Alle Felder im Abschnitt "Details" unterscheiden nicht zwischen Groß- und Kleinschreibung und unterstützen Platzhalter, Negation und mehrere durch Kommata getrennte Werte. Weitere Informationen finden Sie unter Erweiterte Textverarbeitung. |
Einfügen von Ereigniseigenschaften
Wenn Sie einen Filter auf der Grundlage eines Ereignisses erstellen, das Sie aus der Windows-Ereignisanzeige in die Zwischenablage kopiert oder per E-Mail erhalten haben, dann können Sie die wichtigsten Ereigniseigenschaften (Ereignisprotokoll, Ereignisschweregrad, Ereignisquelle, Kategorie, Ereignis-ID und Benutzername) automatisch in den Dialog einfügen, indem Sie auf ein beliebiges Feld klicken und STRG+V drücken.
Per E-Mail: Öffnen Sie die E-Mail in Ihrem E-Mail-Client und wählen Sie das Ereignis aus. Wenn die E-Mail nur ein Ereignis enthält, sollten Sie einfach STRG+A drücken können, andernfalls wählen Sie das Ereignis aus. Wenn die E-Mail mehrere Ereignisse enthält und Sie alle auswählen, wird nur das erste Ereignis verwendet. Wenn das Ereignis ausgewählt wurde, kopieren Sie es durch Drücken von STRG+C in die Zwischenablage.
Über die Windows Ereignisanzeige: Öffnen Sie das betreffende Ereignis und klicken Sie im Dialog auf die Schaltfläche Kopieren.
Wechseln Sie dann zur Verwaltungskonsole und erstellen Sie entweder einen neuen Filter oder öffnen Sie einen vorhandenen Filter. Klicken Sie auf ein beliebiges Feld (z.B. Kategorie) und klicken Sie CTRL+V. Alle wichtigen Ereigniseigenschaften mit Ausnahme der Ereignismeldung sollten nun ausgefüllt sein. Nach dem Einfügen der Schlüsseleigenschaften des Ereignisses können Sie den Filter weiter anpassen, indem Sie zwischen einem Include oder Exclue Filter wählen.
Achtung: Bitte beachten Sie, dass das Klicken mit der rechten Maustaste und die Auswahl von "Einfügen" mit dieser Funktion nicht funktioniert, Sie müssen auf STRG+V klicken. Wenn Sie also nur Text in ein Feld in diesem Dialogfeld einfügen möchten, klicken Sie mit der rechten Maustaste auf das Feld und wählen Sie "Einfügen".
Über JSON-Syntax: Kopieren Sie die gesamte JSON-Syntax in die Zwischenablage und klicken Sie im Ribbon auf die Schaltfläche "Apply Json Jule". Sie können die JSON-Syntax auch einfügen, indem Sie ein beliebiges Event Log Package auswählen und auf die Schaltfläche PASTE im Menüband klicken.
Detaillierte Feldbeschreibungen:
Name
Der Filtername wird von Ihnen gewählt und kann ein beliebiger Text mit maximal 128 Zeichen sein. Filternamen müssen eindeutig sein. Der Filtername darf keinen Backslash (\) enthalten.
Aktionen
Alle Aktionen, die benachrichtigt werden sollen (Filter einschließen) oder nicht benachrichtigt werden sollen (Filter ausschließen), wenn dieser Filter zutrifft.
Alle Aktionen auslösen
Markieren Sie dieses Kontrollkästchen, um alle konfigurierten Aktionen anstelle der ausgewählten Aktionen zu benachrichtigen.
Ereignis-Schweregrad
Wählen Sie aus, welchen Ereignistypen dieser Filter entsprechen soll. "Überwachung erfolgreich" und "Überwachung gescheitert" sind nur relevant, wenn Sie auch das Sicherheitsereignisprotokoll überwachen.
Protokoll
Wählen Sie aus, welche(s) Ereignisprotokoll(e) dieser Filter überwachen soll. Die Ereignisprotokolle "Verzeichnisdienst" und "Dateireplikation (Dienst)" sind nur auf Domänencontrollern mit Windows 2000 (und höher) nützlich. Die Ereignisprotokolle "DNS-Server" sind nur auf Windows 2000-Servern (und höher) nützlich, wenn ein DNS-Server installiert ist.
Ereignis-Quelle
Geben Sie an, welcher Quelle dieser Filter entsprechen soll. Wenn Sie keine Ereignisquelle angeben, wird der Filter mit jeder beliebigen Quelle übereinstimmen.
Ereignis-Kategorie
Geben Sie an, welcher Kategorie dieser Filter entsprechen soll. Wenn Sie keine Ereigniskategorie angeben, passt der Filter auf jede beliebige Kategorie.
Ereignis-ID
Geben Sie an, welcher Ereignis-ID dieser Filter entsprechen soll. Sie können mehrere Ereignis-IDs durch ein Komma trennen, zum Beispiel "3,5,118". Ereignisbereiche (z.B. 4000-500) und Negation (z.B. !4624) werden ebenfalls unterstützt.
Ereignis-IDs sind nur innerhalb einer Ereignisquelle eindeutig. Geben Sie daher immer eine Ereignisquelle an, wenn Sie eine Ereignis-ID angeben. Andernfalls kann es vorkommen, dass ein Filter auf andere Ereignisse trifft, die er nie zuordnen sollte. |
Benutzername
Geben Sie an, welchem Benutzernamen dieser Filter entsprechen soll. Dies ist derzeit nur für das Sicherheitsereignisprotokoll relevant. Benutzernamen werden vom Betriebssystem in der Form DOMAIN\Benutzername protokolliert.
Computer
Geben Sie an, welchem Computer dieser Filter entsprechen soll. Wenn Sie keinen Computernamen angeben, passt der Filter auf jeden Computer, auf den das Paket angewendet wird.
Wenn FQDN-Namen aktiviert sind, geben Sie den vollqualifizierten Hostnamen an (z. B. mailserver.mydomain.com), andernfalls geben Sie den NetBIOS-Namen an. |
Filter-Typ
•Include / Einschließen Das übereinstimmende Ereignis wird an die angegebene(n) Aktion(en) weitergeleitet
•Exclude / Ausschließen Das übereinstimmende Ereignis wird für die Weiterleitung an die angegebene(n) Aktion(en) blockiert (oder keine Aktionen, wenn "Alle Aktionen auslösen" angekreuzt ist)
Fortgeschrittene
Wenn Sie auf Erweitert klicken, wird das Dialogfeld für erweiterte Optionen angezeigt.
Inhaltsfilter
Verwenden Sie den Inhaltsfilter um anstelle oder zusätzlich zu den oben aufgeführten Eigenschaften nach einem bestimmten Text zu filtern. Klicken Sie auf die Schaltfläche +, um eine neue Bedingung zur Liste der Inhaltsfilter hinzuzufügen, oder wählen Sie eine Zeichenfolge aus und klicken Sie auf die Schaltfläche -, um sie aus der Liste zu entfernen.
Wenn Sie mehrere Inhaltsfilter angeben, dann können Sie diese entweder mit einem logischen ODER oder einem logischen UND verknüpfen. Inhaltsfilter werden von oben nach unten abgearbeitet.
ODER: Der Inhaltsfilter passt, sobald die erste Bedingung zutrifft.
UND: Der Inhaltsfilter trifft nur zu, wenn alle aufgeführten Bedingungen übereinstimmen.
Die Verwendung mehrerer Negationsfilter in Kombination mit einer ODER-Bedingung wird nicht empfohlen, da dies zu unerwarteten Ergebnissen führen kann. |
Anmerkungen
Sie können Filter mit persönlichen Beschreibungen versehen, die in Zukunft für Ihre Mitarbeiter oder für Sie selbst nützlich sein könnten.
Tages- und Zeitbeschränkungen
Einzelheiten finden Sie auf der Seite Tag & Stunde.