Добрый день!
В данный момент мониторятся блокировки учетных записей в AD по событию 4740 на контроллерах домена. Для этого создан элемент данных:
eventlog[Security,,,,4740] и триггер: {tempate-windows-events:eventlog[Security,,,,4740].logeventid(4740)}<>0
Сообщения о блокировках приходят, но не исчезали с дашборда, для этого я добавил в триггер еще одно выражение {tempate-windows-events:eventlog[Security,,,,4740].nodata(1m)}=0
Но мне хочется сделать так, когда я разблокирую учетку вручную, на кд сформируется событие с кодом 4767 и я хочу чтобы оно приходило как решение проблемы к ранее сработанному триггеру о блокировке, возможно ли это как реализовать в выражении триггера?
В данный момент мониторятся блокировки учетных записей в AD по событию 4740 на контроллерах домена. Для этого создан элемент данных:
eventlog[Security,,,,4740] и триггер: {tempate-windows-events:eventlog[Security,,,,4740].logeventid(4740)}<>0
Сообщения о блокировках приходят, но не исчезали с дашборда, для этого я добавил в триггер еще одно выражение {tempate-windows-events:eventlog[Security,,,,4740].nodata(1m)}=0
Но мне хочется сделать так, когда я разблокирую учетку вручную, на кд сформируется событие с кодом 4767 и я хочу чтобы оно приходило как решение проблемы к ранее сработанному триггеру о блокировке, возможно ли это как реализовать в выражении триггера?
Comment