4.2 Executando uma Pesquisa de Evento

Os usuários podem executar pesquisas simples e avançadas.

4.2.1 Pesquisa Básica

Uma pesquisa básica é executada em todos os campos do evento em Tabela 4-1. Alguns exemplos de pesquisas básicas incluem o seguinte:

  • raiz

  • 127.0.0.1

  • Bloquear*

  • driverset0

NOTA:Se o horário não estiver sincronizado entre a máquina do usuário final e o servidor do Identity Audit (por exemplo, uma máquina está 25 minutos atrasada), você poderá obter resultados inesperados da pesquisa. Pesquisas, como Última 1 hora ou Últimas 24 horas, são baseadas no horário da máquina do usuário final.

  1. Clique no link Pesquisar à esquerda.

    O Identity Audit está configurado para executar uma pesquisa padrão para eventos que não pertencem ao sistema com severidade 3 a 5 a primeira vez que um usuário clica no link Pesquisar. Caso contrário, ele assumirá como padrão o último termo da pesquisa digitado pelo usuário.

  2. Para uma pesquisa diferente, digite um termo no campo de pesquisa (por exemplo, admin). A pesquisa não difere maiúsculas de minúsculas.

  3. Selecione o período no qual a pesquisa deve ser realizada. A maioria das configurações de tempo são auto-explicativas, e o padrão é Últimos 30 Dias.

    • Personalizar permite que você selecione uma data e uma hora de início e de término para a consulta.

    • Todos os períodos pesquisa todos os dados do banco de dados.

  4. Selecione Incluir Eventos do Sistema para incluir os eventos gerados pelas operações do sistema Identity Audit.

  5. Selecione Classificar por Horário para organizar os dados com os eventos mais recentes no início.

    NOTA:A classificação por horário demora mais tempo que a classificação por relevância, que é o padrão.

  6. Clique em Pesquisar.

    É possível pesquisar o texto especificado em todos os campos do índice. Um ícone giratório indica que a pesquisa está sendo realizada.

    Os resumos do evento são exibidos.

4.2.2 Pesquisa Avançada

Uma pesquisa avançada pode pesquisar um valor em um ou mais campos específicos do evento. Os critérios da pesquisa avançada são baseados nos nomes reduzidos de cada campo do evento e na lógica de pesquisa do índice. A tabela a seguir descreve os campos, fornece os nomes curtos para pesquisas avançadas e indica se os campos estão visíveis nas telas básica e detalhada do evento.

Para pesquisar um valor em um campo específico, use o nome abreviado do campo (para obter mais informações, consulte a Tabela 4-1), dois-pontos e o valor. Por exemplo, para pesquisar uma tentativa de autenticação do Identity Audit feita pelo usuário2, digite o seguinte texto no campo de pesquisa:

  • evt:authentication AND sun:user2

  • pn:NMAS AND sev:5

  • sip:123.45.67.89 AND evt:“Set Password”

Vários critérios de pesquisa avançada podem ser combinados usando os seguintes operadores booleanos:

  • AND (deve estar em maiúsculas)

  • OR (deve estar em maiúsculas)

  • NOT (deve estar em maiúsculas e não pode ser usado como o único critério de pesquisa)

  • +

  • -

Caracteres especiais devem ser antecedidos pelo símbolo \:

+ - && || ! ( ) { } [ ] ^ " ~ * ? : \

Os critérios da pesquisa avançada são têm como modelo os critérios de pesquisa do pacote de código-fonte aberto do Apache Lucene. Mais detalhes sobre os critérios de pesquisa estão disponíveis na página da Web: Lucene Query Parser Syntax (em inglês).