Afficher une alerte

Afficher une alerte

Administrateur/analysteAnalyser une alerteAnalyser une alerte
Administrateur/analysteGérer une alerte et un modèle d’alerteGérer une alerte et un modèle d’alerte

*Vous pouvez effectuer ces tâches ici.

Rubriques connexes

Présentation des alertes

Configuration d’une alerte

Affichage rapide

La figure suivante illustre un exemple avec les fonctions importantes portant un libellé.

créer/modifier une alerte

                             
1Cliquez sur SurveillerRapports pour afficher l’onglet Gérer.
2Cliquez sur Alertes pour ouvrir la vue Alerte.
3

Cliquez sur pour accéder au panneau Créer/Modifier une alerte.

4Activez l’alerte, accédez la règle et sélectionnez une source de données pour l’alerte.
5Saisissez une brève description de l’alerte.
6Définir les méthodes de notification d’alerte (ENREGISTREMENT, SMTP, SNMP, Syslog) pour l’alerte, lorsqu’une condition d’alerte est remplie.

Le panneau Créer/modifier une alerte comprend les sections suivantes :

  • Définition d’alerte
  • Description de l’alerte
  • Notification d'alerte

Définition d’alerte

Le tableau suivant décrit les champs de Définition d'alerte :

                         
ChampDescription
Activer
  • Activer - active l'alerte. L'alerte s'exécute et envoie des actions de sortie toutes les minutes (par défaut) lorsque les conditions d'alerte sont remplies.
  • Désactiver - désactive l'alerte. L'alerte ne s'exécute pas et n'envoie pas d'actions de sortie.
Base de règleCliquez sur Parcourir pour afficher le panneau Bibliothèque de règles dans lequel vous sélectionnez la règle qui constitue la base de cette alerte.
Vous devez sélectionner une règle disposant d'une clause ‘where’ unique pour une alerte.
Sources de donnéesSpécifie la source de données pour l'alerte.
Transmettre aux décodeursTransmettez la clause ‘where’ de la règle d'alerte aux Decoders connectés à la source de données NWDB sélectionnée. Il s'agit de l'option utilisée pour créer des alertes RE, car les conditions d'alerte sont vérifiées au niveau du Decoder lui-même et les requêtes d'alerte seront plus rapides avec NWDB.
Si vous désélectionnez cette option, une requête sera envoyée avec la clause ‘where’ de la règle d’alerte vers la source de données NWDB sélectionnée. En fonction de la complexité et des métas dans la clause ‘where’ de la règle, il se peut que le traitement des requêtes d'alertes soit plus long dans NWDB.

Remarque : NetWitness n'envoie pas de règles au Decoder de manière automatique.

Description de l’alerte

Le tableau suivant décrit les champs de Description de l'alerte :

                     
ChampDescription
DescriptionDécrit l’alerte.
CréerCrée une alerte. (Cette option s'affiche lorsque vous créez une alerte.)
EnregistrerEnregistrer les modifications apportées à l'alerte. (Cette option s'affiche lorsque vous modifiez une alerte.)

Notification d'alerte

Notification d'alerte vous permet de définir l'action de notification prise par NetWitness lorsqu'une alerte est générée, comme l'enregistrement ou l'envoi de l'alerte à l'aide de l'une des actions de sortie définies. Les actions de sortie sont un message Simple Mail Transfer Protocol (SMTP), Simple Network Management Protocol (SNMP) ou Syslog.

La section Notification présente l'onglet par défaut Enregistrement que vous utilisez pour créer une alerte. L'icône située à côté de l'onglet Enregistrement vous permet de sélectionner le type de notification à partir de la liste déroulante pour la sortie à spécifier pour cette alerte : SMTP, SNMP ou Syslog.

Selon le type de notification sélectionné, la section Notification est renseignée avec un texte prédéfini contenant certaines variables qui ajoutent des méta adaptés à l'alerte. Dans le Reporting Engine, ces variables sont remplacées par des valeurs réelles. Le tableau suivant répertorie les variables et leurs descriptions.

                                 
VariableDescription
${meta.<metakey>} Valeur de la clé méta.

Remarque : si <metakey> n'extrait aucune valeur, la chaîne vide ("") est imprimée. 
Par défaut, Reporting Engine affiche toutes les valeurs répétées pour une clé méta. Si vous ne souhaitez pas répéter les métavaleurs dans la sortie d'alerte, activez l'option « removeRepeatedMetaValue » en accédant à Configuration > Configuration des alertes disponible pour le Reporting Engine sous Services - Configuration > vue Explorer.
Par exemple, dans une session HTTP, la valeur de l'action s'affiche sous la forme get, get, put, put, post, get. Lorsque cette option est activée, la valeur s'affiche en tant que get, put, post.

${meta.time} / ${meta.time:<time_format>} ${meta.time} - La durée de la session s'affiche au format « aaaa-MMM-jj HH:mm:ss ».
${meta.time:<time_format>} - La durée de la session s'affiche au format horaire personnalisé défini par l'utilisateur. Par exemple, ${meta.time:dd-MM-yyyy HH:mm:ss}.
Pour plus d'informations sur les formats horaires pris en charge, consultez  http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.html

Remarque : si le format horaire fourni par l'utilisateur n'est pas valide, le format horaire par défaut sera utilisé. Le format horaire par défaut est "aaaa-MMM-jj HH:mm:ss".

${name}      Nom de l'alerte défini dans Reporting Engine.
${count}     Nombre de fois qu'une alerte est détectée sur une période donnée. (Par défaut, il s'agit d'une minute)
${nw.host}     Nom d'hôte NetWitness tel qu'il est configuré dans Reporting Engine.
${device.id}      ID de périphérique NetWitness de la source de données.

Notification d'alerte comporte quatre onglets :

Onglet Enregistrement

Utilisez l'onglet Enregistrement pour définir la fréquence d'enregistrement d'une alerte et le message que vous souhaitez générer lorsqu’une alerte est générée.

volet de l’enregistrement d’alerte

Le tableau suivant répertorie les champs de l'onglet Enregistrement et leur description.

                     
ChampDescription
ExécuterFréquence à laquelle enregistrer une alerte.
  • Une fois - N'enregistre l'alerte qu'une seule fois selon la fréquence de l'alerte, quel que soit le nombre de fois où l'alerte est générée. NetWitness enregistre le nombre de fois où l'alerte a été générée effectivement pendant cet intervalle dans le fichier log. Ainsi, les analystes peuvent savoir combien de fois l'alerte a enregistré une correspondance sur un jour spécifique.
  • À chaque événement - Enregistre l'alerte à chaque génération. Si une alerte est générée un nombre illimité de fois pendant une journée, cette alerte est considérée comme parasite et elle est ignorée, sauf dans le cas d'alertes qui requièrent une surveillance continue comme les modifications de configuration réseau et les attaques DDOS.

Remarque : sélectionnez le paramètre À chaque événement à partir de la liste déroulante Exécuter pour les actions de sortie SNMP et Syslog. 

CorpsCorps du message.
Modèle de corps(Facultatif) Si les modèles ont été définis, sélectionnez un modèle pour le message d'alerte. 

Onglet SMTP

L'onglet SMTP vous permet de définir la sortie SMTP (e-mail) pour cette alerte.

volet d’alerte SMTP

Le tableau suivant répertorie les champs de l'onglet SMTP et leur description.

                             
ChampDescription
ExécuterFréquence d’envoi un message électronique de l’alerte.
  • Une fois - Envoie uniquement un e-mail par intervalle si l'alerte se déclenche dans cet intervalle, peu importe le nombre de déclenchements d'alerte.
  • À chaque événement - Envoie un e-mail avec l'alerte pour chaque événement pour lequel les critères de règles sont réunis.
ÀAdresses e-mail auxquelles envoyer cette alerte. 
ObjetObjet du message électronique.
CorpsCorps du message.
Modèle de corps(Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message SMTP que vous pouvez utiliser tel quel ou modifié.

Onglet SNMP

L'onglet SNMP vous permet de définir la sortie SNMP pour l'alerte.

volet d’alerte SNMP
Le tableau suivant répertorie les différents champs dans l'onglet SNMP et leur description.

                     
ChampDescription
ExécuterFréquence d’envoi d’une sortie SNMP pour une alerte.
  • Une fois - Envoie un message SNMP avec un e-mail par intervalle si l'alerte est générée dans cet intervalle, peu importe le nombre de générations d'alerte.
  • À chaque événement - Envoie un message SNMP avec l'alerte pour chaque événement pour lequel les critères de règles sont réunis.
CorpsCorps du message.
Modèle de corps(Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message SNMP à utiliser tel quel ou modifié.

Onglet Syslog

L'onglet Syslog vous permet de définir la sortie du message Syslog pour cette alerte.

volet d’alerte syslog

Cliquez sur pour ajouter une configuration Syslog à une alerte. La boîte de dialogue Nouvelle configuration Syslog s'affiche :

nouvelle configuration Syslog
Le tableau ci-dessous décrit les champs de la boîte de dialogue Nouvelle configuration Syslog :

                                 
ChampDescription
Configurations SyslogIndique la configuration Syslog de la vue Configuration de périphérique située dans le panneau Configuration Syslog.
ExécuterNombre de fois que vous souhaitez envoyer une sortie Syslog pour l'alerte.
  • Une fois - Envoie une sortie Syslog avec un e-mail par intervalle. Une l'alerte est générée dans cet intervalle quel que soit le nombre de générations d'alerte.
  • À chaque événement - Envoie une sortie Syslog avec l'alerte pour chaque événement pour lequel les critères de règles sont réunis.
SiteType de programme qui consigne le message. Syslog, processus, messagerie et noyau sont des exemples de types de programmes.
GravitéNiveau de gravité des alertes générées.
  • Urgence
  • Alerte
  • Critique
  • Erreur
  • Avertissement
  • Avis
  • Information
  • Débogage
CorpsCorps du message.
Modèle de corps(Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message Syslog à utiliser tel quel ou modifié.
You are here
Table of Contents > Références aux alertes > Panneau Créer/Modifier une alerte

Attachments

    Outcomes