Introduction
Surveillez le journal des événements Windows pour des ID d'événement spécifiques et alertez lorsqu'ils apparaissent trop fréquemment.
ℹ️ REMARQUE :Le moniteur du journal des événements ne supporte actuellement que Windows.
Moniteur du journal des événements
Level surveille le journal des événements Windows sur les appareils couverts. Occurrences compter dans la Duration fenêtre, une alerte se déclenche.
La combinaison des occurrences et de la durée est ce qui la rend utile.
Configuration du moniteur du journal des événements
Ouvrez la politique de moniteur cible, puis ajoutez ou modifiez un moniteur du journal des événements. Modifier le moniteur panneau s'ouvre à droite.
Nom et type
Entrez un nom dans leNom champ. Incluez l'ID d'événement et ce qu'il représente.
Set Type to Event log.
Gravité
Set Gravitébasé sur ce que les ID d'événement représentent dans le contexte:
Information
Avertissement
Critique
Urgence
Event IDs
Entrez un ou plusieurs ID d'événement Windows à surveiller.
💡 CONSEIL :Vous pouvez surveiller plusieurs ID d'événement connexes dans un seul moniteur.
Log Name
Entrez le nom du journal des événements Windows à surveiller.
Securityévénements de sécurité et de connexionSystemévénements au niveau du système d'exploitation, matériel, pilotesApplicationévénements générés par l'application
Source
Source est optionnel. Entrez un nom de source pour limiter le moniteur.
Levels
Sélectionnez un ou plusieurs niveaux du journal des événements.
Information
Avertissement
Error
Critique
Verbose
Cliquez sur la liste déroulante pour ajouter des niveaux. × à côté d'une puce de niveau pour la supprimer. × à droite du champ pour effacer toutes les sélections.
ℹ️ REMARQUE : Les niveaux du journal des événements Windows et la gravité des alertes Level. Levels champ filtre les entrées du journal des événements comptabilisées;Gravitédéfinit la priorité de l'alerte que Level crée.
Occurrences
Occurrences définit le nombre d'événements correspondants qui doivent être détectés.
Duration
Duration définit la fenêtre de temps pour compter les occurrences. Minutes or Hours ; le curseur et les flèches vers le haut/bas définissent la valeur.
💡 CONSEIL :Faites correspondre la fenêtre de durée au modèle de menace.
Résolution automatique
Résoudre automatiquement l'alerte si elle n'est plus applicable est désactivé par défaut pour les moniteurs du journal des événements.
Correction
Attachez une ou plusieurs automatisations à exécuter lorsque ce moniteur se déclenche.
Click in the Correction champ et sélectionnez une automatisation.
Pour en ajouter plus, cliquez+ Ajouter une autre correction .
Pour en supprimer un, cliquez sur le× next to it.
ℹ️ REMARQUE :Les remediations s'exécutent lorsque l'alerte est créée.
Notifications
Envoyer des notifications lors de la création d'une alerte les destinataires de la politique reçoivent un e-mail lorsque l'alerte se déclenche
Envoyer des notifications lors de la résolution de l'alerte les destinataires de la politique reçoivent un e-mail lorsque l'alerte se résout
Les destinataires sont gérés au niveau de la politique de moniteur. Destinataires section.
Enregistrement du moniteur
Click Mettre à jour le moniteur pour enregistrer les modifications, ouAjouter un moniteurlors de l'ajout d'un nouveau.
FAQ
Qui peut créer et modifier les moniteurs ?Les techniciens ayant accès à la politique de moniteur pertinente.Espace de travail → Autorisations .
Où puis-je trouver les ID d'événement pour les événements que je veux surveiller? L'Observateur d'événements Windows est le moyen le plus rapide.
Puis-je surveiller le même ID d'événement avec différents seuils d'occurrences? Oui — créez des moniteurs séparés pour chaque seuil.
Le moniteur du journal des événements fonctionne-t-il sur macOS ou Linux? Non — le journal des événements Windows est une fonctionnalité exclusive de Windows.
Que se passe-t-il pour les alertes du journal des événements ouvertes si je supprime le moniteur? Les alertes existantes restent en place.