4.4 Campi degli eventi

Ogni evento dispone di campi che potrebbero essere o meno popolati, in base all'evento specifico. I valori per questi campi evento possono essere visualizzati mediante una ricerca o l'esecuzione di un rapporto. Ogni campo ha un nome breve utilizzato nelle ricerche avanzate. I valori per la maggior parte di questi campi sono disponibili nella visualizzazione dettagliata degli eventi. Altri valori sono anche presenti nella visualizzazione semplice degli eventi.

Tabella 4-1 Campi degli eventi

Campo

Nome breve

Descrizione

Presente in visualizzazione semplice

Presente in visualizzazione dettagliata

Severity

sev

Gravità dell'evento su una scala da 0 (informativo) a 5 (critico).

X

X

EventTime

dt

Registrazione dell'orario dell'evento. L'orario può corrispondere a quello del server di Identity Audit, oppure a quello registrato dall'origine dell'evento (se è abilitata l'opzione Considera affidabile l'ora dell'evento).

X

X

EventName

evt

Nome breve dell'evento.

X

X

Message

msg

Messaggio dettagliato associato all'evento.

 

X

ProductName

pn

Prodotto che ha generato l'evento, ossia l'origine dell'evento.

Viene visualizzato dopo il nome dell'evento.

X

X

InitUserName

sun

Nome dell'utente responsabile dell'inizializzazione dell'evento.

X

X

InitUserID

iuid

ID dell'utente responsabile dell'inizializzazione dell'evento.

 

X

InitUserDomain

rv35

Dominio dell'utente responsabile dell'inizializzazione dell'evento.

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

InitHostName

shn

Nome host del computer a partire dal quale l'evento è stato inizializzato.

X

X

InitHostDomain

rv42

Dominio del computer a partire dal quale l'evento è stato inizializzato.

X

X

InitIP

sip

Indirizzo IP del computer a partire dal quale l'evento è stato inizializzato.

 

X

InitServicePort

spint

Numero della porta a partire dalla quale l'evento è stato inizializzato (ad esempio HTTP).

 

X

InitServicePortName

sp

Tipo della porta a partire dalla quale l'evento è stato inizializzato (ad esempio HTTP).

 

X

TargetUserName

dun

Nome dell'utente di destinazione dell'evento.

X

X

TargetUserID

tuid

ID dell'utente di destinazione dell'evento.

 

X

TargetUserDomain

rv35

Dominio dell'utente di destinazione dell'evento.

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

X

TargetHostName

dhn

Nome host del computer di destinazione dell'evento.

X

X

TargetHostDomain

rv45

Dominio del computer di destinazione dell'evento.

X

X

TargetIP

dip

Indirizzo IP del computer di destinazione dell'evento.

 

X

TargetServicePort

dpint

Numero della porta di destinazione dell'evento (ad esempio 80).

 

X

TargetServicePortName

dp

Tipo della porta di destinazione dell'evento (ad esempio HTTP).

 

X

TargetTrustName

ttn

Ruolo dell'utente di destinazione dell'evento (ad esempio FinanceAdmin)

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

TargetTrustID

ttid

ID numerico che rappresenta il ruolo dell'utente di destinazione dell'evento.

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

TargetTrustDomain

ttd

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

EffectiveUserName

euname

Nome dell'utente impersonato da InitUser (ad esempio utente root che utilizza su). Nella visualizzazione dettagliata degli eventi, segue Nome utente iniziatore (ID utente iniziatore).

 

X

EffectiveUserID

euid

ID numerico dell'utente impersonato da InitUser (ad esempio utente root che utilizza su)

 

X

ObserverHostName

sn

Nome host del computer che ha inoltrato l'evento al sistema di gestione degli eventi relativi ai dati sulla sicurezza (ad esempio il nome host di un server SysLog).

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

ObserverHostDomain

obsdom

Dominio del computer che ha inoltrato l'evento al sistema di gestione degli eventi relativi ai dati sulla sicurezza (ad esempio il dominio di un server SysLog).

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

ObserverIP

obsip

Indirizzo IP del computer che ha inoltrato l'evento al sistema di gestione degli eventi relativi ai dati sulla sicurezza (ad esempio l'indirizzo IP di un server SysLog).

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

ReporterHostName

rn

Nome host del computer che ha segnalato l'evento a un Observer.

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

 

ReporterHostDomain

repdom

Dominio del computer che ha segnalato l'evento a un Observer.

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

 

ReporterIP

repip

Indirizzo IP del computer che ha segnalato l'evento a un Observer.

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

 

SensorType

st

Carattere singolo utilizzato per designare il tipo di sensore (N=rete, H=host, O=sistema operativo, A e I=eventi di revisione di Identity Audit, P=eventi relativi alle prestazioni di Identity Audit).

Questo campo può essere utilizzato nelle ricerche, ma non è visualizzato in nessuna delle due visualizzazioni degli eventi.

 

 

DataName

fn

Nome dell'oggetto dati riportato nell'evento (ad esempio il nome del file o il nome della tabella del database).

 

X

DataContext

rv36

Container dell'oggetto di dati FileName (ad esempio una directory per un file o per un'istanza di database per una tabella di database)

 

X

TaxonomyLevel1

rv50

Classificazione della destinazione per l'evento. Visualizzato al di sotto del nome dell'evento nel seguente formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

TaxonomyLevel2

rv51

Classificazione della destinazione secondaria per l'evento. Visualizzato al di sotto del nome dell'evento nel seguente formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

TaxonomyLevel3

rv52

Informazioni sull'azione per l'evento. Visualizzato al di sotto del nome dell'evento nel seguente formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

TaxonomyLevel4

rv53

Informazioni dettagliate per l'evento. Visualizzato al di sotto del nome dell'evento nel seguente formato:

TaxonomyLevel1>> TaxonomyLevel2>> TaxonomyLevel3>> TaxonomyLevel4

X

X

Alcuni campi sono tokenizzati. La tokenizzazione dei campi consente di cercare una singola parola al loro interno senza dover utilizzare caratteri jolly. I campi sono tokenizzati in base agli spazi e altri caratteri speciali. In questi campi gli articoli vengono rimossi dall'indice di ricerca.