4.2 运行事件搜索
用户可以运行简单和高级搜索。
4.2.1 基础搜索
会针对 表 4-1 中的所有事件字段运行一个基本搜索。其中的基本搜索样例包括:
-
root
-
127.0.0.1
-
锁定*
-
driverset0
注:如果最终用户计算机和 Identity Audit 服务器的时间未实现同步(例如,一台计算机延迟 25 分钟),则可能得到异常的搜索结果。或 之类的搜索基于最终用户的计算机时间。
-
单击左侧的链接。
Identity Audit 会被配置为在用户第一次单击链接时,运行严重性为 3 到 5 的非系统事件的默认搜索。 否则,默认设置为用户输入的最后一个搜索术语。
-
如果是其他搜索,则在搜索字段中键入一个搜索术语(例如 admin)。 该搜索不区分大小写。
-
选择执行搜索的时间段。大部分时间设置具有说明含义,默认值为“过去 30 天”。
-
“自定义”允许为查询选择开始日期和时间以及结束日期和时间。起始日期必须早于结束日期,时间基于
-
会搜索数据库中的所有数据。
-
-
选择以包括 Identity Audit 系统操作生成的事件。
-
选择,将最近事件的数据排在前面.
注:按时间排序比作为默认设置的按相关性排序的时间长。
-
单击“搜索”。
将对索引中的所有字段搜索指定文本。旋转图标表明正在进行搜索。
显示事件摘要。
4.2.2 高级搜索
高级搜索可以在特定事件字段中搜索值。高级搜索条件以每个事件字段的短名称和索引的搜索逻辑为基础。下表介绍这些字段,提供用于高级搜索的短名称,并指示这些字段在基本视图和详细视图中是否可见。
若要搜索特定字段中的值,请使用字段的短名称(有关更多信息,请参见 表 4-1)、一个冒号和值。例如,要搜索 user2 对 Identity Audit 的身份验证尝试,请在搜索字段中输入以下文本:
-
evt:authentication AND sun:user2
-
pn:NMAS AND sev:5
-
sip:123.45.67.89 AND evt:“Set Password”
可以使用布尔型运算符组合多个高级搜索条件:
-
AND(必须大写)
-
OR(必须大写)
-
NOT(必须大写,并且不能用作唯一搜索条件)
-
+
-
-
必须使用 \ 符号转义特殊字符:
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \
高级搜索条件以用于 Apache Lucene 开放源程序包的搜索条件为模型。有关搜索条件的更多详细信息,请访问网页:Lucene 查询分析器语法。