Détectez les alertes connexes dans les données de journal en ajoutant des corrélateurs de journaux. Le système de base comprend plusieurs corrélateurs de journaux et vous pouvez définir des corrélateurs de journaux personnalisés.
Avant de commencer
Rôle requis : evt_mgmt_operator ou evt_mgmt_admin
Pourquoi et quand exécuter cette tâche
Pour plus d’informations sur les types et les fonctions des corrélateurs de journaux, reportez-vous à la section Identification des relations dans les données de journal à l’aide de corrélateurs de journaux.
Procédure
-
Utilisez l’une des méthodes suivantes pour ajouter un corrélateur de journal.
| Option | Procédure |
|---|
| Ajouter un corrélateur de journal pour une source de journal spécifique |
- Accédez à la . La liste des corrélateurs de journaux existants s’ouvre.
- Cliquez sur le nom d’un corrélateur de journal. Les noms apparaissent dans la colonne Indicateur de corrélation.
- Cliquez sur Nouveau.
|
| Ajoutez un corrélateur de journal qui s’applique soit à toutes les sources de journal, soit uniquement aux sources de journal qui deviennent actives après avoir défini ce corrélateur de journal |
- Accédez à la .
- Cliquez sur le nom de la source de journal.
La liste connexe Corrélateurs de journaux affiche la liste des corrélateurs de journaux existants qui analysent les données de journal à partir de la source de journal sélectionnée.
- Dans l'onglet Corrélateurs de journaux, cliquez sur Nouveau.
|
-
Remplissez le formulaire Corrélateur de journal.
-
Sélectionnez Actif, puis cliquez sur Soumettre.