8.2 配置规则

可以配置 Identity Audit 规格以根据一个或多个可搜索字段过滤事件。有关 Identity Audit 可搜索字段列表,请参见表 4-1。每个规则可以与配置的一个或多个操作相关联。

8.2.1 过滤条件

规则可基于任何可搜索的事件字段。这些字段的列表,请参见 表 4-1。可用运算符取决于事件字段的数据类型。例如,匹配的子网适用于 IP 地址,而匹配的 regex 适用于文本字段。

8.2.2 添加规则

管理员可以添加基于过滤的规则,然后定义输出符合规则标准的事件的一条或多条通道。

  1. 以管理员登录到 Identity Audit。

  2. 单击 页面右上角的规则

  3. 单击添加规则

  4. 输入规则名称。

  5. 如果您将创建多个条件,选择全部可用 AND 运算符将多个条件连接起来。选择任何可用 OR 运算符将多个条件连接起来。

  6. 为过滤器选择事件字段、运算符和值。

  7. 选择将要在符合过滤条件的每个事件上执行的操作。

    操作的详细情况基于单击配置链接时所看到的配置信息。

  8. 根据需要配置其他操作。

  9. 单击保存

8.2.3 定制规则

由于是按顺序通过规则来评估事件,直到找到匹配项,所以 Novell 建议您根据情况定制规则。定义更细和更重要的规则应排在列表的开始位置。当有多个规则时,可以使用拖放功能重新定制规则。

重新定制规则:

  1. 以管理员登录到 Identity Audit。

  2. 单击 页面右上角的规则

  3. 将光标悬停在规则编号的左侧,启用拖放功能。光标将发生变化。

  4. 将规则拖放到定制清单中的正确位置。

8.2.4 删除规则

如果删除规则时已经有事件处于等待操作的队列中,则在停用规则后可能需要一些时间来清空该队列。

8.2.5 激活或取消激活规则

在每个规则的左侧,在标题为“开”的列中,是激活该规则的复选框。新规则默认启用。如果停用规则,将不再按照该规则评估传入的事件。如果已经有事件处于等待操作的队列中,则在停用规则后可能需要一些时间来清空该队列。