4.2 執行事件搜尋
使用者可以執行簡易與進階搜尋。
4.2.1 基本搜尋
基本搜尋可針對表 4-1 中的所有事件欄位執行搜尋。以下是一些基本搜尋範例:
-
root
-
127.0.0.1
-
Lock*
-
driverset0
附註:若使用者機器與 Identity Audit 伺服器機器的時間並未同步 (例如,一部機器的時間比正確時間快 25 分鐘),搜尋時可能會傳回未預期的結果。「」或「」等搜尋是以使用者機器的時間為準。
-
點選左邊的「」連結。
Identity Audit 是組態為在使用者首次點選「」連結時,執行預設搜尋以尋找嚴重性為 3 到 5 的非系統事件。否則,它預設會以使用者上次輸入的搜尋條件執行搜尋。
-
若要執行不同的搜尋,請在搜尋欄位輸入搜尋條件 (例如,admin)。搜尋時不區分大小寫。
-
選取要搜尋的期間。大部分的時間設定都非常容易瞭解,應該不需要特別說明,而且預設值是「」。
-
「」可讓您選取要查詢的開始日期及時間與結束日期及時間。開始日期必須在結束日前之前,而時間則是基礎
-
「」可搜尋資料庫中的所有資料。
-
-
選取「」可包含由 Identity Audit 系統操作所產生的事件。
-
選取「」可依事件時間排序資料 (最新的事件排在最前面)。
附註:依時間排序 (預設值) 所需的時間比依嚴重性排序所需的時間久。
-
點選「」。
搜尋時會尋找索引中的所有欄位是否有指定的文字。旋轉的圖示表示正在進行搜尋。
會顯示事件摘要。
4.2.2 進階搜尋
進階搜尋可搜尋一或多個特定事件欄位中是否有指定的值。進階搜尋準則是以每個事件欄位的簡稱與索引的搜尋邏輯為基礎。下表說明搜尋欄位並提供用於執行進階搜尋的簡稱,而且會指出在基本與詳細資料事件檢視中是否會顯示特定欄位。
若要搜尋指定欄位的值,請使用欄位的簡稱 (如需詳細資訊,請參閱表 4-1) 加上半形冒號與值。例如,若要搜尋 user2 對 Identity Audit 執行的驗證嘗試,請在搜尋欄位中輸入下列文字:
-
evt:authentication AND sun:user2
-
pn:NMAS AND sev:5
-
sip:123.45.67.89 AND evt:“Set Password”
您可以使用下列布林運算子來結合多個進階搜尋準則:
-
AND (必須全部大寫)
-
OR (必須全部大寫)
-
NOT (必須全部大寫,而且不能當成唯一的搜尋準則單獨使用)
-
+
-
-
特殊字元必須使用 \ 符號來進行逸出處理:
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \
進階搜尋準則是以 Apache Lucene 開放原始碼套件的搜尋準則為基礎而建立。您可以在下列網站找到更多關於搜尋準則的詳細資料:Lucene 查詢剖析器語法。