4.3 Affichage des résultats des recherches

Les recherches renvoient des séries d'événements. Les utilisateurs peuvent choisir d'afficher une vue de base ou détaillée des informations d'événements et peuvent configurer le nombre de résultats par page. Les résultats des recherches sont renvoyés par lots. La taille de lot par défaut est de 25 résultats, mais il est aisé de configurer une autre valeur.

4.3.1 Vue de base des événements

Les informations pour chaque événement sont regroupées en données relatives à l'initiateur, d'une part, et à la cible, d'autre part. Si des informations ne sont pas disponibles pour un champ d'événement spécifique, celui-ci est marqué comme Inconnu.

Figure 4-2 Vue de base des événements

Il arrive parfois que le moteur de recherche indexe les événements plus vite que ce qu'ils ne sont insérés dans la base de données. Si un utilisateur exécute une recherche qui renvoie des événements qui n'ont pas été insérés dans la base de données, l'utilisateur reçoit un message indiquant qu'un certain nombre d'événements correspondent à la requête mais sont introuvables dans la base de données. Il suffit généralement de réexécuter la recherche plus tard pour que les événements figurent dans la base de données et que la recherche aboutisse.

Figure 4-3 Événements indexés ne figurant pas encore dans la base de données

4.3.2 Vue détaillée des événements

Les utilisateurs peuvent afficher davantage d'informations sur les événements en cliquant sur le lien détails à droite de la page. Les détails de tous les événements sur une page peuvent ainsi être développés ou réduits à l'aide du lien tous les détails++ ou tous les détails--. Cette préférence est conservée lorsque vous parcourez plusieurs pages ou résultats, de même que lorsque vous exécutez de nouvelles recherches.

Figure 4-4 Vue détaillée des événements

L'événement ci-dessus est identique à celui de la Figure 4-2 mais présente une vue détaillée qui affiche les champs de données supplémentaires qui ont peut-être été complétés.

4.3.3 Affinement des résultats des recherches

Une fois les résultats d'une recherche affichés, il peut être utile de les affiner en ajoutant des critères de recherche supplémentaires. Par exemple, vous pouvez voir le nom d'un même initiateur plusieurs fois dans les résultats et souhaiter consulter davantage d'événements initiés par cet utilisateur.

Pour filtrer les résultats selon une valeur spécifique reprise dans les résultats de la recherche :

  1. Identifiez dans les résultats de la recherche le critère souhaité pour le filtre.

  2. Cliquez sur la valeur (par exemple, nom d'hôte cible test1900) selon laquelle vous souhaitez filtrer les résultats.

    INDICATION :cette opération ajoute la valeur à votre filtre avec un opérateur AND. Pour ajouter la valeur à votre filtre avec un opérateur NOT, appuyez simultanément sur la touche Alt lorsque vous cliquez sur la valeur.

  3. Cliquez sur Rechercher.

Toutefois, cette méthode d'affinement de la recherche ne fonctionne pas avec certains champs :

  • EventTime

  • Message

  • Tous les champs liés au préparateur d'état

  • Tous les champs liés à l'observateur

  • Tous les champs ayant une valeur Unknown