Ad Widget

Collapse

trigger по evetid (windows)

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • adm
    Junior Member
    • Sep 2014
    • 7
    #1

    trigger по evetid (windows)

    Добрый день, как правило создать триггер по evetid?

    у меня сейчас срабатывает при каждом получении события с evetid 1102

    а надо чтобы срабатывал триггер когда событие с evetid 1102 генерируется 5 раз в течении 6ти минут

    помогите пожалуйста
    Tags: trigger, trigger alert logs
    • enzorik
      Member
      • Feb 2014
      • 37
      #2
      Добрый день.
      Попробуйте следующим образом (только item и шаблон свой укажите):

      {Template Name:eventlog[Security,,,,1102,,skip].logeventid(1102)}=1 &
      {Template Name:eventlog[Security,,,,1102,,skip].count(360)}>5 &
      {Template Name:eventlog[Security,,,,1102,,skip].nodata(6m)}=0
      Last edited by enzorik; 27-09-2014, 08:39.

        Comment

        • adm
          Junior Member
          • Sep 2014
          • 7
          #3
          Originally posted by enzorik
          Добрый день.
          Попробуйте следующим образом (только item и шаблон свой укажите):

          {Template Name:eventlog[Security,,,,1102,,skip].logeventid(1102)}=1 &
          {Template Name:eventlog[Security,,,,1102,,skip].count(360)}>5 &
          {Template Name:eventlog[Security,,,,1102,,skip].nodata(6m)}=0
          я сделал так: {Login:eventlog[Security,,,,4625,].count(2m,0)}>3
          если событие больше 3 раза в течении 2м то выдавать алерт. правильно?

            Comment

            • enzorik
              Member
              • Feb 2014
              • 37
              #4
              Originally posted by adm
              я сделал так: {Login:eventlog[Security,,,,4625,].count(2m,0)}>3
              если событие больше 3 раза в течении 2м то выдавать алерт. правильно?
              Я не уверен, что так будет работать.
              1. Первый параметр должен быть в секундах, то есть 120 вместо 2m.
              2. Если учесть 2 параметр, триггер будет искать данные равные 0 за последние 2 минуты.

              Если вам нужно определить событие больше 3 раза в течении 2м, тогда напишите так:

              Code:
              Login:eventlog[Security,,,,4625,].count(120)}>3

                Comment

                Previous template Next
                Working...