Ich möchte eine Mail bekommen, wenn in den letzten 5 Minuten ein Virus gefunden wurde. Das löse ich mit einem Report, der sich nur die Defender Events der letzten 5 Minuten anschaut. Diesen 5-Minuten-Filter kriege ich aber nicht mit dem "normalen" Report-Editor gebaut, sondern ich kann den Zeitraum nur für den ganzen Tag setzen. Ich möchte aber Zeitnah bei einem Virus Bescheid wissen.
Mit dem erweiterten SQL-Editor kann ich das Feld "VW_CLT_Sec_Defender_Events.TimeCreated" mit dem SQL Filter versehen: " > DateAdd(minute, -5, GetDate()) " wodurch das ganze funktioniert.
ABER:
Im erweiterten Modus tragen die Felder andere Informationen, als die im einfachen Modus. Normal beinhaltet bspw. das Feld "Defender Event Type" die Info "Fehler". Oder das Feld "Defender Event Name" "Signaturaktualisierung fehlgeschlagen"
Die Felder "Defender Event Name" oder "Defender Event Message" finde ich im Erweiterten Modus aber einfach nicht. Und das Feld "VW_CLT_Sec_Defender_Events.EventType" beinhaltet bspw die "3" statt "Fehler" oder "Warnung"
Letztendlich ist meine Frage also: Was muss ich im erweiterten Modus aus der ellenlangen Liste auswählen, um die gleichen Daten zu erhalten, die man auch im einfachen Modus hat?
Danke!