Ereignisfilter-Definitionen

Mit Hilfe von Ereignisfiltern lassen sich bestimmte Instanzen eines Ereignisses auf der Grundlage der Ereignisparameter auswählen. Häufig enthalten Ereignisse neben der Ereignisnummer und der Nachricht zusätzliche Informationen. Diese Informationen können verwendet werden, um relevante von weniger relevanten Ereignissen zu unterscheiden. Durch die separate Definition von Ereignisfiltern können sie schnell in Regeln wiederverwendet werden, die eine Auswahl von Ereignissen erfordern.

Um einen Ereignisfilter zu erstellen, klicken Sie mit der rechten Maustaste auf den Unterknoten Ereignisfilter-Definitionen und wählen Sie Neu... aus dem Menü. Eine Liste der verfügbaren Ereignisse wird angezeigt. Wählen Sie das Ereignis aus, auf das dieser Filter angewendet werden soll, und klicken Sie OK.

Ein Dialogfeld mit Reitern wird angezeigt. Auf dem Reiter Allgemein kann im Feld Beschreibung ein Name für den Filter eingegeben werden - dies ist der Name, der in der Ereignisfilterliste angezeigt wird, sobald die Definition gespeichert ist.

Auf dem Reiter Filterkriterien wird festgelegt, wie die verschiedenen Instanzen des Ereignisses gefiltert werden sollen. Mit der Schaltfläche Hinzufügen können Kriterien und logische Operatoren zur Filterspezifikation hinzugefügt werden. Die verfügbaren Kriterien variieren je nach Ereignistyp, abhängig von den zusätzlichen Informationen, die mit dem Ereignis protokolliert werden. Die logischen Operatoren können verwendet werden, um mehrere Bedingungen für die Ereignisauswahl zu kombinieren.

Zur Beschreibung einer Bedingung beginnen Sie mit dem Hinzufügen eines Operators. Die folgenden Operatoren sind verfügbar:

  • UND: Alle mit diesem Operator verbundenen Kriterien müssen übereinstimmen

  • ODER: Mindestens eines der mit diesem Operator verbundenen Kriterien muß übereinstimmen

  • N: Mindestens n Kriterien der aufgeführten (mehr als n) mit diesem Operator verbundenen Kriterien müssen übereinstimmen. Die Zahl n wird beim Hinzufügen des Operators ausgewählt.

Um ein Kriterium mit einem Operator zu verknüpfen, wählen Sie den Operator in der Liste aus, klicken Sie auf Hinzufügen und wählen Sie Kriterium. Wählen Sie aus der angezeigten Liste der Ereignisparameter einen aus. Im nächsten Dialogfeld wird das Kriterium vervollständigt, indem ein Vergleichs- oder Übereinstimmungsoperator und ein oder mehrere Wert(e) zum Vergleich ausgewählt werden. Um das Kriterium zur Filterbeschreibung hinzuzufügen, klicken Sie auf OK.

Sie können Operatoren und Bedingungen ändern, indem Sie sie auswählen und auf die Schaltfläche Bearbeiten klicken.

Die Registerkarten Computer, Netzwerke und Zeiten können verwendet werden, um die Verwendung des Filters auf bestimmten Computern, die an bestimmte Netzwerke angeschlossen sind, während bestimmter Zeiträume zu aktivieren oder zu deaktivieren.

Speichern Sie die neue Filterdefinition. Sie wird der Liste der Ereignisfilterdefinitionen auf der rechten Seite hinzugefügt.

Mit der globalen Einstellung Ereignisfilter auswerten können Sie festlegen, ob Ereignisfilter oder Alerts ausgewertet werden.