4.2 イベント検索の実行

ユーザは簡単な検索と高度な検索を実行できます。

4.2.1 基本検索

基本検索は表 4-1のすべてのイベントフィールドに対して実行されます。いくつかの基本検索のサンプルには次のものが含まれています。

  • root

  • 127.0.0.1

  • ロック*

  • driverset0

メモ:エンドユーザのコンピュータとIdentity Auditサーバの時間が同期されていない場合(たとえば1台のコンピュータが25分遅れている場合)、検索によって予期しない結果が生じる可能性があります。過去1時間や過去24時間などの検索は、エンドユーザのコンピュータの時間に基づいています。

  1. 左側の[検索]リンクをクリックします。

    Identity Auditは、ユーザが初めて[検索]リンクをクリックした場合は、重大度3~5のシステム外のイベントに対して、デフォルトで検索を実行するように設定されます。その他の場合は、ユーザが最後に入力した検索条件がデフォルトで適用されます。

  2. 別の条件で検索を行うには、検索フィールドに検索条件を入力します(たとえばadmin)。この検索では大文字と小文字は区別されません。

  3. 検索対象となる期間を選択します。期間の設定値は見ればすぐ分かるとおりで、デフォルトは[過去30日間]です。

    • [カスタム]を指定すると、検索対象となる期間の開始日と終了日を選択できます。開始日には終了日より前の日付を設定する必要があります。時間は次の設定に基づいて指定されます。

    • [すべての時間]を指定すると、データベース内のすべてのデータが検索対象となります。

  4. Identity Auditのシステム処理によって生成されるイベントを含めるには、[システムイベントの追加]を選択します。

  5. 最新のイベント順にデータを整列するには、[時間でソート]を選択します。

    メモ:時間によるソートは、関連性でソート(デフォルト)するよりも時間がかかります。

  6. [検索]をクリックします。

    指定されたテキストに対して、インデックス内のすべてのフィールドが検索されます。回転しているアイコンは、検索が実行中であることを示します。

    イベントの概要が表示されます。

4.2.2 高度な検索

高度な検索では、特定のイベントフィールド(複数選択可)の値を検索できます。高度な検索の条件は、各イベントフィールドの短縮名とインデックスの検索ロジックに基づいて設定します。次の表は、各フィールドの説明と、高度な検索で使用される短縮名を記載するとともに、各フィールドが基本イベントビューや詳細イベントビューで表示されるかどうかを示しています。

特定のフィールドの値を検索するには、フィールドの短縮名(詳細については表 4-1を参照)、コロン、値を使用します。たとえば、user2がIdentity Auditに対して試行した認証を検索するには、検索フィールドに次のテキストを入力します。

  • evt:authentication AND sun:user2

  • pn:NMAS AND sev:5

  • sip:123.45.67.89 AND evt:“Set Password”

複数の高度な検索条件を結合するには、次の論理演算子を使用します。

  • AND (大文字)

  • OR (大文字)

  • NOT (大文字、単独の検索条件としての使用は不可)

  • +

  • -

次の特殊文字は、\記号を使用してエスケープする必要があります。

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

高度な検索条件は、Apache Luceneオープンソースパッケージの検索条件に基づいてモデル化されています。検索条件の詳細については、WebのLucene Query Parser Syntaxを参照してください。