4.3 Visualizzazione dei risultati della ricerca

Le ricerche restituiscono insiemi di eventi. È possibile visualizzare informazioni semplici o dettagliate sugli eventi e configurare il numero di risultati visualizzato per pagina. I risultati di ricerca vengono restituiti in gruppi. La dimensione di default dei gruppi è 25, ma è semplice impostare una dimensione diversa.

4.3.1 Visualizzazione semplice degli eventi

Le informazioni relative a ciascun evento sono raggruppate in informazioni sull'iniziatore e informazioni sulla destinazione. Se per un determinato campo evento non sono disponibili dati, questo viene etichettato come Sconosciuto.

Figura 4-2 Visualizzazione semplice degli eventi

Talvolta il motore di ricerca potrebbe indicizzare gli eventi più rapidamente di quanto vengano inseriti nel database. Se viene eseguita una ricerca che restituisce eventi che non sono stati inseriti nel database, viene visualizzato un messaggio che indica che alcuni eventi corrispondono all'interrogazione di ricerca, ma che non sono disponibili nel database. In genere se la ricerca viene eseguita di nuovo in un secondo tempo, gli eventi si troveranno nel database e la ricerca avrà esito positivo.

Figura 4-3 Eventi indicizzati, ma non ancora nel database

4.3.2 Visualizzazione dettagliata degli eventi

È possibile visualizzare dettagli aggiuntivi per uno o più eventi facendo clic sul collegamento dettagli nella parte destra della pagina. È possibile visualizzare o nascondere i dettagli di tutti gli eventi presenti in una pagina utilizzando il collegamento tutti i dettagli++ o tutti i dettagli--. L'opzione selezionata viene conservata durante la visualizzazione di più pagine di risultati oppure se si eseguono nuove ricerche.

Figura 4-4 Visualizzazione dettagliata degli eventi

L'evento precedente mostra lo stesso evento della Figura 4-2, ma con una visualizzazione ampliata che presenta ulteriori campi di dati che potrebbero essere stati popolati.

4.3.3 Limitazione dei risultati di ricerca

Dopo aver visualizzato i risultati di una ricerca potrebbe essere necessario limitarli aggiungendo ulteriori criteri. Ad esempio, se il nome utente di un iniziatore compare molte volte nei risultati della ricerca, è possibile visualizzare altri eventi provenienti da quell'iniziatore.

Per filtrare i risultati della ricerca mediante un valore specifico presente nei risultati stessi:

  1. Identificare i criteri desiderati per il filtro nei risultati della ricerca.

  2. Fare clic sul valore (ad esempio target hostname test1900) con cui filtrare i risultati.

    SUGGERIMENTO:in questo modo il valore viene aggiunto al filtro con un operatore AND. Per aggiungere il valore al filtro con un operatore NOT, premere Alt mentre si fa clic sul valore.

  3. Fare clic su Ricerca.

Alcuni campi non possono essere selezionati per limitare una ricerca come descritto:

  • EventTime

  • Message

  • Tutti i campi correlati al Reporter

  • Tutti i campi correlati all'Observer

  • Tutti i campi con il valore Sconosciuto