4.3 Anzeigen von Suchergebnissen

Suchvorgänge geben einen Satz an Ereignissen zurück. Benutzer können Basisinformationen oder ausführliche Informationen zu Ereignissen anzeigen und die Anzahl der Ergebnisse pro Seite konfigurieren. Suchergebnisse werden stapelweise zurückgegeben. Die Standardstapelgröße beträgt 25 Ergebnisse, kann jedoch leicht konfiguriert werden.

4.3.1 Basisereignisansicht

Die Informationen in jedem Ereignis werden nach Initiatorinformationen und Zielinformationen gruppiert. Wenn für ein bestimmtes Ereignisfeld keine Daten verfügbar sind, werden die Felder mit Unbekannt gekennzeichnet.

Abbildung 4-2 Basisereignisansicht

Es kann vorkommen, dass die Suchengine Ereignisse schneller indiziert als diese in die Datenbank eingefügt werden. Falls ein Benutzer eine Suche ausführt, die noch nicht in die Datenbank eingefügte Ereignisse ausgibt, gibt das System eine Meldung aus, dass eine Anzahl von Ereignissen der Suchabfrage entsprechen, jedoch nicht in der Datenbank gefunden wurden. Im Allgemeinen sind die Ereignisse in der Datenbank, wenn Sie die Suche zu einem späteren Zeitpunkt erneut ausführen. Die Suche wird dann erfolgreich ausgeführt.

Abbildung 4-3 Indizierte, jedoch nicht in der Datenbank enthaltene Ereignisse

4.3.2 Ereignisansicht mit Details

Durch Klicken auf den Link Details rechts auf der Seite können Benutzer zusätzliche Details zu den Ereignissen anzeigen. Die Details für alle Ereignisse auf einer Seite können durch Klicken auf den Link "Alle Details++" oder Alle Details-- maximiert oder minimiert werden. Diese Einstellung bleibt erhalten, während Sie durch mehrere Ergebnisseiten blättern oder neue Suchvorgänge durchführen.

Abbildung 4-4 Ereignisansicht mit Details

Das obige Ereignis entspricht dem Ereignis in Abbildung 4-2, jedoch verfügt das obige Ereignis über eine erweiterte Ansicht mit zusätzlichen Datenfeldern, die möglicherweise gefüllt wurden.

4.3.3 Verfeinern der Suchergebnisse

Nach der Anzeige der Ergebnisse einer Suche ist es eventuell erforderlich, die Suchergebnisse zu verfeinern und zusätzliche Suchkriterien hinzuzufügen. Der Name eines Initiatorbenutzers könnte beispielsweise in den Suchergebnissen mehrmals erscheinen, weshalb weitere Ereignisse dieses Initiators angezeigt werden sollen.

So filtern Sie die Suchergebnisse nach einem bestimmten Wert, der in den Suchergebnissen erscheint:

  1. Suchen Sie das gewünschte Filterkriterium in den Suchergebnissen.

  2. Klicken Sie auf den Wert (Beispiel: Ziel-Hostname test1900), nach dem die Ergebnisse gefiltert werden sollen.

    TIPP:Der Wert wird jetzt mit einem AND-Operator dem Filter hinzugefügt. Sie können den Wert auch mit einem NOT-Operator hinzufügen. Drücken Sie dabei die Alt-Taste, wenn Sie auf den Wert klicken.

  3. Klicken Sie auf Suchen.

Einige Felder können zum Optimieren der Suche auf diese Weise nicht ausgewählt werden:

  • EventTime

  • Message

  • Alle mit dem Reporter verknüpften Felder

  • Alle mit dem Observer verknüpften Felder

  • Alle Felder mit dem Wert Unbekannt