ESM: Alarmas y notificaciones

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

El módulo Origen de evento en NetWitness Platform muestra las alarmas y envía notificaciones en función de las alarmas que se activan.

Para las alarmas, considere lo siguiente:

Hay dos tipos de alarmas: automática (se activa cuando se superan o no se cumplen las bases) y manual (se configura con umbrales).

  • Automática: Si activa las alertas automáticas, el sistema informa las alarmas de todos los orígenes de eventos que están por encima o por debajo de su base normal en la cantidad requerida. Puede especificar el porcentaje en exceso/insuficiente en la Pestaña Ajustes de configuración.
  • Manual: El sistema alerta cada vez que un origen de eventos supera los umbrales de la política para los grupos asociados.
  • Las alarmas aparecen en la interfaz del usuario, en la Pestaña Alarmas.

Para las notificaciones, considere lo siguiente:

  • Para recibir notificaciones manuales (a través de correo electrónico, SNMP o Syslog):

    • Especifique una política para un grupo de orígenes de eventos.
    • Configure un umbral alto o bajo (o ambos).
    • Habilite la política.
  • Para recibir notificaciones automáticas (base):

    • Las alertas de base deben estar activadas. Esta opción está habilitada de manera predeterminada.
    • Debe habilitar las notificaciones desde el monitoreo automático. Consulte Configuración de alertas automáticas para obtener detalles.
    • El origen de eventos que activa la alarma debe estar en un grupo que tenga habilitada una política.
  • Si tiene activada la alerta automática y ha configurado una política y un umbral para un grupo:

    • Si el origen de evento queda fuera de su base, verá una alerta automática y recibirá una notificación.
    • Si el origen de evento queda fuera de sus umbrales, verá una alerta manual y recibirá una notificación.
    • Si se producen ambos escenarios (se supera o no se cumple el umbral y la base), recibirá dos alarmas (visibles en la pestaña Alarmas) y una notificación que indica ambas alarmas. Esa notificación indicará el origen de eventos que emitió dos veces la alarma; una de ellas indicará que se trató de una alarma automática.

Notificaciones por correo electrónico grandes

Si configuró notificaciones por correo electrónico, tenga presente que el correo electrónico puede crecer mucho de acuerdo con la cantidad de orígenes de eventos en la notificación.

Si los orígenes de eventos en el estado de alarma superan la cantidad de 10,000, la notificación por correo electrónico incluirá únicamente los detalles de los primeros 10,000 y un conteo total. Esto es para asegurarse de que el correo electrónico se entregue correctamente.

En los siguientes ejemplos se muestra un umbral bajo activado para dos grupos de orígenes de eventos y un umbral alto activado de tres grupos de orígenes de eventos.

Event Source Monitoring Notification displays a low threshold for two event sources.

Event Source Monitoring Notification displays a high threshold for more than 50 event sources.

Umbrales superior e inferior activados

Puede haber ocasiones en que se activen las alarmas superior e inferior para un grupo de orígenes de eventos específico. La manera más fácil de saber cuándo sucede esto es leer el encabezado del correo electrónico, el cual establece claramente si se activan ambos umbrales, como se muestra en esta imagen:

Event Source Monitoring Notification high and low thresholds are triggered on ciscopix group.

En este ejemplo, el encabezado señala “Se activó el umbral alto y el umbral bajo en el grupo ciscopix”. Para ver los detalles de los orígenes de eventos del umbral inferior, puede ser necesario desplazarse hacia abajo hasta pasar cientos, o incluso miles, de los orígenes de eventos del umbral superior.

You are here
Table of Contents > Acerca de la administración de orígenes de eventos > Alarmas y notificaciones

Attachments

    Outcomes