Metrikdefinition konfigurieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Konfigurieren Sie eine Metrikdefinition, um die auf der Registerkarte „Ermittlung“ angezeigten, bereits vorhandenen CI-Metriken zu ändern oder neue zu erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_cimaf.sn_cimaf_admin

    Prozedur

    1. Navigieren zu Alle > Framework für Metriken und CI-Aktionen > Administration > Metrikdefinitionen.
      Die folgenden, bereits vorhandenen Metrikdefinitionstabellen werden angezeigt:
      • Asset-Nutzung
      • Installierte Anwendungen
      • Angemeldete Benutzer
      • Ausführen von Prozessen
      • Services
      • Systeminformationen (dsregcmd)
      • Systeminformationen (msinfo32)
      • Systemübersicht
    2. Erstellen Sie einen Metrikdefinitionsdatensatz.
      Sie können auch einen bereits vorhandenen Metrikdefinitionsdatensatz auswählen und bearbeiten.
      1. Wählen Sie Neu.
      2. Füllen Sie die Felder im Formular „Metrikdefinition“ aus.
        Tabelle : 1. Formular „Metrikdefinition“
        Feld Beschreibung
        Name Name der Metrik
        Aktiv Option zum Aktivieren der Metrikdefinition.
        CI-Klasse Konkrete CI-Klasse, für die diese Metrik gilt.
        Beschreibung Beschreibung der Metrikdefinition.
        Schema Allgemeine Struktur, in der die vom Anbieter abgerufenen Metriken in der Metriktabelle gespeichert werden.
      3. Wählen Sie Absenden.
    3. Erstellen Sie in der zugehörigen Liste „Adapterkonfiguration“ einen Datensatz.
      Mit der Adapterkonfiguration für eine Metrikdefinition können Sie nicht nur den Anbieter und die Abfrage definieren, sondern auch Flows und Skripte transformieren.
      1. Wählen Sie Neu.
        Sie können auch einen bereits vorhandenen Adapterkonfigurationsdatensatz auswählen und bearbeiten.
      2. Füllen Sie die Felder des Formulars „Adapterkonfiguration“ aus.
        Tabelle : 2. Formular „Adapterkonfiguration“
        Feld Beschreibung
        Name Name der Adapterkonfiguration.
        Metrikdefinition Metrikdefinition, für die eine Adapterkonfiguration erstellt wird.
        Anbieter Anbieter für Metriken, z. B. Agent Client Collector oder Microsoft Endpoint Configuration Manager für Investigation .
        Reihenfolge Reihenfolge, in der ein Adapterkonfigurationsdatensatz auf eine Metrikdefinition angewendet wird, wenn mehrere Konfigurationen verfügbar sind.
        Hinweis:
        Die erste aufgrund des Werts Reihenfolge anzuwendende Adapterkonfiguration dient nur zum Abrufen der Metriken.
        Zeitbegrenzung für doppelte Anforderungen (Sekunden) Legt die Anzahl von Sekunden fest, damit keine weitere Metrikanforderung erfolgt, wenn bereits eine ausgeführt wird.
        Abfrage
        Abfrageaktion Aktionstyp, der zum Abrufen der Metrikdaten vom Anbieter verwendet wird. Der Wert kann ein Flow oder ein Skript sein.
        Abfrage-Flow/Abfrageskript Flow oder Skript, der bzw. das zum Abrufen der Metrik vom Anbieter verwendet wird.
        Hinweis:
        Wenn kein Flow oder Skript definiert ist, wird der standardmäßige Abfrage-Flow des Anbieters verwendet.
        Umwandeln
        Transformationsaktion Aktionstyp, der zum Transformieren der vom Anbieter abgerufenen Metrikdaten in eine Ausgabe verwendet wird. Der Wert kann ein Flow oder ein Skript sein.
        Transformations-Flow/Transformationsskript Flow oder Skript, der bzw. das zum Transformieren der vom Anbieter abgerufenen Metrikdaten in eine Ausgabe verwendet wird.
        Hinweis:
        Wenn kein Flow oder Skript definiert ist, wird der standardmäßige Transformations-Flow des Anbieters verwendet.
      3. Wählen Sie Absenden.
    4. Erstellen Sie in der zugehörigen Liste „Providerspezifische Adapterkonfiguration“ einen Datensatz.
      Mit der Tabelle „Providerspezifische Adapterkonfiguration“ können Sie eine Adapterkonfiguration (z. B. „Abfrage“ oder „Befehl“) für einen bestimmten Anbieter, z. B. Agent Client Collector (ACC) oder Microsoft Endpoint Configuration Manager (MECM) for Investigation, definieren und konfigurieren.
      1. Wählen Sie Neu.
        Sie können auch einen bereits vorhandenen anbieterspezifischen Adapterkonfigurationsdatensatz auswählen und bearbeiten.
        Eine Liste der providerspezifischen Konfigurationstabellen wird angezeigt, z. B. „ACC-Aktionskonfiguration“ und „MECM-Aktionskonfiguration“.
      2. Wählen Sie den Anbieter aus, für den Sie eine Adapterkonfiguration erstellen möchten.
      3. Füllen Sie die Felder des Formulars „Providerspezifische Adapterkonfiguration“ aus.
        Tabelle : 3. Providerspezifische Adapterkonfiguration
        Feld Option
        Name Name der providerspezifischen Adapterkonfiguration.
        Adapterkonfiguration Adapterkonfiguration, für die eine providerspezifische Adapterkonfiguration erstellt wird.
        Aktiv Option zum Aktivieren der Konfiguration.
        Prüfungsdefinition Prüfungsdefinition, mit der die Ausgabe des Befehls bzw. der Abfrage ausgeführt und verarbeitet wird. Beispiel: app-ci-metrics-acc-adapter.osquery.
        Hinweis:
        Gilt nur, wenn der Anbieter Agent Client Collector für Untersuchungen ist.
        Abfrage/Befehl Abfrage oder Befehl, die bzw. den ein Anbieter auf dem Endgerät ausführt.
        Hinweis:
        Gilt nur, wenn der Anbieter Agent Client Collector für Untersuchungen ist.
        Aktionseingabe Für eine Flow-Aktion erforderliche Eingabeparameter.
        Hinweis:
        Dieses Feld ist nur relevant, wenn der Anbieter Microsoft Endpoint Configuration Manager für Investigation ist.
        Flow-Aktion Flow-Aktion der MECM-Spoke zum Ausführen des Lesevorgangs auf dem MECM-Gerät.
        Hinweis:
        Dieses Feld ist nur relevant, wenn der Anbieter Microsoft Endpoint Configuration Manager für Investigation ist.
        Ausgabe-Flow-Aktion Flow-Aktion der MECM-Spoke zum Nachschlagen der Antwort des Lesevorgangs vom MECM-Server.
        Hinweis:
        Dieses Feld ist nur relevant, wenn der Anbieter Microsoft Endpoint Configuration Manager für Investigation ist.
      4. Wählen Sie Absenden.
    5. Erstellen Sie in der zugehörigen Liste „Adapteranwendbarkeitsregel“ eine Regel.
      Mit der Tabelle „Adapteranwendbarkeitsregel“ können Sie konfigurieren, welche CIs für die ausgewählte Adapterkonfiguration gelten sollen.
      1. Wählen Sie Neu.
        Sie können auch eine bereits vorhandene Adapteranwendbarkeitsregel auswählen und bearbeiten.
      2. Füllen Sie die Felder des Formulars „Adapteranwendbarkeitsregel“ aus.
        Tabelle : 4. Formular „Adapteranwendbarkeitsregel“
        Feld Beschreibung
        Adapterkonfiguration Adapterkonfiguration, die für eine Adapteranwendbarkeitsregel gilt.
        CI-Bedingungen
        CI-Klasse CI-Klasse, die eine Adapterkonfiguration anwendet.
        Übereinstimmende CI-Klassenerweiterung zulassen Option, um Konfigurationen auf untergeordnete Elemente einer CI-Klasse anzuwenden.
        CI-Bedingungen Bedingungsgenerator, mit dem konfiguriert werden kann, welche CIs für die Adapterkonfiguration gelten.
      3. Wählen Sie Absenden.

    Nächste Maßnahme

    Führen Sie nach dem Erstellen der neuen Metrikdefinition die UI-Konfiguration durch, damit sie auf der Registerkarte „Ermittlung“ der Datensatzseite „Incident“ angezeigt wird. Sie müssen die sys_id der Metrikdefinition abrufen und dem Skript sn_sow.SOWInvestigateConfig hinzufügen. Sie können auch die Anzeige der Metrikdefinition anpassen und sie z. B. mit Bezeichnungen, Einheiten und Schwellenwerten ergänzen. Weitere Informationen finden Sie unter Registerkarte „Untersuchen“ anpassen.