Sun Java System Identity Manager 7.0 管理指南 |
第 7 章
報告Identity Manager 報告自動和手動系統作業。強大的報告功能組可讓您隨時擷取和檢視有關 Identity Manager 使用者的重要存取資訊和統計。
在本章中,您將瞭解 Identity Manager 報告類型、如何建立、執行和透過電子郵件傳送報告,以及如何下載報告資訊。
本章分為以下小節:
使用報告在 Identity Manager 中,將報告視為一類特殊的作業。因此,可以在 Identity Manager 管理員介面的兩個區域中使用報告:
報告
大多數與報告相關的作業都是在 [Run Reports] 頁面中執行的,在該頁面中您可以完成以下報告作業:
若要檢視此頁面,請從功能表列中選取 [Reports]。螢幕將顯示 [Run Reports] 頁面,其中顯示了可用報告的清單。
依預設,以下報告在已登入管理員所控制的組織集上執行,除非選取了一個或多個組織 (針對其執行報告) 來置換該組織集。
圖 7-1 為 [Run Reports] 頁面的範例。
圖 7-1 [Run Reports] 選取
使用下列方法之一開始定義報告:
建立報告
若要建立報告,請使用以下步驟:
Identity Manager 會顯示 [Define a Report] 頁面,您可在其中選取並儲存建立報告時要用的選項。
複製報告
若要複製報告,請從清單中選取一個報告。輸入新報告名稱並選擇性地調整報告參數,然後按一下 [Save] 將報告以新名稱儲存。
通過電子郵件傳送報告
建立或編輯報告時,您可選取某一選項,將報告結果傳送給一或多位電子郵件收信人。當您選取此選項時,頁面會更新並提示您輸入電子郵件收件者。輸入一或多位收信人,以逗號分隔郵件地址。
您也可選擇要附加到電子郵件中的報告格式:
執行報告
輸入並選取報告條件之後,您可以:
排定報告
您可以根據自己的意願,即是要立即執行報告或是將其排定為以固定間隔執行,而做出不同的選擇:
下載報告資料
從 [Run Reports] 頁面的以下其中一欄中,按一下 [Download]:
配置報告輸出的字型
對於以可移植文件格式 (PDF) 產生的報告,您可以進行選取以決定要在報告中使用的字型。
若要配置報告字型選項,請按一下 [Reports],然後選取 [Configure]。可使用以下選項:
按一下 [Save] 可儲存報告配置選項。
報告類型Identity Manager 提供了數種報告類型:
可透過以下一種或兩種報告種類來存取這些報告:
Auditor
Auditor 報告提供有助於您依據稽核策略中定義的條件管理使用者規範遵循的資訊。如需有關稽核策略和 Auditor 報告的更多資訊,請參閱第 11 章「身份識別稽核」。
Identity Manager 提供以下 Auditor 報告:
若要定義 Auditor 報告,請在 [Run Reports] 頁面中選取 [Auditor Reports] 選項,然後從 [Auditor Reports] 清單中選取報告。如需有關 Auditor 報告的更多資訊,請參閱使用 Auditor 報告。
稽核記錄
稽核報告會以系統稽核記錄中擷取的事件為基礎。這些報告提供多項資訊,其中包括產生的帳號、核准的請求、失敗的存取嘗試、密碼變更與重設、自我佈建的作業、策略違規及服務提供者 (企業外部網路) 使用者等。
備註 在執行稽核記錄之前,您必須指定希望擷取的 Identity Manager 事件類型。若要執行此作業,請從功能表列中選取 [Configure],然後選取 [Audit]。選取一個或多個稽核群組名稱來記錄每個群組的成功與失敗事件。如需有關設定稽核配置群組的更多資訊,請參閱配置稽核群組和稽核事件。
您可以從 [Run Reports] 頁面的報告選項清單中選取 [AuditLog Report],以執行該報告。[Identity Manager Reports] 和 [Auditor Reports] 種類均包含此報告。
您設定與儲存報告參數後,請即從 [Run Reports] 清單頁面中執行報告。按一下 [Run] 可產生一個包含與已儲存條件相符之所有結果的報告。報告中包含事件發生日期、執行的動作及動作的結果。
即時
即時報告直接輪詢資源以報告即時資訊。即時報告包括:
若要定義即時報告,請從 [Run Reports] 頁面的 [Identity Manager Reports] 清單中選取一個報告選項。
您設定與儲存報告參數後,請即從 [Run Reports] 清單頁面中執行報告。按一下 [Run] 可產生一個包含與已儲存條件相符之所有結果的報告。
摘要報告
摘要報告類型包括 [Identity Manager Reports] 清單中的以下報告:
- [Account Index] — 根據調解狀況報告選取的資源帳號。
- [Administrator] — 檢視 Identity Manager 管理員、管理員管理的組織以及指定的權能。定義管理員報告時,您可以依組織選取要包括的管理員。
- [Admin Role] — 列示指定給管理員角色的使用者。
- [Role] — 概述 Identity Manager 角色以及關聯資源。定義角色報告時,您可以依相關組織選取要包括的角色。
- [Task] — 報告擱置的作業和已完成的作業。您可以透過從屬性清單中選取來決定要包括的資訊深度,例如核准者、說明、過期日期、所有者、起始日期與狀態。
- [User] — 檢視使用者、為其指定的角色及其可以存取的資源。定義使用者報告時,您可以依名稱、指定的管理員、角色、組織或資源指定選取要包含的使用者。
- [User Question] — 允許管理員尋找沒有回答最低數目的認證問題的使用者,此數目按其帳號策略需求指定。結果會指出使用者名稱、帳號策略、與策略相關的介面,以及最少需要回答的問題數目。
如下圖所示,管理員報告列示了 Identity Manager 管理員、管理員管理的組織及其指定的權能和管理員角色。
圖 7-3 管理員摘要報告
系統記錄檔
系統記錄檔報告顯示儲存庫中記錄的系統訊息和錯誤。設定此報告時,可以指定包含或排除:
您還可設定要顯示的最大記錄數 (預設為 3000),以及可用記錄超過指定的最大數時,要顯示最舊的記錄還是最新的記錄。
執行 [SystemLog Report] 時,透過指定目標項目的 Syslog ID 可擷取特定的 Syslog 項目。例如,若要檢視 [Recent Systems Messages] 報告中的特定項目,請編輯該報告並選取 [Event] 欄位,然後輸入請求的 Syslog ID 並按一下 [Run]。
備註 您還可執行 lh syslog 指令以從系統記錄中擷取記錄。如需有關指令選項的詳細資訊,請閱讀附錄 A「lh 參照」中的「syslog 指令」。
若要定義系統記錄檔報告,請從 [Run Reports] 頁面的報告選項清單中選取 [SystemLog Report]。
使用情況報告
建立與執行使用情況報告,以檢視與 Identity Manager 物件 (如管理員、使用者、角色或資源) 有關之系統事件的圖形或表格摘要。您可以透過圓餅圖、長條圖或表格形式顯示輸出。
若要定義使用情況報告,請從 [Run Reports] 清單頁面的報告選項清單中選取 [Usage Report]。
您設定與儲存報告參數後,請即從 [Run Reports] 清單頁面中執行報告。
使用情況報告圖表
在下圖中,上方的表格顯示報告包含的事件。下方的圖表以圖形化格式來顯示同樣的資訊。當您將滑鼠指標移至圖表上的各個部分時,便會出現該部分所代表的值。
圖 7-4 使用情況報告 (產生的使用者帳號)
您可以處理圓餅圖的部份以反白顯示它們。按一下滑鼠右鍵並按住某個資料片,然後將它拖離中心,使它看起來與其他資料片分開。可以對圖表的一或多個部份執行同樣的動作。為了獲得最佳的控制,請在中心附近按一下該資料片;如此可讓您將它拖曳到距離其他資料片更遠的位置。
也可以將圓餅圖旋轉到想要的檢視畫面。按一下並按住接近圖表邊緣之處,然後將滑鼠向左右移動即可旋轉檢視畫面。
風險分析您可以利用 Identity Manager 的風險分析功能報告其設定檔超出了某些安全性限制的使用者帳號。風險分析報告會掃描實體資源來收集資料,並依資源顯示有關停用帳號、已鎖定的帳號及無所有者帳號的詳細資訊。它們還會提供有關過期密碼的詳細資訊。報告詳細資訊會隨資源類型的變化而有所不同。
風險分析頁面由表單控制,並可針對您的特定環境進行配置。您可以在 idm\debug 頁面的 RiskReportTask 物件下找到一份表單清單,並可使用 [Business Process Editor] 對其進行修改。如需有關配置 Identity Manager 表單的更多資訊,請參閱「Identity Manager Workflows, Forms, and Views」。
若要建立風險分析報告,請按一下功能表列中的 [Risk Analysis],然後從 [New] 選項清單中選取一個報告。
您可以將報告限制為只掃描選取的資源;視資源類型,可以掃描下列類型的帳號:
定義後,您就可以將風險分析報告排程為以指定間隔執行。
系統監視您可以將 Identity Manager 設定為即時追蹤事件,並可透過在面板圖形中檢視它們來監視事件。面板可讓您快速存取系統資源和場所異常,以瞭解歷史效能趨勢 (根據一天中的某時間、一週中的某天等),並且在查看稽核記錄前以互動的方式隔離問題。它們不提供與稽核記錄同樣詳細的資料,但其為您提供在記錄中何處尋找問題的提示。
您可以建立圖形面板顯示,以在更高層級追蹤自動活動和手動活動。Identity Manager 提供了範例資源作業面板圖形。資源作業面板圖形可讓您快速監視系統資源,以將服務保持在可接受的層級。
您可以在資源作業面板中檢視這些圖形的範例資料。如需有關使用面板的更多資訊,請參閱使用面板。
根據您的指定,系統會在各個層級收集並彙集統計資料,以顯示即時檢視。
追蹤的事件配置
在 [Configure Reports] 頁面的 [Tracked Event Configuration] 區域,您可以確定目前是否已啟用追蹤事件的統計集合,並可將其啟用。按一下 [Enable event collection] 可以啟用追蹤事件配置。
可為事件集合指定以下選項:
系統會將追蹤事件資料儲存相當長的一段時間,以便詳細檢視系統的目前狀況並瞭解長期趨勢。
以下時間範圍可以使用。依預設全部選取。請取消選取不需要的收集間隔。
配置追蹤事件後,請使用面板來監視追蹤事件。
使用圖形您可以執行以下與圖形相關的活動:
檢視已定義的圖形
Identity Manager 提供了一些範例圖形。有些使用範例資料,有些不使用。您可以建立適用於您的部署的其他圖形。
在將部署移至生產之前,您應移除範例圖形和範例面板。如果未收集適當的資料,則某些不使用範例資料的範例圖形可能顯示為空白。
建立圖形
使用以下程序可建立新的面板圖形:
- 按一下功能表列中的 [Reports]。
- 按一下 [Dashboard Graphs]。
所有已定義的圖形均會列出。
- 按一下 [New]。圖 7-5 說明了 [Edit Graph] 頁面。
圖 7-5
編輯圖形要產生的圖形
- 輸入 [Graph Name]。因為會依名稱將圖形增加至面板,所以請選擇唯一的、有意義的名稱。
- 如有需要,請選取 [Use Sample Data]。
啟用此選項可以預覽具有範例資料的圖形。範例資料選項僅供您熟悉系統之用。由於並非所有追蹤的事件均具有範例資料,所以此選項在示範和試驗各種圖形選項時最有用。移至生產環境之前請刪除範例資料。
- 從清單中選取所需類型的 [Tracked Event]。
事件為系統特徵 (如記憶體使用率) 或事件彙集 (如資源作業),會追蹤其之前的值並以圖形或圖表形式可視化顯示。
- 從清單中選取 [Time Scale]。
此選項控制彙集資料的頻率 (例如一小時) 以及保留資料的頻率 (例如一個月)。系統可以儲存一段相當長的時間範圍內追蹤的事件資料,以獲得系統目前的詳細檢視並瞭解長期趨勢。
- 從清單中選取 [Metric]。已選取預設度量,是計數還是平均取決於所選取的追蹤事件。
每個圖形顯示一種度量。可用的度量取決於所選取的追蹤事件。可使用的度量如下:
- 從清單中選取 [Show count as]。
圖形計數顯示為原始總數或按不同時間比例進行劃分。
- 從清單中選取 [Graph Type]。
此選項控制追蹤事件資料的顯示方式。可用的圖形類型取決於所選取的追蹤事件,可以包含線形圖、長條圖及扇形圖。
基本尺寸
圖形選項
進階圖形選項
編輯圖形
可透過選取 [Reports] 標籤,然後從 [Dashboard Graphs] 清單中選取圖形名稱來編輯圖形。
您可以編輯的圖形屬性因所選圖形而異。您可對以下一個或多個特徵進行編輯:
- [Graph Name] — 圖形將依名稱增加至面板。
- [Registry] — 指定登錄中定義的追蹤事件說明。目前選項包括:SAMPLE、SPE (服務提供者) 和 IDM。
- [Tracked Event] — 系統特徵 (如記憶體使用率) 或事件彙集 (如資源作業),其之前的值會以可視圖形或圖表追蹤和顯示。
- [Time Scale] — 控制彙集資料的頻率以及保留資料的頻率。
- [Metric] — 每個圖形顯示一種度量。可用的度量取決於所選取的追蹤事件。對於所選的度量可能還提供有其他選項。
- [Graph type] — 控制追蹤事件資料的顯示方式 (例如,線形圖或長條圖)。
- [Included Dimension Values] — 如果選取此選項,則所有尺寸值都會包含在圖形中。
- [Graph Subtitle] — 如果需要,在圖形的主標題下輸入子標題。
- [Advanced Graph Options] — 如果您想要設定以下內容,請選取此選項:
- 按一下 [Save]。
刪除圖形
透過從 [Dashboard Graphs] 清單中選取圖形,然後按一下 [Delete] 可刪除圖形。
使用面板面板是在單一頁面上檢視的相關圖形的集合。與圖形一樣,Identity Manager 提供了一組範例面板,管理員可根據自己的部署對其進行自訂。請參閱建立面板,以取得說明。
您可在 [Reports] 功能表中的以下區域使用面板。
您可以從 Identity Manager 介面的 [Reports] 區域檢視現有面板。按一下 [View Dashboards],[Dashboard Graphs] 以列出目前定義的面板,然後按一下您要檢視的面板旁邊的 [Display]。
以下小節提供了使用面板的程序:
建立面板
若要建立面板,請執行以下程序:
編輯面板
使用建立面板中說明的程序來編輯面板 (選取 [New] 除外),選取要修改的面板並編輯以下屬性:
圖 7-6 說明了範例面板編輯頁面。
圖 7-6 編輯面板
刪除面板
若要刪除 [Service Provider] 面板,請從 [Service Provider] 區域按一下 [Manage Dashboards],然後選取需要的面板並按一下 [Delete]。
備註 使用此程序並不會移除面板中包含的圖形。請使用 [Manage Dashboard Graphs] 頁面刪除圖形 (請參閱「刪除圖形」)。
搜尋作業事件
一個作業事件封裝一項佈建作業,例如,建立新使用者或指定新資源。為確保這些作業事件在資源不可用時也能完成,需要將其寫入作業事件永久性存放區。
備註 使用 [Edit Transaction Configuration] 頁面 (請參閱「作業事件管理」),管理員可以控制保存作業事件的時間。例如,即使在第一次嘗作業事件之前,也可以立即保留它們。
[Search Transactions] 頁面可讓您搜尋作業事件永久性存放區中的作業事件。其中包含仍在重試的作業事件,以及已完成的作業事件。對於尚未完成的作業事件,則可以將其取消,以防止進一步的嘗試。
若要搜尋作業事件,請︰
- 登入至 Identity Manager。
- 按一下功能表列中的 [Service Provider]。
- 按一下 [Search Transations]。
螢幕將顯示 [Search Conditions] 頁面。
- 如有需要,選取 [User Name]。
此選項可讓您搜尋僅適用於具有您輸入的帳號 ID 之使用者的作業事件。
備註 如果您已在 Service Provider Edition [Transaction Configuration] 頁面配置了任何自訂的可查詢使用者屬性,則這些屬性將顯示在這裡。例如,您可以選擇根據 [Last Name] 或 [Full Name] (如果這些屬性已配置為自訂的可查詢使用者屬性)。
- 如有需要,選取按 [Type] 搜尋。
此選項可讓您搜尋所選類型的作業事件。
- 如有需要,選取按 [State] 搜尋。
此選項可讓您搜尋處於以下所選狀態的作業事件︰
- 如有需要,選取按 [Attempts] 搜尋。
此選項可讓您依據作業事件被嘗試的次數來搜尋作業事件。失敗的作業事件會被重試達到為個別資源配置的重試限制。
- 如有需要,選取按 [Submitted] 搜尋。
此選項可讓您依據初次提交作業事件的時間 (以小時、分鐘或天為增量) 來搜尋作業事件。
- 如有需要,選取按 [Completed] 搜尋。
此選項可讓您依據完成作業事件的時間 (以小時、分鐘或天為增量) 來搜尋作業事件。
- 如有需要,選取按 [Cancelled Status] 搜尋。
此選項可讓您依據作業事件是否已取消來搜尋作業事件。
- 如有需要,選取按 [Transaction ID] 搜尋。
此選項可讓您依據作業事件的唯一 ID 來搜尋作業事件。使用此選項可依據您輸入的 ID 值來尋找作業事件,該 ID 值顯示在所有稽核記錄中。
- 如有需要,選取按 [Running On] (伺服器名稱) 搜尋。
此選項可讓您依據執行作業事件的 Service Provider Edition 伺服器來搜尋作業事件。除非已在 Waveset.properties 檔案中置換伺服器的識別碼,否則伺服器識別碼依其機器名稱而定。
- 搜尋結果限制為從清單中選取的第一個項目數。
傳回的結果數目不能超過指定的限制。即使有更多的結果可用,也不會做任何指示。
圖 7-7
搜尋作業事件- 按一下 [Search]。
螢幕上將顯示搜尋結果。
- 如有需要,按一下結果頁面底部的 [Download All Matched Transactions]。這會將結果儲存為 XML 格式的檔案。