|
|
|
Chaque connecteur basé sur la même intégration renvoie des journaux d'événements collectés à partir de la source d'événements vers le serveur de collecte CA User Activity Reporting Module dans un fichier journal muni d'un nom prédéfini. L'invite Nom du journal lance une requête pour les événements concernant le nom de journal que vous spécifiez.
Utilisez l'invite Nom du journal pour lancer une requête concernant les événements transférés dans un fichier journal muni du nom spécifié. Chaque connecteur est fondé sur une intégration. Chaque intégration utilise un nom de journal prédéfini. Une requête pour un nom de journal donné renvoie des résultats d'événements collectés par des agents différents, qui utilisent des connecteurs basés sur la même intégration ou sur des intégrations similaires.
Plusieurs conventions sont utilisées pour nommer les journaux :
Certains noms de journal sont réutilisés à mesure que de nouvelles versions ou plateformes sont ajoutées. Par exemple, NT-Security est le nom de journal des journaux de sécurité pour les intégrations suivantes : NTEventLog, Windows2k8 et WinRM.
Pour utiliser l'invite Nom du journal, procédez comme suit :
Cette liste de requêtes affiche le dossier Invites, ainsi qu'un ou plusieurs dossiers pour les autres requêtes.
Le filtre de l'invite Nom du journal affiche le champ suivant :
Représente le nom d'un fichier journal associé à une intégration spécifique.
Les résultats de la requête de l'invite du nom de journal s'affichent.
Indique la sévérité de l'événement, dans laquelle les valeurs dans l'ordre croissant de la sévérité incluent les éléments suivants : informations, avertissement, impact mineur, impact majeur, critique et irrécupérable.
Date à laquelle l'événement a eu lieu.
Identifie la catégorie de niveau supérieur de l'action d'événement correspondante. Par exemple, Accès au système est la catégorie de l'action d'authentification.
Identifie l'action d'événement effectuée par l'exécutant correspondant.
Identifie l'hôte de la source d'événements à partir de laquelle le connecteur collecte les événements.
Identifie l'acteur à l'origine de l'événement, c'est-à-dire, l'identité qui a initié l'action. L'exécutant peut porter le nom d'utilisateur source ou le nom du processus source.
Identifie le nom d'utilisateur du compte utilisé pour l'authentification. Quand le connecteur tente de se connecter à la source d'événement, une authentification se produit. En général, l'authentification utilise un compte ayant peu de privilèges. Pendant le déploiement du connecteur, l'administrateur configure les informations de connexion de ce compte sur la source de l'événement, puis identifie ce compte sur le détecteur de journaux.
Spécifie un code pour le résultat d'événement de l'action correspondante, où S signifie Réussi, E signifie échec, A signifie Accepté, D signifie Ignoré, R signifie Rejeté et U signifie Inconnu.
Nom du journal saisi dans le champ du filtre de l'invite.
| Copyright © 2011 CA. Tous droits réservés. | Envoyer un courriel à CA Technologies sur cette rubrique |