El panel Crear/modificar alerta es un panel de la vista Lista de alertas. Este panel permite crear o modificar una alerta según sea necesario.
Flujo de trabajo
¿Qué desea hacer?
*Puede realizar estas tareas aquí.
Temas relacionados
Descripción general de alertas
Configurar una alerta
Vista rápida
La siguiente figura es un ejemplo con funciones importantes etiquetadas.
| 1 | Haga clic en Monitor > Informes para ver la pestaña Administrar. |
| 2 | Haga clic en Alertas para abrir la vista Alerta. |
| 3 | Haga clic en  para navegar al panel Crear/modificar alerta. |
| 4 | Habilite la alerta, navegue a la regla y seleccione un origen de datos para la alerta. |
| 5 | Escriba una descripción breve de una alerta. |
| 6 | Defina los métodos de notificación de las alertas (REGISTRO, SMTP, SNMP y Syslog) cuando se cumpla una condición de alerta. |
El panel Crear/modificar alerta tiene las siguientes secciones:
- Definición de alerta
- Descripción de alerta
- Notificación de alerta
Definición de alerta
En la siguiente tabla se describen los campos de Definición de alerta:
| Habilitar | - Habilitar activa la alerta. La alerta se ejecuta y envía acciones de salida a cada minuto (de forma predeterminada) cuando se cumplen sus condiciones.
- Deshabilitar deshabilita la alerta. La alerta no se ejecuta y no envía acciones de salida.
|
| Base de la regla | Haga clic en Navegar para mostrar el panel Biblioteca de reglas, en el cual selecciona la regla que es la base de esta alerta.
Debe seleccionar una regla que tenga una cláusula “where” única para una alerta. |
| Orígenes de datos | Especifica el origen de datos de una alerta. |
| Migrar a decodificadores | Envía la cláusula “where” de la regla de alerta a los Decoders conectados al origen de datos de NWDB seleccionado. Esta es la opción recomendada que se usa para crear alertas de RE, ya que las condiciones de alerta se comprueban en el Decoder y las consultas de alerta serán comparativamente más rápidas en NWDB.
Si deselecciona esta opción, la cláusula “where” de la regla de alerta se consultará contra el origen de datos de NWDB seleccionado. Según la complejidad y los metadatos en la cláusula “where” de la regla, podría ser más lento procesar las consultas de la alerta en NWDB. Nota: NetWitness no envía reglas al Decoder de forma automática. |
Descripción de alerta
En la tabla siguiente se describen los campos de Descripción de alerta:
| Descripción | Describe la alerta. |
| Crear | Crea una alerta. (Se muestra esta opción cuando se crea una alerta.) |
| Guardar | Guarda los cambios realizados a la alerta. (Se muestra esta opción cuando se modifica una alerta.) |
Notificación de alerta
Notificación de alerta permite definir la acción de notificación que realiza NetWitness cuando se genera una alerta, por ejemplo, la alerta se registra o se envía mediante una de las acciones de salida definidas. Las acciones de salida son Protocolo simple de transferencia de correo (SMTP), Protocolo simple de administración de redes (SNMP) o mensaje de syslog.
De manera predeterminada, Notificación incluye la pestaña Registro, la que se usa para crear una alerta. El ícono junto a la pestaña Registro permite seleccionar el tipo de notificación en la lista desplegable para la salida que se especificará para la alerta: SMTP, SNMP o syslog.
Según el tipo de notificación seleccionado, la sección Notificación se completa con texto predefinido que contiene variables que agregan metadatos apropiados para la alerta. En Reporting Engine, estas variables se reemplazan por valores reales. En la siguiente tabla se indican las variables y sus descripciones.
| ${meta.<metakey>} | El valor de clave de metadatos. Nota: Si <metakey> no recuperó ningún valor, se imprime una cadena vacía (“”).
De forma predeterminada, Reporting Engine muestra todos los valores repetidos para una clave de metadatos. Si no desea que los valores de metadatos se repitan en la salida de la alerta, habilite la opción “removeRepeatedMetaValue”, para lo cual debe navegar a Configuración > Configuración de alerta disponible para Reporting Engine en la vista Configuración de servicios > Explorar.
Por ejemplo, en una sesión de HTTP, el valor correspondiente a la acción se muestra como get, get, put, put, post, get. Cuando esta opción está habilitada, el valor se muestra como get, put, post.
|
| ${meta.time} / ${meta.time:<time_format>} | ${meta.time}: La hora de la sesión se imprime en formato “aaaa-MMM-dd HH:mm:ss”.
${meta.time:<time_format>} : La hora de la sesión se imprime en el formato de hora personalizado definido por el usuario. Por ejemplo, ${meta.time:dd-MM-yyyy HH:mm:ss}.
Para obtener más información sobre los formatos de hora compatibles, consulte http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.htmlNota: Si el formato de hora que proporciona el usuario no es válido, se utilizará el formato de hora predeterminado. El formato de hora predeterminado es “aaaa-MMM-dd HH:mm:ss”. |
| ${name} | El nombre de alerta definido en Reporting Engine. |
| ${count} | La cantidad de veces que se detecta una alerta en un marco de tiempo determinado. (De manera predeterminada, es un minuto) |
| ${nw.host} | El nombre de host de NetWitness como está configurado en Reporting Engine. |
| ${device.id} | El ID del dispositivo NetWitness del origen de datos. |
Notificación de alerta tiene cuatro pestañas:
Pestaña Registro
Use la pestaña Registro para definir la frecuencia de registro de una alerta y el mensaje que se generará cuando se active una alerta.
En la siguiente tabla se indican los campos de la pestaña Registro y su descripción.
| Ejecutar | La frecuencia con que se registra una alerta. - Una vez: Registra la alerta solo una vez en función del intervalo de la alerta sin importar la frecuencia con que se genere la alerta. NetWitness registra la cantidad de veces que la alerta se generó realmente durante ese intervalo en el archivo de registro, de forma que los analistas sepan cuántas veces la alerta registró una coincidencia en un día determinado.
- Cada evento: Registra la alerta cada vez que se genera. Si una alerta se genera un número ilimitado de veces durante un día, se trata a menudo como ruido y se puede omitir, salvo en caso de alertas que requieren un monitoreo continuo, como los cambios en la configuración de red y los ataques DDoS.
Nota: Seleccione la configuración Cada evento en la lista desplegable Ejecutar para las acciones de salida de SNMP y syslog. |
| Cuerpo | El cuerpo del mensaje. |
| Plantilla de cuerpo | (Opcional) Si se definieron plantillas, seleccione una para el mensaje de la alerta. |
Pestaña SMTP
La pestaña SMTP le permite definir la salida SMTP (correo electrónico) de esta alerta.
En la siguiente tabla se indican los campos de la pestaña SMTP y su descripción.
| Ejecutar | La frecuencia con que se envía un mensaje de correo electrónico para la alerta. - Una vez: Envía solo un correo electrónico por intervalo, si una alerta se genera en ese intervalo, independientemente de cuántas alertas se generan.
- Cada evento: Se envía un correo electrónico con la alerta por cada evento en el cual se cumplen los criterios de la regla.
|
| Para | Las direcciones de correo electrónico a las que se enviará esta alerta. |
| Asunto | El asunto del mensaje de correo electrónico. |
| Cuerpo | El cuerpo del mensaje. |
| Plantilla de cuerpo | (Opcional) Si se definieron plantillas, seleccione una para el mensaje de SMTP, la cual puede utilizar tal como está o modificar. |
Pestaña SNMP
La pestaña SNMP permite definir la salida SNMP de la alerta.
En la siguiente tabla se indican los diversos campos de la pestaña SNMP y su descripción.
| Ejecutar | La frecuencia con que se envía una salida SNMP para una alerta. - Una vez: Se envía un mensaje SNMP junto con un correo electrónico por intervalo, si una alerta se genera en ese intervalo, independientemente de cuántas alertas se generan.
- Cada evento: Se envía un mensaje SNMP con la alerta por cada evento en el cual se cumplen los criterios de la regla.
|
| Cuerpo | El cuerpo del mensaje. |
| Plantilla de cuerpo | (Opcional) Si se definieron plantillas, seleccione una para el mensaje de SNMP, la cual puede utilizar tal como está o modificar. |
Pestaña Syslog
La pestaña Syslog le permite definir la salida de mensaje syslog de esta alerta.
Haga clic en 
para agregar la configuración de syslog a una alerta. Aparece el cuadro de diálogo Nueva configuración de syslog:
En la siguiente tabla se describen los campos del cuadro de diálogo Nueva configuración de syslog:
| Configuraciones de syslog | La configuración de syslog de la vista Configuración de dispositivo, que se encuentra en el panel Configuración de syslog. |
| Ejecutar | La cantidad de veces que desea enviar una salida de syslog para la alerta. - Una vez: Se envía una salida de syslog junto con un correo electrónico por intervalo, si una alerta se genera en ese intervalo, independientemente de cuántas alertas se generan.
- Cada evento: Se envía una salida de syslog con la alerta por cada evento en el cual se cumplen los criterios de la regla.
|
| Funcionalidad | El tipo de programa que registra el mensaje. Algunos ejemplos del tipo de programa son syslog, demonio, correo y kernel. |
| Gravedad | El nivel de gravedad de la alerta que se generó. - Emergencia
- Alerta
- Crítica
- Error
- Advertencia
- Aviso
- Creación de informes
- Depurar
|
| Cuerpo | El cuerpo del mensaje. |
| Plantilla de cuerpo | (Opcional) Si se definieron plantillas, seleccione una para el mensaje de syslog, la cual puede utilizar tal como está o modificar. |
You are here
Table of Contents > Referencias de alertas > Panel Crear/modificar alerta
