在“规则”界面可以定义评估所有传入事件并将所选事件传输到指定输出通道的规则。例如,每个严重性为 5 级的事件可以通过电子邮件发送给安全分析师分发列表或管理员。
注:所有事件也被传输到数据库。
按顺序对照每个过滤规则评估传入事件直到找到匹配项,然后执行与该规则相关的传输操作。
发送至电子邮件: 使用配置的 SMTP 中断将事件发送给一个或多个用户
写入到文件: 将事件写入到 Identity Audit 服务器上的指定文件
发送到系统日志: 将事件转发到配置的系统日志服务器
提示:通过相关操作处理事件,一次一个。因此,在选择要将哪些事件发送到哪些输出通道时,应考虑性能的内在联系。例如,“写入到文件”操作的资源密集度最小,所以在将大量事件发送到电子邮件或系统日志之前,可以用它来测试规则标准,以此确定数据量。
另外,在设置“发送到电子邮件”操作时,应考虑收件人可以有效处理的事件数量,并对过滤规则做相应调整。
事件输出是 JavaScript Object Notation (JSON) 格式,这是一个无足轻重的数据交换格式。事件由字段名称(例如事件名称 “evt”)和紧随其后的冒号和值(例如 “Start”)组成,中间用逗号隔开。
{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Processing started for Collector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}