Os usuários podem executar pesquisas simples e avançadas.
Uma pesquisa básica é executada em todos os campos do evento em Tabela 4-1. Alguns exemplos de pesquisas básicas incluem o seguinte:
raiz
127.0.0.1
Bloquear*
driverset0
NOTA:Se o horário não estiver sincronizado entre a máquina do usuário final e o servidor do Identity Audit (por exemplo, uma máquina está 25 minutos atrasada), você poderá obter resultados inesperados da pesquisa. Pesquisas, como
ou , são baseadas no horário da máquina do usuário final.Clique no link
à esquerda.O Identity Audit está configurado para executar uma pesquisa padrão para eventos que não pertencem ao sistema com severidade 3 a 5 a primeira vez que um usuário clica no link
. Caso contrário, ele assumirá como padrão o último termo da pesquisa digitado pelo usuário.Para uma pesquisa diferente, digite um termo no campo de pesquisa (por exemplo, admin). A pesquisa não difere maiúsculas de minúsculas.
Selecione o período no qual a pesquisa deve ser realizada. A maioria das configurações de tempo são auto-explicativas, e o padrão é
.permite que você selecione uma data e uma hora de início e de término para a consulta.
pesquisa todos os dados do banco de dados.
Selecione
para incluir os eventos gerados pelas operações do sistema Identity Audit.Selecione
para organizar os dados com os eventos mais recentes no início.NOTA:A classificação por horário demora mais tempo que a classificação por relevância, que é o padrão.
Clique em
.É possível pesquisar o texto especificado em todos os campos do índice. Um ícone giratório indica que a pesquisa está sendo realizada.
Os resumos do evento são exibidos.
Uma pesquisa avançada pode pesquisar um valor em um ou mais campos específicos do evento. Os critérios da pesquisa avançada são baseados nos nomes reduzidos de cada campo do evento e na lógica de pesquisa do índice. A tabela a seguir descreve os campos, fornece os nomes curtos para pesquisas avançadas e indica se os campos estão visíveis nas telas básica e detalhada do evento.
Para pesquisar um valor em um campo específico, use o nome abreviado do campo (para obter mais informações, consulte a Tabela 4-1), dois-pontos e o valor. Por exemplo, para pesquisar uma tentativa de autenticação do Identity Audit feita pelo usuário2, digite o seguinte texto no campo de pesquisa:
evt:authentication AND sun:user2
pn:NMAS AND sev:5
sip:123.45.67.89 AND evt:“Set Password”
Vários critérios de pesquisa avançada podem ser combinados usando os seguintes operadores booleanos:
AND (deve estar em maiúsculas)
OR (deve estar em maiúsculas)
NOT (deve estar em maiúsculas e não pode ser usado como o único critério de pesquisa)
+
-
Caracteres especiais devem ser antecedidos pelo símbolo \:
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \
Os critérios da pesquisa avançada são têm como modelo os critérios de pesquisa do pacote de código-fonte aberto do Apache Lucene. Mais detalhes sobre os critérios de pesquisa estão disponíveis na página da Web: Lucene Query Parser Syntax (em inglês).