As regras do Identity Audit podem ser configuradas para filtrar eventos baseados em um ou mais dos campos pesquisáveis. Para obter uma lista dos campos de evento pesquisáveis do Identity Audit, consulte Tabela 4-1. Cada regra pode ser associada a um ou mais das ações configuradas.
As regras podem ser baseadas em qualquer campo de evento pesquisável. Para obter uma lista desses campos, consulte a Tabela 4-1. Os operadores disponíveis dependem do tipo de dados do campo de eventos. Por exemplo, match subnet está disponível para endereços IP e match regex está disponível para campos de texto.
Os administradores podem adicionar uma regra baseada em filtro e definir um ou mais canais para os quais fornecer os eventos que atendem aos critérios de filtragem.
Efetue login no Identity Audit como administrador.
Clique em
no canto superior direito da página.Clique em
.Digite um nome de regra.
Se você criar várias condições, selecione
para associar as condições a um operador AND. Selecione para associar as condições a um operador OR.Selecione o campo de eventos, o operador e o valor para o filtro.
Selecione uma ação que será executada em todos os eventos que atendem aos critérios de filtragem.
Os detalhes da ação serão baseados nas informações de configuração vistas se você clicar no link
.Configure ações adicionais, conforme desejado.
Clique em
.Como os eventos são avaliados por regras na ordem até que uma correspondência seja feita, a Novell recomenda ordenar as regras de forma adequada. As regras definidas de forma mais restrita e as regras mais importantes devem ser colocadas no início da lista. Quando há mais de uma regra, as regras podem ser reordenadas usando arrastar e soltar.
Para reordenar regras:
Efetue login no Identity Audit como administrador.
Clique em
no canto superior direito da página.Passe o mouse sobre o ícone à esquerda da numeração da regra para habilitar arrastar e soltar. O cursor muda.
Arraste e solte a regra no lugar correto na lista ordenada.
Se houver eventos em fila para uma ação ou ações quando você apagar uma regra, pode demorar um pouco para descarregar essa fila depois que a regra for desativada.
Há uma caixa de seleção à esquerda de cada regra, em uma coluna com título Ativada, para ativar essa regra. As novas regras são ativadas por padrão. Se você desativar uma regra, os eventos de entrada não serão mais avaliados de acordo com essa regra. Se houver eventos em fila para uma ação ou ações, pode demorar um pouco para descarregar essa fila depois que a regra for desativada.