上一页      目录      索引      下一页
Sun Java™ System Identity Manager 7.0 管理指南

第 7 章
报告

Identity Manager 可以报告自动和手动系统活动。强健的报告功能组可以随时捕获和查看有关 Identity Manager 用户的重要访问信息和统计信息。

在本章中，您将了解 Identity Manager 报告类型，如何创建、运行和通过电子邮件发送报告，以及如何下载报告信息。

本章分为以下几节：

使用报告
报告类型
风险分析
系统监视
使用面板

---

使用报告

在 Identity Manager 中，报告被视为一类特殊任务。因此，可以在 Identity Manager 管理员界面的两个区域使用报告：

Reports — 可以在此区域定义、运行、删除和下载报告。还可以管理调度的报告。
Tasks — 定义报告后，转至 "Tasks" 区域调度和操作报告任务。

报告

可以从 "Run Reports" 页执行大多数与报告相关的活动，使用该页您可以完成以下报告活动：

创建、修改和删除报告
运行报告
下载报告信息以在其他应用程序（如 StarOffice）中使用。

要查看该页，请在菜单栏中选择 Reports。将出现 Run Reports 页，其中显示可用报告的列表。

默认情况下，除非通过选择针对其运行报告的一个或多个组织来覆盖以下报告，否则将在登录管理员控制的组织集上运行这些报告。

管理员角色摘要
管理员摘要
角色摘要
用户问题摘要
用户摘要

图 7-1 显示 "Run Reports" 页的示例。

图 7-1  "Run Reports" 选项

使用以下方法之一开始定义报告：

创建报告。
选择要修改的报告，然后使用新名称保存（也称为报告克隆）。

创建报告

要创建报告，请执行以下步骤：

在菜单栏中选择 Reports。
选择报告类别："Identity Manager Reports" 或 "Auditor Reports"，然后从 New 选项列表中选择报告类型。

Identity Manager 将显示 "Define a Report" 页，在此页中可选择和保存用来创建报告的选项。

克隆报告

要克隆报告，请从列表中选择一个报告。输入新报告名称，并调整报告参数（可选），然后单击 Save 用新名称保存报告。

用电子邮件发送报告

创建或编辑报告时，可以选择选项，通过电子邮件将报告结果发送给一个或多个电子邮件收件人。选择此选项时，页面将刷新并提示输入电子邮件收件人的地址。输入一个或多个地址，中间用逗号分隔。

还可以选择要附加到电子邮件的报告格式：

Attach CSV Format — 以逗号分隔值 (Comma-separated Value, CVS) 格式附加报告结果。
Attach PDF Format — 以可移植文档格式 (Portable Document Format, PDF) 附加报告结果。

运行报告

输入并选择了报告条件后，您可以执行以下操作：

运行报告但不保存 — 单击 Run 运行报告。Identity Manager 不保存报告（如果定义新报告）或更改的报告条件（如果编辑现有报告）。
保存报告 — 单击 Save 保存报告。保存后，您可从 "Run Reports" 页（报告的列表）运行报告。

调度报告

根据您希望立即运行报告，还是希望进行调度以使之按固定时间间隔运行，可以做出不同的选择：

Reports > Run Reports — 允许立即运行保存的报告。在报告列表中，单击 Run。Identity Manager 将运行报告，然后以摘要和明细格式显示结果。
Tasks > Schedule Tasks — 调度要运行的报告任务。选择报告任务后，可以设置报告的频率和选项。还可以调整报告的具体细节（就如同在 "Define a Report" 页的 "Reports" 区域中一样）。

下载报告数据

从 "Run Reports" 页，在以下任一列中单击 Download：

Download CSV Report — 下载 CSV 格式的报告输出。保存报告后，可以在其他应用程序（如 StarOffice）中打开和使用该报告。
Download PDF Report — 下载可移植文档格式的报告输出，该报告可使用 Adobe Reader 查看。

图 7-2  下载报告

为报告输出配置字体

对于以可移植文档格式 (PDF) 生成的报告，可以做出选择以确定要在报告中使用的字体。

要配置报告字体选项，请单击 Reports，然后选择 Configure。可使用以下选项：

PDF 报告选项
PDF Font Name — 选择生成 PDF 报告时使用的字体。默认情况下，仅显示适用于所有 PDF 查看器的字体。但是，通过将字体定义文件复制到产品的 fonts/ 目录中并重新启动服务器可以将其他字体（如支持亚洲语言所需的字体）添加到系统。

接受的字体定义格式包括 .ttf、.ttc、.otf 和 .afm。如果您选择了其中一种字体，则这种字体必须在查看报告的计算机系统中可用。也可选择 "Embed Font in PDF Documents" 选项。

Embed Font in PDF Documents — 选择该选项可以在生成的 PDF 报告中嵌入字体定义。这将保证在任意 PDF 查看器中可以查看该报告。

注	嵌入字体会显著增加文档的大小。

CSV Report Options — 选择生成报告时要使用的字符集。

单击 Save 保存报告配置选项。

---

报告类型

Identity Manager 提供多种报告类型：

Auditor
审计日志
实时
摘要
系统日志
用法

可通过以下其中一种报告类别或这两种报告类别访问这些报告：

Identity Manager 报告
Auditor 报告

Auditor

Auditor 报告提供有助于您根据审计策略中定义的条件来管理用户遵循性的信息。有关审计策略和 Auditor 报告的详细信息，请参见第 11 章“身份审计”。

Identity Manager 提供以下 Auditor 报告：

访问查看报告
审计策略扫描
审计策略摘要报告
已审计的属性报告
审计策略违规历史
用户访问报告
组织违规历史
资源违规历史
违规摘要报告
任务划分报告

要定义 Auditor 报告，请选择 "Run Reports" 页上的 Auditor Reports 选项，然后从 "Auditor Reports" 列表中选择报告。有关 Auditor 报告的详细信息，请参见使用 Auditor 报告。

审计日志

审计报告基于在系统审计日志中捕获的事件。这些报告提供有关生成的帐户、批准的请求、失败的访问尝试、密码更改和重设、自置备活动、策略违规、服务提供商（外联网）用户及其他方面的信息。

注	在运行审计日志前，必须指定要捕获的 Identity Manager 事件类型。要执行此操作，请在菜单栏中选择 Configure，然后选择 Audit。选择一个或多个审计组名称，以记录每个组的成功和失败事件。有关设置审计配置组的详细信息，请参见配置审计组和审计事件。

您可以通过从 "Run Reports" 页上的报告选项列表中选择 "AuditLog Report" 来运行该报告。从 Identity Manager 报告和 Auditor 报告类别中均可找到该报告。

设置并保存报告参数后，便可以从 "Run Reports" 列表页运行该报告。单击 Run 生成一个包含所有符合保存条件的结果的报告。报告内容包括事件发生的日期、执行的操作和操作结果。

实时

实时报告直接轮询资源以报告实时信息。实时报告包括：

Resource Group — 概述组属性，包括用户成员资格。
Resource Status — 通过对每项资源执行 testConnection 方法来测试一项或多项指定资源的连接状态。
Resource User — 列出用户资源帐户和帐户属性。

要定义实时报告，请从 "Run Reports" 页上的 Identity Manager Reports 列表中选择一个报告选项。

设置并保存报告参数后，便可以从 "Run Reports" 列表页运行该报告。单击 Run 生成一个包含所有符合保存条件的结果的报告。

摘要报告

摘要报告类型包括 Identity Manager 报告列表中的以下报告：

Account Index — 根据协调情况报告选定的资源帐户。
Administrator — 查看 Identity Manager 管理员、管理员管理的组织以及分配的权能。定义管理员报告时，可以按组织选择要包含的管理员。
Admin Role — 列出分配了管理员角色的用户。
Role — 概述 Identity Manager 角色及关联的资源。定义角色报告时，可以按相关组织选择要包含的角色。
Task — 报告暂挂和已完成的任务。通过从属性列表中进行选择来确定要包括的信息的深度，例如批准者、描述、到期日期、拥有者、开始日期和状态。
User — 查看用户、分配给用户的角色以及用户可访问的资源。定义用户报告时，可以按名称、分配的管理员、角色、组织或资源分配选择要包括的用户。
User Question — 允许管理员查找未回答帐户策略要求指定的最小数量验证问题的用户。结果显示用户名、帐户策略、与策略关联的界面及要求回答问题的最小数量。

如下图所示，管理员报告列出了 Identity Manager 管理员、管理员管理的组织以及其分配的权能和管理员角色。

图 7-3  管理员摘要报告

系统日志

系统日志报告可显示记录在系统信息库中的系统消息和错误。设置此报告时，可以指定包含或排除以下内容：

系统组件（如置备程序、调度程序或服务器）
错误代码
严重级别（错误、致命或警告）

也可设置要显示的最大记录数（默认值为 3000），以及可用记录超过指定的最大数时要显示最旧的记录还是最新的记录。

运行系统日志报告时，通过指定目标条目的 syslog ID 可检索特定的 Syslog 条目。例如，要在 "Recent Systems Messages" 报告中查看特定条目，请编辑该报告并选择 Event 字段，然后输入请求的 syslog ID 并单击 Run。

注	也可运行 lh syslog 命令从系统日志中提取记录。有关命令选项的详细信息，请参阅附录 A“lh 参考消息”中的“syslog 命令”。

要定义系统日志报告，请从 "Run Reports" 页上的报告选项列表中选择 SystemLog Report。

使用情况报告

创建和运行使用情况报告可以查看与 Identity Manager 对象（如管理员、用户、角色或资源）相关的系统事件的图形或表格摘要。可以采用饼图、条形图或表格形式显示输出。

要定义使用情况报告，请从 "Run Reports" 列表页上的报告选项列表中选择 Usage Report。

设置并保存报告参数后，便可以从 "Run Reports" 列表页运行该报告。

使用情况报告图表

在下图中，上方的表格显示报告包含的事件。下方的图表以图形形式显示相同的信息。将鼠标指针移至图表的每个部分时，会显示相应部分的值。

图 7-4  使用情况报告（生成的用户帐户）

可以对饼图的各部分进行操作以突出显示它们。右键单击并按住某个数据扇区，然后将其拖离中心，使该扇区与其他数据扇区分离开来。可以对饼图的一个或多个部分进行此操作。获得最大程度的控制，可在中心附近单击扇区；这样可以将其拖动到与其他扇区距离更远的区域。

也可以将饼图旋转成您需要的视图。单击并按住饼图的边缘，然后向右或向左移动鼠标以旋转视图。

---

风险分析

Identity Manager 风险分析功能允许对配置文件超出一定安全限制的用户帐户进行报告。风险分析报告扫描物理资源，以收集数据，并按资源显示有关禁用的帐户、锁定的帐户和无拥有者帐户的详细信息。此类报告还提供有关到期密码的详细信息。报告细节因资源类型而异。

注	标准报告可用于 AIX、HP、Solaris、NetWare NDS、Windows NT 和 Windows Active Directory 资源。

风险分析页由表单控制，并可以针对您的环境进行配置。可以在 idm\debug 页的 RiskReportTask 对象下找到一个表单列表，然后可以使用业务进程编辑器对它们进行修改。有关配置 Identity Manager 表单的详细信息，请参见 Identity Manager 工作流、表单和视图。

要创建风险分析报告，请在菜单栏中单击 Risk Analysis，然后从 "New" 选项列表中选择一个报告。

可以将报告限制为仅扫描选定的资源；根据资源的类型，可以扫描以下帐户：

已禁用、已到期、非活动或已锁定的帐户
从未使用过的帐户
没有全称或密码的帐户
不需要密码的帐户
密码已到期或未在指定天数内更改。

定义完成后，可以将风险分析报告调度为按指定间隔运行。

单击 Schedule Tasks，然后选择要运行的报告。
在 "Create Task Schedule" 页，输入名称和进度表信息，然后调整其他风险分析选项（可选）。
单击 Save 以保存该进度表。

---

系统监视

您可以设置 Identity Manager 实时跟踪事件并通过在面板图形中查看事件以进行监视。使用面板，您可以快速评估系统资源和点异常性，了解历史性能趋势（基于当天时间、周几等）以及在查看审计日志前交互隔离问题。它们不会提供像审计日志那样详细的信息，但是它们可提供给您一些提示，告诉您在哪可以查找日志中问题。

您可以创建图形面板显示以跟踪高级别的自动和手动活动。Identity Manager 提供了样例资源操作面板图形。资源操作面板图形使您可以快速监视系统资源，以维持可接受的服务级别。

您可以在资源操作面板中查看这些图形的样例数据。有关使用面板的详细信息，请参见使用面板。

以不同的级别收集和聚集统计信息，以根据您的规范显示实时视图。

跟踪的事件配置

在 "Configure Reports" 页的 "Tracked Event Configuration" 区域中，您可以决定当前是否启用跟踪事件的统计信息收集，并将其启用。单击 Enable event collection 可启用跟踪的事件配置。

为事件收集指定以下选项：

Time Zone — 该选项设置用于记录跟踪的事件的时区。这主要确定日期边界开始的时间。

您也可以将时区设置为服务器上设置的默认时区。

Time Scales to collect — 该选项指定数据聚集的时间间隔（即数据收集和保留的频率）。例如，如果选择 1 分钟的时间间隔，则每隔 1 分钟收集并保留数据。

系统可以存储不断增大的时间范围内的跟踪事件数据，以获得系统当前的详细视图，并了解历史趋势。

以下时间范围可用。默认情况下将全部选定。清除不需要的收集间隔选项。

10 秒钟间隔
1 分钟间隔
1 小时间隔
1 天间隔
1 周间隔
1 个月间隔

配置了跟踪的事件后，使用面板监视跟踪的事件。

---

使用图形

您可以执行以下与图形有关的活动：

查看定义的图形
创建图形
编辑图形
删除图形

查看定义的图形

Identity Manager 提供一些样例图形。一些使用样例数据，而一些不使用样例数据。建议您创建适用于您部署的其他图形。

您应该在将部署移入生产系统前删除样例图形和样例面板。如果尚未收集任何适用数据，则某些没有使用样例数据的样例图形可能会显示为空白。

在菜单栏中单击 Reports。
单击 Dashboard Graphs。

将列出定义的所有图形。

单击所需图形的名称。
如果需要，单击 Pause refresh 以暂停面板刷新。单击 Resume 以更新视图。

注	对于包含多个图形的面板，有时在初始加载所有图形前暂停刷新很有用。

如果需要，单击 Refresh now 以立即强制执行刷新。
单击 Done 以返回到 "Dashboard Graphs" 列表页。

注	如果任何一个图形显示了错误消息，请使用调试页设置 "System Configuration" 配置对象中的 dashboard.debug=true。设置了该属性后，返回到生成错误的图形并使用 Please include this text script if reportingroblem 链接检索图形脚本。报告问题时应包括该图形脚本。

创建图形

使用以下步骤创建新面板图形：

在菜单栏中单击 Reports。
单击 Dashboard Graphs。

将列出定义的所有图形。

单击 New。图 7-5 说明了 "Edit Graph" 页。

图 7-5  

编辑图形

要生成的图形

输入 Graph Name。由于图形将按名称添加到面板中，请选择唯一的有意义的名称。
如果需要，请选择 Use Sample Data。

启用该选项以预览带有样例数据的图形。样例数据选项仅提供给您以使您熟悉系统。由于不是所有跟踪事件都能获得样例数据，因此，在演示和试验各种图形选项时该选项非常有用。在转至生产环境之前删除样例数据。

注	使用样例数据的跟踪事件集不同于实际跟踪的事件。

从列表中选择所需类型的 Tracked Event。

事件是一种系统特征（例如内存使用率）或事件的聚集（例如资源操作），它们的历史值将被跟踪并可以直观地显示为图形或图表。

从列表中选择 Time Scale。

它控制数据聚集的频率（例如一小时）及其保留的频率（例如一个月）。系统可以存储不断增大的时间范围内的跟踪事件数据，以获得系统当前的详细视图，并了解历史趋势。

从列表中选择 Metric。根据选定的跟踪事件，将选择一个默认值（计数或平均值）。

每个图形显示一种度量。可用的度量取决于选定的跟踪事件。可能的度量有：

Count — 时间间隔内事件发生的总次数
Average — 时间间隔内事件值的算术平均值
Maximum — 时间间隔内的最大事件值
Minimum — 时间间隔内的最小事件值
Histogram — 分别计数时间间隔内各个离散区域的事件值
从列表中选择 Show count as。

图形计数显示为原始总数或按不同的时间范围进行划分。

从列表中选择 Graph Type。

这用于控制如何显示跟踪事件的数据。可用的图形类型取决于选择的跟踪事件，可能包括折线图、条形图和饼形图。

基本尺寸

如果需要，从列表中选择以下选项：
Resource Name。如果选择了该选项，尺寸的所有值均将包括在图形中。取消选定该选项可以选择将尺寸的单个值包含在图形中。
Server Instance。如果选择了该选项，尺寸的所有值均将包括在图形中。取消选定该选项可以选择将尺寸的单个值包含在图形中。
Operation Type。如果选择了该选项，尺寸的所有值均将包括在图形中。取消选定该选项可以选择将尺寸的单个值包含在图形中。

选择了尺寸后，页面将刷新以显示图形。

图形选项

如果需要，输入 Graph Subtitle

这会在图形的主标题下面产生一个副标题。

高级图形选项

如果需要，请选择 Advanced Graph Options。如果您要设置以下选项，请选择该选项：
Grid Lines
Font
Color Palette
单击 Save 以创建图形。

编辑图形

选择 "Reports" 选项卡，然后在 Dashboard Graphs 列表中选择图形名称可以编辑图形。

您可编辑的图形属性因选择的图形而异。以下一个或多个特征可用于编辑：

Graph Name — 按名称将图形添加到面板。
Registry — 指定注册表中定义的跟踪的事件描述。当前选项包括：SAMPLE、SPE（服务提供商）和 IDM。
Tracked Event — 一种系统特征（例如内存使用率）或事件的聚集（例如资源操作），它们的历史值将被跟踪并可以直观地显示为图形或图表。
Time Scale — 控制数据聚集的频率及其保留的频率。
Metric — 每个图形显示一种度量。可用的度量取决于选定的跟踪事件。对于所选度量，可能还有其他可用选项。
Graph type — 控制如何显示跟踪事件的数据（例如折线图或条形图）。
Included Dimension Values — 如果选择了该选项，尺寸的所有值均将包括在图形中。
Graph Subtitle — 如果需要，请在图形主标题下输入副标题。
Advanced Graph Options — 如果您要设置以下选项，请选择该选项：
Grid Lines
Font
Color Palette
单击 Save。

删除图形

从 Dashboard Graphs 列表中选择图形，然后单击 Delete 将图形删除。

注	删除某个图形会自动将其从所有包含该图形的面板中删除，并且不会发出警告。

---

使用面板

面板是在单个页面上查看的相关图形的集合。和图形一样，Identity Manager 提供了一组样例面板，建议管理员使用这些样例面板自定义他们自己的部署。有关说明，请参见创建面板。

"Reports" 菜单中的以下区域允许您使用面板。

您可以在 Identity Manager 界面的 Reports 区域中查看现有的面板。单击 "View Dashboards"、Dashboard Graphs 以列出当前定义的面板，然后单击要查看的面板旁的 Display。

注	对于包含多个图形的面板，有时在初始载入所有图形前暂停刷新很有用。 单击 Pause 以暂停面板刷新或单击 Refresh 以更新视图。

以下各节提供了使用面板的步骤：

创建面板
编辑面板
删除面板

创建面板

要创建面板，请执行以下步骤：

在菜单栏中单击 Reports。
单击 View Dashboards。
单击 New。
输入新面板的名称。
输入描述新面板的摘要。
选择刷新速率，单位为列表中的秒、分钟或小时。

注	将刷新速率设置为小于 30 秒会导致包含多个图形的面板出现问题。

要使图形样式与面板关联，请从列表中选择相应的条目。

注	单个图形可以用在多个面板中。

要删除面板图形，请从列表中选择相应的条目并单击 Remove Graph(s)。
单击 Save。

编辑面板

使用创建面板中描述的步骤编辑面板（除选择 "New" 外），选择要修改的面板并编辑以下属性：

面板的名称。
描述新面板的摘要。
刷新速率，单位为列表中的秒、分钟或小时。
添加或删除与面板关联的图形。

注	从面板删除图形并不会删除图形本身。该图形仍可用于其他面板。 单个图形可以用在多个面板中。

图 7-6 说明了样例面板编辑页。

图 7-6  编辑面板

删除面板

要删除服务提供商面板，请在 "Service Provider" 区域中单击 Manage Dashboards，然后选择所需的面板并单击 delete。

注	使用上述步骤不会删除包含在面板中的图形。请使用 "Manage Dashboard Graphs" 页删除图形（请参见“删除图形”）。

搜索事务

某个事务可以封装单个置备操作，例如创建新用户或分配新资源。为确保这些事务在资源不可用时也能完成，已将其写入 "Transaction Persistent Store"。

注	使用 "Edit Transaction Configuration" 页（请参见“事务管理”），管理员可以控制使事务具有持久性的时间。例如，即使事务尚未进行首次尝试，也可以使其立即具有持久性。

使用 "Search Transactions" 页您可以搜索 "Transaction Persistent Store" 中的事务。这包括仍在进行重试的事务以及已完成的事务。可以取消尚未完成的事务，以阻止其进一步的尝试。

要搜索事务：

登录到 Identity Manager。
在菜单栏中单击 Service Provider。
单击 Search Transations。

将显示 Search Conditions 页。

注	搜索仅返回与以下选定的所有条件匹配的事务。这类似于 Identity Manager 中的 "Accounts"-> "Find Users" 页。

如果需要，请选择 User Name。

这允许您仅搜索与具有您输入的 accountId 的用户相对应的事务。

注	如果您在 Service Provider Edition "Transaction Configuration" 页上配置了所有自定义的可查询用户属性，则这些属性将在此处显示。例如，如果已将 "Last Name" 和 "Full Name" 配置为自定义的可查询用户属性，则您可以选择根据 "Last Name" 或 "Full Name" 进行搜索。

如果需要，请选择针对 Type 搜索。

这允许您搜索选定类型的事务。

如果需要，请选择针对 State 搜索。

这允许您搜索处于以下选定状态的事务：

Unattempted 表示尚未尝试的事务。
Pending retry 表示这样的事务：已经尝试一次或多次，具有一个或多个错误，并计划重试，重试次数不超过为各个资源配置的重试限制。
Success 表示已经成功完成的事务。
Failure 表示已经完成但具有一个或多个故障的事务。
如果需要，请选择针对 Attempts 搜索。

这允许您根据已尝试事务的次数搜索这些事务。将会重试失败的事务，重试次数不超过为单个资源配置的重试限制。

如果需要，请选择针对 Submitted 搜索。

这允许您根据事务初次提交的时间搜索这些事务，以小时、分钟或天为增量。

如果需要，请选择针对 Completed 搜索。

这允许您根据事务完成的时间搜索这些事务，以小时、分钟或天为增量。

如果需要，请选择针对 Cancelled Status 搜索。

这允许您根据事务是否已取消搜索这些事务。

如果需要，请选择针对 Transaction ID 搜索。

这允许您根据事务唯一的 ID 搜索这些事务。使用该选项可以根据您输入的出现在所有审计日志记录中的 ID 值查找事务。

如果需要，请选择针对 Running On （哪一台服务器）搜索。

这允许您根据运行事务的 Service Provider Edition 服务器搜索这些事务。服务器的标识符基于它的计算机名称，除非它已在 Waveset.properties 文件中被覆盖。

将搜索结果数限制为从列表中选择的首个条目数。

返回的结果数不会超过指定的限制值。即使有更多的结果可用，也不会做任何指示。

图 7-7  

搜索事务

单击 Search。

将显示搜索结果。

如果需要，请单击结果页面底部的 Download All Matched Transactions。这会将结果保存为 XML 格式的文件。

注	您可以取消搜索结果中返回的事务。选择结果表中的事务，然后单击 Cancel Selected。您无法取消已完成的或已取消的事务。

上一页      目录      索引      下一页

---

文件号码： 820-0140。   版权所有 2006 Sun Microsystems, Inc. 保留所有权利。