Du kannst in Deinem Skript über die XML eine zeitliche Begrenzung mitgeben.
Bitte beachte Folgendes:
Wenn keine zeitliche Begrenzung im XML eingerichtet wurde, richtet sich der Sensor nach dem Dreifachen des Sensorintervalls.
Ein Beispiel:
Das Sensor Intervall gibt an wie oft der Sensor ausgeführt wird. Bei 5 Minuten, prüft der Sensor also alle 5 Minuten nach Events (basierend auf deinem Filter).
Wie lange der Sensor dann alle 5 Minuten zurückschaut definierst du über das XML:
- XML hat eine Zeitangabe --> diese wird genommen (Beispiel 2 Stunden, Der Sensor läuft alle 5 Minuten und schaut jeweils 2 Stunden zurück)
- XML hat keine Zeitangabe --> wir erweitern intern das XML um das 3-fache Sensor Intervall( Der Sensor läuft alle 5 Minuten und schaut jeweils 3x5=15 Minuten zurück)
Zur Verwendung dieses Sensors haben wir auch einen Blog-Artikel verfasst, der anhand eines Beispiels erklärt, wie Du diesen Sensor verwenden kannst.
Du findest diesen Blog-Artikel hier: Eventlog Monitoring in einfach!