4.2 Exécution d'une recherche d'événements

Les utilisateurs peuvent effectuer des recherches simples ou avancées.

4.2.1 Recherche simple

Une recherche simple porte sur tous les champs d'événement mentionnés dans le Tableau 4-1. À titre d'exemple, voici quelques recherches de base :

  • root

  • 127.0.0.1

  • Lock*

  • driverset0

REMARQUE :si l'heure de la machine de l'utilisateur final n'est pas synchronisée avec celle du serveur Identity Audit (par exemple, une machine présente un retard de 25 minutes), votre recherche peut donner des résultats inattendus. Des recherches portant sur La dernière heure ou Les dernières 24 heures sont basées sur l'heure de la machine de l'utilisateur final.

  1. Cliquez sur le lien Rechercher à gauche.

    Identity Audit est configuré pour exécuter une recherche par défaut des événements non système d'une gravité de 3 à 5 la première fois qu'un utilisateur clique sur le lien Rechercher. Dans les autres cas, la recherche porte par défaut sur la dernière entrée recherchée par l'utilisateur.

  2. Pour effectuer une autre recherche, tapez un terme dans le champ prévu à cet effet (par exemple, admin). La recherche n'est pas sensible à la casse.

  3. Sélectionnez une période de temps sur laquelle doit porter la recherche. La plupart des paramètres de temps sont explicites ; la valeur par défaut est les 30 derniers jours.

    • Personnalisé permet de sélectionner les dates et heures de début et de fin de la période pour la recherche. La date de début doit être antérieure à la date de fin et l'heure est basée sur l'heure locale du serveur Identity Audit.

    • Tout applique la recherche à toutes les données contenues dans la base de données.

  4. Sélectionnez Inclure les événements système si vous souhaitez inclure les événements générés par les opérations système de Identity Audit.

  5. Sélectionnez Trier par date/heure pour classer les données dans l'ordre chronologique.

    REMARQUE :le tri chronologique prend plus de temps que le tri par pertinence (option par défaut).

  6. Cliquez sur Rechercher.

    Le texte spécifié est recherché dans tous les champs de l'index. Une icône animée indique que la recherche est en cours.

    Les récapitulatifs d'événements apparaissent.

4.2.2 Recherche avancée

Une recherche avancée permet de rechercher une valeur dans un ou plusieurs champs d'événement spécifiques. Les critères des recherches avancées se basent sur les noms abrégés de chaque champ d'événement et sur la logique de recherche de l'index. Le tableau suivant décrit les champs, indique les noms abrégés pour les recherches avancées et spécifie si les champs sont visibles dans les vues détaillées et de base des événements.

Pour rechercher une valeur dans un champ spécifique, utilisez le nom abrégé du champ (pour plus d'informations, reportez-vous au Tableau 4-1), deux-points et la valeur. Par exemple, pour rechercher une tentative d'authentification de user2 auprès de Identity Audit, entrez le texte suivant dans le champ de recherche :

  • evt:authentication AND sun:user2

  • pn:NMAS AND sev:5

  • sip:123.45.67.89 AND evt:“Set Password”

Il est ainsi possible de combiner plusieurs critères de recherche avancés à l'aide des opérateurs booléens suivants :

  • AND (obligatoirement en majuscules)

  • OR (obligatoirement en majuscules)

  • NOT (obligatoirement en majuscules ; ne peut pas être le seul critère de recherche)

  • +

  • -

Les caractères spéciaux doivent être échappés à l'aide du symbole \ :

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

Les critères de recherche avancée suivent le modèle des critères de recherche du paquetage Open Source Apache Lucene. Pour plus d'informations sur les critères de recherche, consultez le site Web Lucene Query Parser Syntax.