可以配置 Identity Audit 规格以根据一个或多个可搜索字段过滤事件。有关 Identity Audit 可搜索字段列表,请参见表 4-1。每个规则可以与配置的一个或多个操作相关联。
规则可基于任何可搜索的事件字段。这些字段的列表,请参见 表 4-1。可用运算符取决于事件字段的数据类型。例如,匹配的子网适用于 IP 地址,而匹配的 regex 适用于文本字段。
管理员可以添加基于过滤的规则,然后定义输出符合规则标准的事件的一条或多条通道。
以管理员登录到 Identity Audit。
单击
。单击
。输入规则名称。
如果您将创建多个条件,选择
可用 AND 运算符将多个条件连接起来。选择 可用 OR 运算符将多个条件连接起来。为过滤器选择事件字段、运算符和值。
选择将要在符合过滤条件的每个事件上执行的操作。
操作的详细情况基于单击
链接时所看到的配置信息。根据需要配置其他操作。
单击
。由于是按顺序通过规则来评估事件,直到找到匹配项,所以 Novell 建议您根据情况定制规则。定义更细和更重要的规则应排在列表的开始位置。当有多个规则时,可以使用拖放功能重新定制规则。
重新定制规则:
以管理员登录到 Identity Audit。
单击
。将光标悬停在规则编号的左侧,启用拖放功能。光标将发生变化。
将规则拖放到定制清单中的正确位置。
如果删除规则时已经有事件处于等待操作的队列中,则在停用规则后可能需要一些时间来清空该队列。
在每个规则的左侧,在标题为“开”的列中,是激活该规则的复选框。新规则默认启用。如果停用规则,将不再按照该规则评估传入的事件。如果已经有事件处于等待操作的队列中,则在停用规则后可能需要一些时间来清空该队列。