4.2 Ejecución de una búsqueda de evento

Los usuarios pueden ejecutar búsquedas simples y avanzadas.

4.2.1 Búsqueda básica

Se ejecuta una búsqueda básica entre todos los campos de evento de Tabla 4-1. Algunas búsquedas básicas de muestra incluyen lo siguiente:

  • root

  • 127.0.0.1

  • Bloquear*

  • driverset0

NOTA:Si la hora no está sincronizada entre el equipo del usuario y el servidor de Identity Audit (por ejemplo, un equipo va 25 minutos atrasado), es posible que obtenga resultados que no desea al realizar la búsqueda. Las búsquedas como La última hora o Las últimas 24 horas se basan en la hora del equipo del usuario final.

  1. Haga clic en el enlace Buscar situado a la izquierda.

    Identity Audit está configurado para ejecutar una búsqueda por defecto para eventos que no pertenecen al sistema con una gravedad comprendida entre 3 y 5 la primera vez que el usuario hace clic en el enlace Buscar. De lo contrario, por defecto, volverá al último término de búsqueda que el usuario haya introducido.

  2. Para realizar una búsqueda diferente, escriba un término de búsqueda en el campo de búsqueda (por ejemplo, admin). La búsqueda no distingue entre mayúsculas y minúsculas.

  3. Seleccione el período de tiempo para el que desea que se realice la búsqueda. La mayoría de las configuraciones de tiempo se explican por sí solas y el período predeterminado es Los últimos 30 días.

    • La opción Personalizar le permite seleccionar las fechas y horas de inicio y de finalización de la consulta. La fecha de inicio debe ser anterior a la fecha final y la hora se basa en

    • Todos los períodos busca en todos los datos de la base de datos.

  4. Seleccione Incluir eventos del sistema para que se incluyan los eventos que se generan como resultado de las operaciones del sistema Identity Audit.

  5. Seleccione Ordenar por hora

    NOTA:La clasificación por hora lleva más tiempo que la clasificación por relevancia, que es la predeterminada.

  6. Haga clic en Buscar.

    Todos los campos del índice se buscan para encontrar el texto específico. Un icono giratorio indica que se está realizando la búsqueda.

    Aparecen los resúmenes de evento.

4.2.2 Búsqueda avanzada

Mediante la búsqueda avanzada se puede buscar un valor determinado en un campo o campos de evento específicos. Los criterios de búsqueda avanzada se basan en los nombres abreviados de cada campo de evento y la lógica de búsqueda del índice. La siguiente tabla describe los campos, facilita los nombres abreviados para la búsqueda avanzada e indica si los campos se pueden ver en la vista de eventos detallada o la básica.

Para buscar un valor en un campo determinado, use el nombre corto del campo (para obtener más información, consulte Tabla 4-1), dos puntos y el valor. Por ejemplo, para buscar un intento de autenticación de user2 en Identity Audit, introduzca el siguiente texto en el campo de búsqueda:

  • evt:authentication AND sun:user2

  • pn:NMAS AND sev:5

  • sip:123.45.67.89 AND evt:“Ajustar contraseña”

Se pueden combinar diferentes criterios de búsqueda avanzada por medio de los siguientes operadores booleanos:

  • AND (debe escribirse con mayúsculas)

  • OR (debe escribirse con mayúsculas)

  • NOT (debe escribirse con mayúsculas y no se puede utilizar como criterio exclusivo de búsqueda)

  • +

  • -

Los caracteres especiales deben establecerse como secuencia de escape con un símbolo \:

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

Los criterios de búsqueda avanzada se rigen por los criterios de búsqueda del paquete de código abierto Apache Lucene. Para obtener más información sobre los criterios de búsqueda, visite la página Web: Lucene Query Parser Syntax.