OMS 警示正式發布

  • Article

與 public review 有何不同?

WebHook 支援: 提供 WebHook URL 來接收警示。這使得與其他工具(如:Slack 或是 各種事件管理工具)結合變得很容易。

 

開啟/關閉和編輯警示: 在 設定>Alerts 中,您可以開啟、關閉或是編輯單一的警示。您可以在此關閉惱人的警示或是在維修時關閉警示。

 

隱藏警示: 在警示發佈後,停止警示一段時間。這能幫助減少警示的干擾。

 

新增警示畫面: 在未來您還會看到這個使用者介面有些許的修改。

效能進步: 最大搜尋時間間隔可達24小時。

在 OMS 工作區右上方的通知: 現在當您進到 OMS 工作區,將會在通知告訴您當您離開的時間內有多少警示發佈。在通知中您也可以有連結查看所有發佈的警示。

 

警示嚴重性: 總共有三種程度可以選擇:嚴重、警告、資訊。

OMS 警示還會繼續更新嗎?

當然會!警示是任何良好監視工具的基礎,因此微軟將會持續更新、改進 OMS 警示的功能。在未來您將會看到微軟積極採取行動來減少警界時間,並對警示管理進行修改來提供更有凝聚力的警示監控與管理。

開始使用

雖然您需要利用搜尋指令來產生警示,但其實您不需要知道任何搜尋語法就可以使用警示。最簡單的方式就是透過一個方案來做搜尋。

進到一個解決方案的儀表板後,點選任何您想建立警示的項目。接著 OMS 將會自動跳到記錄搜尋並之行該指令。

執行完後,您可以按下左上方的 [警示] 圖示。接著就會跳到先前提到的新增警示畫面,輸入各項資料後按下儲存即完成警示的新增。

有什麼好的警示可以作為開端嗎?

以下列出了一些有用的搜尋指令警示來幫助您開始,也列出了指令相對應所需的方案或是數據來源:

Name Query Alert configuration Required solution/data source
Computers missing required Critical or Security updates Type=Update UpdateState=Needed Optional=false (Classification=”Security Updates” OR Classification=”Critical Updates”)
Frequency: 24 hours
Time window: 24 hours
Threshold: Greater than 0 results
System Update Assessment
More than 5 software changes in the last 24 hours Type=ConfigurationChange ConfigChangeType=Software
Frequency: 24 hours
Time window: 24 hours
Threshold: Greater than 5 results
Change Tracking
Suspicious executable discovered Type=SecurityEvent EventID=8002 Fqbn:”-” | Measure count() as ExecutionCountHash by FileHash | Where ExecutionCountHash <= 5
Frequency: 15 minutes
Time window: 15 minutes
Threshold: Greater than 0
Security and Audit
A process of has initiated a restart of a computer Type=Event EventID=1074 Source=User32
Frequency: 5 minutes
Time window: 5 minutes
Threshold: 0
Collect “System” logs in “Settings -> Data -> Windows event logs”
Available memory is less than 1 GB
**insert your computer name in the query
Computer= <computer name> Type=Perf ObjectName=Memory CounterName=”Available MBytes” | measure avg(CounterValue) by Computer interval 30minute | where AggregatedValue<1024
Frequency: 30 minutes
Time window: 1 hour
Threshold: Less than 3
Collect the “\Memory(*)\Available Bytes” performance counter in “Settings -> Data -> Windows Performance Counters”
Average CPU % above 90% over the last hour
**insert your computer name in the query
Computer= <computer name> Type=Perf ObjectName=Processor CounterName=”% Processor Time” | measure avg(CounterValue) interval 30minute | where AggregatedValue>90
Frequency: 30 minutes
Time window: 1 hour
Threshold: 1
Collect the “\Processor(*)\% Processor Time” Settings -> Data -> Windows Performance Counters
The state of a service has changed in a Computer Group
**insert your computer group name in the query
$ComputerGroups[GroupName] Type=Event EventID=7036
Frequency: 5 minutes
Time window: 5 minutes
Threshold: 0
Collect “System” logs in “Settings -> Data -> Windows event logs”

理所當然的,學會更多的語法能夠幫助您建立更多有效的警示。以下是有幫助的文章: