Die Filterverkettung ermöglicht es, eine Aktion auszulösen, wenn zwei oder mehr Ereignisse innerhalb eines konfigurierbaren Zeitraums auf demselben Host auftreten. Alle Include-Filter, die Teil des Pakets sind, nehmen an der Filterverkettung teil. Wenn alle Filter übereinstimmen, protokolliert der EventSentry-Agent das Ereignis 10650 mit relevanten Details im Ereignisprotokoll.
Den Ereignisprotokollfiltern in einem Filterverkettungspaket sind keine Aktionen zugeordnet; folglich muss ein separater Ereignisprotokollfilter (in einem anderen Paket) erstellt werden, um eine Aktion auszulösen. |
Erforderliche Sequenz
Standardmäßig können Filter Ereignisse in beliebiger Reihenfolge zuordnen, um die Filterkette zu vervollständigen. Die Aktivierung der Option "Require Sequence" erfordert, dass die Ereignisse mit den Filtern in derselben Reihenfolge übereinstimmen, wie sie im Ereignisprotokollpaket angezeigt wird.
Bei der Verwendung einer Sequenz empfiehlt es sich, entweder keine Ausschlussfilter im Paket zu haben oder Ausschlussfilter UNTER allen Einschlussfiltern zu positionieren. Andernfalls ist das Verhalten der Filterverkettungsfunktion undefiniert.
Auszeit
Der Zeitraum, in dem alle Filter des Ereignisprotokollpakets mit einem Ereignis übereinstimmen müssen.
Verknüpfung von Ereignissen durch Einfügungszeichenketten
Um sicherzustellen, dass Ereignisse aus nicht zusammenhängenden Aktivitäten nicht dasselbe Filterverkettungsobjekt vervollständigen, können die Filter eines Filterverkettungspakets so eingestellt werden, dass eine oder mehrere Einfügungstexte übereinstimmen müssen. Eine ähnliche Funktionalität steht auch für Schwellenwertfilter zur Verfügung.
Einfügungstexte werden über die Schaltfläche "Ketteneinstellungen" konfiguriert, die im Filterdialog anstelle der Schaltfläche "Erweitert" angezeigt wird. Wenn in zwei oder mehr Filtern mindestens ein Einfügetext konfiguriert ist, extrahiert EventSentry den Laufzeitwert der Einfügetexte aus dem Ereignis und speichert sie für die Dauer der Filterverkettung.
Die Werte der extrahierten Einfügetexte müssen für alle Filter übereinstimmen, die mindestens einen Einfügetext konfiguriert haben. Nicht alle Filter im Paket müssen einen Einfügetext konfiguriert haben. Diese Filter werden immer als Übereinstimmung betrachtet, solange sie die Filterkriterien erfüllen.