4.2 Esecuzione di una ricerca di eventi

È possibile eseguire ricerche semplici e avanzate.

4.2.1 Ricerca semplice

Una ricerca semplice viene eseguita su tutti i campi degli eventi elencati nella Tabella 4-1. Alcuni esempi di ricerca semplice comprendono quanto riportato di seguito:

  • root

  • 127.0.0.1

  • Blocco*

  • driverset0

NOTA:se l'ora non è sincronizzata tra il computer dell'utente finale e il server di Identity Audit (ad esempio nel caso in cui un computer è in ritardo di 25 minuti), si potrebbero ottenere risultati imprevisti dalla ricerca. Le ricerche come Last 1 hour o Last 24 hours si basano sull'ora del computer dell'utente finale.

  1. Fare clic sul collegamento Ricerca a sinistra.

    Identity Audit viene configurato per l'esecuzione di una ricerca di default di eventi non di sistema con gravità da 3 a 5 la prima volta che si fa clic sul collegamento Ricerca. In caso contrario verrà impostata la ricerca di default dell'ultimo termine immesso dall'utente.

  2. Per una ricerca diversa, digitare un termine di ricerca nel campo apposito (ad esempio admin). Nella ricerca le differenze fra maiuscole e minuscole non vengono rilevate.

  3. Selezionare il periodo di tempo per il quale eseguire la ricerca. Il significato della maggior parte delle opzioni relative al periodo di tempo è esplicito. L'impostazione di default è Ultimi 30 giorni.

    • Se si seleziona Personalizzato è possibile selezionare la data e l'ora di inizio e di fine per l'interrogazione. La data di inizio deve essere precedente alla data di fine e l'ora si basa

    • Se si seleziona Sempre, la ricerca di tutti i dati viene eseguita nel database.

  4. Selezionare Includi eventi di sistema per includere gli eventi generati durante l'esecuzione di operazioni del sistema di Identity Audit.

  5. Selezionare Sort By Time per disporre i dati con gli eventi più recenti all'inizio.

    NOTA:L'ordine in base all'ora richiede più tempo rispetto all'ordine in base all'importanza, che è il valore di default.

  6. Fare clic su Ricerca.

    Il testo specificato viene ricercato in tutti i campi dell'indice. L'icona che raffigura una ruota che gira indica che la ricerca è in corso.

    Al termine della ricerca vengono visualizzati i riepiloghi degli eventi.

4.2.2 Ricerca avanzata

La ricerca avanzata consente di cercare un valore in uno o più campi evento specifici. I criteri di ricerca avanzati sono basati sui nomi brevi di ciascun campo evento e sulla logica di ricerca per l'indice. Nella tabella riportata di seguito sono descritti i campi, vengono forniti i nomi brevi per le ricerche avanzate e si indica se i campi sono presenti nelle visualizzazioni degli eventi semplice e dettagliata.

Per cercare un valore in un campo specifico, utilizzare il nome breve del campo (per ulteriori informazioni, vedere la Tabella 4-1), due punti e il valore. Ad esempio, per cercare un tentativo di autenticazione in Identity Audit da parte di user2, digitare il testo riportato di seguito nel campo della ricerca:

  • evt:authentication AND sun:user2

  • pn:NMAS AND sev:5

  • sip:123.45.67.89 AND evt:“Set Password”

È possibile combinare più criteri di ricerca avanzati utilizzando i seguenti operatori booleani:

  • AND (è necessario utilizzare le maiuscole)

  • OR (è necessario utilizzare le maiuscole)

  • NOT (è necessario utilizzare le maiuscole; l'operatore non può essere utilizzato come unico criterio di ricerca)

  • +

  • -

Per i caratteri speciali è necessario utilizzare sequenze di escape precedute dal simbolo \:

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

I criteri di ricerca avanzati sono modellati sui criteri di ricerca per il pacchetto open source Apache Lucene. Per ulteriori informazioni sui criteri di ricerca, visitare la pagina Web Lucene Query Parser Syntax.