Lorsque vous créez une alerte par e-mail, il est important de grouper selon un champ qui identifie la source de l'alerte.
L'e-mail envoyé par l'alerte contient un tableau des résultats pour une requête d'agrégation particulière. La page Explorer les journaux affiche une représentation visuelle de la requête.
En l'absence d'un identifiant unique sur la base duquel effectuer le regroupement, vous ne pouvez pas savoir si le résultat obtenu est pertinent pour un ou plusieurs systèmes de votre environnement. Vous devez baser le regroupement sur le champ de nom d'hôte, par sur le champ de source. Vous pouvez également ajouter tout champ permettant de déterminer l'origine unique de l'événement.