Please enable JavaScript to view this site.

Navigation: Verwaltungskonsole / Dienstprogramme

Testen von Ereignisprotokoll-Filterregeln

Scroll Prev Top Next More

Mit dem Dienstprogramm zum Testen von Filterregeln können Sie Ihre Filterregeln gegen tatsächliche Ereignisprotokollereignisse testen, ohne tatsächlich auf Ereignisse warten zu müssen. Das Tool ist auch in die integrierte Ereignisprotokollanzeige integriert und zeigt Ihnen an, welche Filterregeln dem Ereignis entsprechen würden, einschließlich der Aktion, die ausgelöst würde.

 

Auf diese Weise lässt sich leicht sicherstellen, dass die Filterregeln für Ihr Ereignisprotokoll korrekt eingerichtet sind.

 

clip0041

 

Starten des Filterregeltests

Sie können das Dienstprogramm entweder über das Hauptmenü starten, indem Sie zu Tools -> Utilities -> Filter Rules Test Utility navigieren, oder Sie können auf das Werkzeug zugreifen, indem Sie mit der rechten Maustaste auf ein Ereignis aus dem integrierten Ereignisprotokoll-Viewer klicken und "Test gegen Filterregeln" wählen. Letzteres ist im Allgemeinen einfacher, da alle Ereigniseigenschaften automatisch in den Abschnitt "Ereignisprotokollaufzeichnung" eingetragen werden.

 

Computer

Da Ereignisprotokollfilter Computern und Gruppen zugewiesen werden, können verschiedenen Computern unterschiedliche Regeln zugewiesen sein. Daher muss EventSentry wissen, welche Filterregeln geladen und gegen welche Regeln getestet werden sollen. Wenn Sie hier keinen Computernamen angeben, wird der Ereignisprotokolleintrag gegen alle Filterregeln getestet.

 

Ausführlich: Alle Filter anzeigen, auch nicht übereinstimmende

Wenn Sie diese Option markieren, können Sie genau sehen, warum ein Filter nicht mit Ihrem Ereignis übereinstimmt. Standardmäßig zeigt das Tool nur die erste Filterregel an, die mit dem im Abschnitt "Ereignisprotokollaufzeichnung" angegebenen Ereignis übereinstimmt. Das bedeutet, dass, wenn ein Ereignis z.B. mit einem Ausschluss- und einem Einschlussfilter übereinstimmt, nur der Ausschlussfilter ohne die Option "Ausführlich" angezeigt wird.

 

Filter, die nicht mit dem Ereignis übereinstimmen, werden nicht angezeigt. Wenn Sie beispielsweise eine Fehlersuche durchführen müssen, warum ein von Ihnen erstellter Filter nicht mit einem bestimmten Ereignis übereinstimmt und dieses nicht verarbeitet, dann zeigt Ihnen diese Option alle nicht übereinstimmenden Filter an und gibt an, warum sie nicht mit dem Ereignis übereinstimmten.

 

Ereignisprotokoll-Aufzeichnung

Geben Sie so viele Eigenschaften aus dem eigentlichen Ereignis wie möglich an. Sie sind verpflichtet, mindestens die

 

Ereignisprotokoll

Ereignis-Schweregrad

Ereignis-Quelle

Ereignis-ID

 

Anzeigen der Ergebnisse

Klicken Sie auf die Schaltfläche TEST, um die Ergebnisse des Tests anzuzeigen. Die Ergebnisse sehen ähnlich aus wie auf dem unten gezeigten Screenshot, wenn Sie das Kontrollkästchen "Verbose" nicht markieren:

 

clip0042

Beachten Sie, dass "Match Reason" leer ist, wenn der Abgleichsfilter keine Quelle, Kategorie, Ereignis-ID oder Ereignisdetail konfiguriert hat. Andernfalls zeigt die Spalte an, welche Felder des Filters mit dem Ereignis übereinstimmten.

 

Wenn Sie die Option "Ausführlich" wählen, dann sieht die Ausgabe etwas anders aus und enthält zusätzliche Spalten:

 

clip0043

 

Die Liste enthält nun alle Filter, und nicht übereinstimmende Filter zeigen an, warum sie nicht mit dem übergebenen Ereignis übereinstimmten. Beispielsweise stimmten die meisten Ausschlussfilter im obigen Screenshot nicht mit dem Ereignis überein, weil der im Filter gewählte Schweregrad nicht mit dem Ereignisschweregrad übereinstimmte.

 

Sie können auf einen Filter in der Liste doppelklicken, um die Filterdetails zu finden und zu bearbeiten.