告警

ADAudit Plus 提供易于理解的告警机制，用于对任何配置的更改事件发出告警。告警基于从配置的报表配置文件中获得的事件数据。

• 在 Audit Plus 中的告警
• 配置告警
• 通过清除或删除来管理告警
• 通过电子邮件通知告警
• 告警脚本执行

在ADAudit Plus中的告警

ADAudit Plus中的告警可以实时监控Active Directory中的更改。告警将包含以下信息：

• 源
• 域
• 严重程度
• 告警消息
• 生成时间

源 :

这是事件来源的域控制器。

域 :

这提供域信息。

严重程度 :

严重程度指的是与事件相关的重要性程度。ADAudit Plus提供3种不同的告警通知，包括

1. 注意
2. 问题
3. 关键

与事件相关的重要性或严重程度是由管理员在配置告警配置文件时决定和配置的。

告警消息 :

以易于理解的格式提供生成的告警的详细信息。  

示例： 用户'Administrator'在'192.168.117.56'的登录失败。原因：'密码错误'

生成时间 :

这是生成告警的时间。

配置/创建告警配置文件：

ADAudit Plus方便管理员通过将其与所选报表配置文件关联来创建自定义告警配置文件。要配置/创建告警配置文件 点击这里。

管理告警

ADAudit Plus允许管理员通过使用清除/删除告警选项来管理他的告警。

要清除告警

1. 单击“告警”选项卡（这将显示在配置的域控制器中的告警）
2. 从下拉菜单中选择“活动告警”（这只显示在配置的域控制器中的活动告警）
3. 通过提供相应告警的勾选，选择要清除的告警。
4. 单击“清除”（这将清除选定的告警）

备注： 仅未处理/未清除的实时告警会在“活动告警”表中可见。 一旦处理告警，即可进行清除。 已清除的告警将在“所有告警”表中可见。

删除告警

1. 点击“告警”标签（这将显示配置的域控制器下的告警）。
2. 从下拉列表中选择“活动告警”（这仅显示配置的域控制器中的活动告警）。
3. 通过勾选相应的框，选择要清除的告警。
4. 点击“删除”（这将删除所选告警）。

备注： 无论是选择“活动告警”还是“所有告警”选项，均可清除或删除告警。 一旦删除，告警将不会在任何告警表中可见。 已清除的告警以及实时告警会在“所有告警”表中可见。 通过选择相应的告警表，可以查看和管理“报表基于告警”或“基于告警配置文件的告警”。

通过电子邮件通知告警

告警的重要部分是其通知用户的能力。在ADAudit Plus中配置的告警可以通过电子邮件通知一个或多个接收者。

要从“告警”标签配置电子邮件告警

1. 点击页面右上角的“电子邮件通知”链接。
2. 这将重定向到“配置”标签，显示所有“可用的告警配置文件”。

3. 点击“电子邮件通知”列下的“配置”链接。
4. 这将重定向到您可以“修改告警配置文件”的页面
5. 在“修改告警配置文件”下，检查“发送电子邮件通知”。
6. 在提供的复选框中输入“邮件发送至”地址。(对于多个收件人，用逗号分隔电子邮件地址。)
7. 点击“更新”。

这将更新“所选报表配置文件”的“告警配置文件”。任何新的告警将通过电子邮件通知到这里输入的一个或所有电子邮件地址。相关内容也在告警配置文件配置部分中讨论。

只有在配置邮件服务器时，“邮件发送至”框才会打开以供输入。要配置邮件服务器，请点击“配置邮件服务器”链接。

对触发告警执行自定义响应

确定您对触发告警的响应并编写适当的脚本以执行该响应。支持的脚本是PowerShell（.ps1）和批处理（.bat）。

在脚本位置字段中输入：

语法：文件名 "参数 1" "参数 2" "参数 n"
这里，文件名是alert_scripts文件夹中脚本文件的名称。
参数 n是ADAudit Plus事件变量。

示例：

Test.bat "%USERNAME%" "%CLIENT_HOST_NAME%"
Test.ps1 "%USERNAME%"

注意：

• 脚本文件应位于<安装目录>\alert_scripts文件夹中。
• 文件名不得包含空格。
• 无法使用自定义参数，只能使用为选定报表配置文件预配置的变量。预配置变量可以使用添加链接添加。

管理告警

为了管理在ADAudit Plus中显示的告警，可以通过ADAudit Plus从“告警”选项卡手动“删除”或“清除”配置的告警。

告警的删除也可以自动化。这可以通过在ADAudit Plus的“管理”选项卡中安排删除告警来实现。

安排删除告警

1. 点击“管理”选项卡 → 告警
2. 检查“安排删除告警”
3. 在提供的框中输入“删除较旧告警的天数”。
4. 点击保存。

这将安排一个删除告警操作，输入的天数较旧的告警将被删除。