L'interfaccia delle regole fornisce la capacità di definire le regole per valutare tutti gli eventi in entrata e distribuire gli eventi selezionati ai canali di output designati. Ad esempio ogni evento di gravità 5 può essere inviato via e-mail a una lista di distribuzione di analisti della sicurezza o a un amministratore.
NOTA:tutti gli eventi vengono inoltre distribuiti al database.
Un evento in entrata viene valutato in relazione a ogni regola di filtraggio fino a trovare una corrispondenza, poi vengono eseguite le azioni di distribuzione associate a tale regola:
Invia un'e-mail: consente di inviare l'evento a uno o più utenti mediante un relay SMTP configurato.
Registra su file: l'evento viene salvato sul file specificato nel server di Identity Audit.
Registra in SysLog: l'evento viene inoltrato al server SysLog configurato.
SUGGERIMENTO:gli eventi vengono elaborati dalle azioni associate una per volta. È quindi consigliabile prendere in considerazione le implicazioni sulle prestazioni durante la selezione del canale di output a cui sono inviati gli eventi. Ad esempio, l'azione Registra su file è quella che richiede meno risorse, pertanto può essere utilizzata per verificare i criteri della regola per determinare il volume dei dati prima di inviare una serie di eventi tramite e-mail o SysLog.
Inoltre, quando si imposta l'azione Invia un'e-mail, si dovrebbe prendere in considerazione il numero di eventi che il destinatario è effettivamente in grado di gestire e adattare il filtro in base alla regola.
L'output dell'evento è in JSON (JavaScript Object Notation), vale a dire un formato di scambio dati a bassa densità. Gli eventi sono costituiti da nomi dei campi (come "evt" per EventName), seguiti da due punti e da un valore (come "Start"), separati da virgole.
{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Processing started for Collector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}