Filter sind ein integraler Bestandteil von EventSentry und ermöglichen es Ihnen, Regeln dafür zu erstellen, welche Ereignisse an welche Benachrichtigungen weitergeleitet werden. Die einfachste EventSentry-Konfiguration würde zum Beispiel aus einem einzigen Filter bestehen, der alle Ereignisse von allen Protokollen in eine Datenbank schreibt.
Liste der Filter im Ereignisprotokoll-Paket "Compliance".
Filter-Verarbeitung
Da Exclude-Filter immer immer vor Include-Filtern verarbeitet werden spielt es keine Rolle, ob sich ein Ausschlussfilter vor oder nach einem Einschlussfilter - oder in einem anderen Paket befinden.
Include-Filter innerhalb eines Pakets werden weiterhin sequentiell verarbeitet - von oben nach unten. Die Reihenfolge der Include-Filter ist jedoch in den meisten Szenarien irrelevant, es sei denn, Sie verwenden erweiterte Funktionen wie Schwellenwerte und "Bestätigung erforderlich".
Die einzige Ausnahme sind "Catch-All"-Pakete und Pakete, die so konfiguriert sind, dass sie Ausschlussfilter aus anderen Paketen ignorieren, siehe Paketoptionen für weitere Informationen.
Ein Filter kann entweder ein Include-Filter sein (und Ereignisse an eine Benachrichtigung weiterleiten) oder ein Exclude-Filter (und verhindern, dass Ereignisse an eine Benachrichtigung weitergeleitet werden):
Exclude Filter ("Ausschlussfilter")
Ausschlussfilter verhindern, dass bestimmte Ereignisse verarbeitet werden, und können entweder auf alle Aktionen oder nur auf eine bestimmte Aktion angewendet werden. Dies gibt Ihnen die Möglichkeit, Ereignisse nur für einige Aktionen (z.B. E-Mail) auszuschließen, während alles für eine andere Aktion protokolliert wird (Ereignisprotokoll-Konsolidierung). Ausschlussfilter werden immer vor Einschlussfiltern verarbeitet.
Es spielt keine Rolle, in welches Ereignisprotokollpaket ein Ausschlussfilter platziert wird, Ausschlussfilter werden immer ausgewertet, bevor Einschlussfilter verarbeitet werden. Die einzige Ausnahme sind Ereignisprotokollpakete, die so konfiguriert sind, dass Ausschlussfilter aus anderen Paketen ignoriert werden.
Ausschlussfilter werden in der Filterliste mit einer roten Schaltfläche "Entfernen" angezeigt .
Include Filter ("Inklusionsfilter")
Verarbeitet Ereignisse die ihren Filterkriterien entsprechen, und leiten diese an die konfigurierte Aktion (oder alle Aktionen) weiter. Je mehr Felder Sie in einem Filter einschränken (z.B. Quelle, Kategorie, ID ...), desto weniger Ereignisse werden diesem Filter entsprechen.
Sie können auch Schwellenwerteinstellungen auf Include-Filter anwenden oder Include-Filter als Zusammenfassungsbenachrichtigungsfilter konfigurieren.
Einschlussfilter sind in der Filterliste mit einem blauen Pfeil gekennzeichnet .
Filter für wiederkehrende Ereignisse
Filter für wiederkehrende Ereignisse erscheinen wie reguläre Include-Filter, leiten Ereignisse jedoch nicht wirklich an eine Benachrichtigung weiter. Stattdessen schreiben wiederkehrende Ereignisfilter einen Fehler in das Anwendungsereignisprotokoll, wenn ein Ereignis während einer bestimmten Zeitspanne nicht im Ereignisprotokoll erscheint. Beispielsweise kann ein Filter für wiederkehrende Ereignisse Sie benachrichtigen, wenn ein Sicherungsauftrag kein Erfolgsereignis in das Ereignisprotokoll geschrieben hat. Weitere Informationen finden Sie unter Filter für wiederkehrende Ereignisse.
Filter-Eigenschaften
Sie können Ereignisse auf der Grundlage jeder Eigenschaft eines Ereignisprotokolls filtern, einschließlich
• Ereignisprotokoll (einschließlich benutzerdefinierter Ereignisprotokolle)
• Ereignis-Schweregrad
• Ereignis-Quelle
• Ereignis-Kategorie
• Ereignis-ID
• Ereignis Benutzer
• Ereignis-Computer
• Beschreibung der Veranstaltung
• Tag/Stunde
Weitere Informationen finden Sie unter Filtereigenschaften. Sie können auch Ereigniseigenschaften aus einer von EventSentry gesendeten E-Mail oder einem von der Windows-Ereignisanzeige kopierten Ereignis in den allgemeinen Filterdialog einfügen.