使用者可以執行簡易與進階搜尋。
基本搜尋可針對表 4-1 中的所有事件欄位執行搜尋。以下是一些基本搜尋範例:
root
127.0.0.1
Lock*
driverset0
附註:若使用者機器與 Identity Audit 伺服器機器的時間並未同步 (例如,一部機器的時間比正確時間快 25 分鐘),搜尋時可能會傳回未預期的結果。「
」或「 」等搜尋是以使用者機器的時間為準。點選左邊的「
」連結。Identity Audit 是組態為在使用者首次點選「
」連結時,執行預設搜尋以尋找嚴重性為 3 到 5 的非系統事件。否則,它預設會以使用者上次輸入的搜尋條件執行搜尋。若要執行不同的搜尋,請在搜尋欄位輸入搜尋條件 (例如,admin)。搜尋時不區分大小寫。
選取要搜尋的期間。大部分的時間設定都非常容易瞭解,應該不需要特別說明,而且預設值是「
」。「
」可讓您選取要查詢的開始日期及時間與結束日期及時間。開始日期必須在結束日前之前,而時間則是基礎「
」可搜尋資料庫中的所有資料。選取「
」可包含由 Identity Audit 系統操作所產生的事件。選取「
」可依事件時間排序資料 (最新的事件排在最前面)。附註:依時間排序 (預設值) 所需的時間比依嚴重性排序所需的時間久。
點選「
」。搜尋時會尋找索引中的所有欄位是否有指定的文字。旋轉的圖示表示正在進行搜尋。
會顯示事件摘要。
進階搜尋可搜尋一或多個特定事件欄位中是否有指定的值。進階搜尋準則是以每個事件欄位的簡稱與索引的搜尋邏輯為基礎。下表說明搜尋欄位並提供用於執行進階搜尋的簡稱,而且會指出在基本與詳細資料事件檢視中是否會顯示特定欄位。
若要搜尋指定欄位的值,請使用欄位的簡稱 (如需詳細資訊,請參閱表 4-1) 加上半形冒號與值。例如,若要搜尋 user2 對 Identity Audit 執行的驗證嘗試,請在搜尋欄位中輸入下列文字:
evt:authentication AND sun:user2
pn:NMAS AND sev:5
sip:123.45.67.89 AND evt:“Set Password”
您可以使用下列布林運算子來結合多個進階搜尋準則:
AND (必須全部大寫)
OR (必須全部大寫)
NOT (必須全部大寫,而且不能當成唯一的搜尋準則單獨使用)
+
-
特殊字元必須使用 \ 符號來進行逸出處理:
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \
進階搜尋準則是以 Apache Lucene 開放原始碼套件的搜尋準則為基礎而建立。您可以在下列網站找到更多關於搜尋準則的詳細資料:Lucene 查詢剖析器語法。