Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’activité Surveiller le journal des événements appelle des runbooks lorsque de nouveaux événements qui correspondent à un filtre que vous spécifiez s’affichent dans le journal des événements Windows. Vous pouvez utiliser l’activité Surveiller le journal des événements pour exécuter des runbooks qui escaladent, examinent ou corrigent les problèmes en réponse aux événements générés dans le journal des événements Windows. Par exemple, un échec d’audit de sécurité apparaît dans le journal de sécurité qui envoie un e-mail à un administrateur pour les informer du problème. Le deuxième mode appelle votre runbook lorsque la taille du journal des événements Windows atteint la taille maximale autorisée.
Configurer l'activité Surveiller le journal des événements
Avant de configurer l’activité Surveiller le journal des événements, vous devez déterminer les éléments suivants :
Nom du journal des événements que vous surveillez
Détails sur les événements qui déclencheront le runbook
Pour configurer l’activité Surveiller le journal des événements, procédez comme suit :
Dans le volet Activité, faites glisser une activité Surveiller le journal des événements vers le runbook.
Double-cliquez sur l’icône d’activité Surveiller le journal des événements pour ouvrir la boîte de dialogue Propriétés.
Configurez les paramètres sous l’onglet Détails et sous l’onglet Avancé . Les instructions de configuration sont répertoriées dans les tableaux suivants.
Onglet Détails
| Paramètres | Instructions relatives à la configuration |
|---|---|
| Ordinateur | Tapez le nom de l’ordinateur qui stocke le journal des événements Windows que vous souhaitez surveiller. Vous pouvez également rechercher l’ordinateur à l’aide du bouton points de suspension (...). Le serveur runbook qui exécute cette activité doit disposer des droits appropriés pour surveiller le journal des événements Windows sur cet ordinateur. |
| Journal des événements | Tapez le nom du journal des événements Windows que vous surveillez. Vous pouvez également consulter le journal des événements Windows à l’aide du bouton d'ellipse (...). Windows inclut trois journaux d’événements par défaut : application, sécurité et système. L’ordinateur auquel vous vous connectez peut contenir d’autres journaux d’événements. |
| Filtres de messages | La liste affiche tous les filtres qui ont été configurés pour filtrer les événements générés dans le journal que vous avez spécifiés. Pour modifier ou supprimer un élément dans la liste, sélectionnez-le, puis cliquez sur Modifier ou Supprimer le cas échéant. Pour ajouter un filtre d’événements 1. Cliquez sur Ajouter pour ouvrir la boîte de dialogue Propriétés du filtre. 2. Sélectionnez la propriété de l’entrée du journal des événements sur laquelle vous filtrez. Vous pouvez filtrer par rapport à la catégorie, à la description, à l’ID d’événement, à la source et au type qui est attribué à l’événement. 3. Spécifiez la relation que vous utilisez pour comparer la valeur de la propriété d’événement à la valeur de filtre. Si vous sélectionnez Catégorie, Description, Type et Source , vous pouvez spécifier Contains ou Ne contient pas. Pour l’ID d’événement, vous pouvez spécifier est différent, est égal à, est inférieur à, est inférieur ou égal, est supérieur à, et est supérieur ou égal. 4. Spécifiez la valeur de filtre par rapport à laquelle vous comparez la propriété d’événement. Pour Category, Description et Source, entrez la chaîne contenue dans la propriété. Pour l’ID d’événement, entrez la valeur numérique qui sera comparée à l’ID de l’événement. Pour la condition Type, sélectionnez le type d’événement spécifique que vous souhaitez filtrer, par exemple erreur, avertissement, informations, audit de réussite ou audit d’échec. |
Données publiées
Le tableau suivant répertorie les éléments de données publiés.
| Élément | Descriptif |
|---|---|
| Nom du journal des événements | Nom du journal des événements Windows qui est surveillé. |
| Ordinateur | Nom de l’ordinateur sur lequel le journal des événements Windows est stocké. |
| Description de l’entrée de journal | Texte contenu dans la description de l’entrée du journal des événements. |
| ID de l'entrée de journal | L'ID de l'entrée du journal des événements. |
| Source de l’entrée de journal | Source de l'événement. |
| Ordinateur de l'entrée de journal | Ordinateur sur lequel l’événement s’est produit. |
| Type d'entrée de log | le type d’événement ; |
| Date de l'entrée de journal | Date de journalisation de l’événement. |
| Heure de l'entrée de journal | Heure de journalisation de l’événement. |