Sun Java[TM] System Identity Manager 7.1 管理 |
第 7 章
报告Identity Manager 可以报告自动和手动系统活动。强健的报告功能组可以随时捕获和查看有关 Identity Manager 用户的重要访问信息和统计信息。
在本章中,您将了解 Identity Manager 报告类型,如何创建、运行和通过电子邮件发送报告,以及如何下载报告信息。
本章分为以下几节:
使用报告在 Identity Manager 中,报告被视为一类特殊任务。因此,可以在 Identity Manager 管理员界面的两个区域使用报告:
报告
可以从 "Run Reports" 页执行大多数与报告相关的活动,使用该页您可以完成以下报告活动:
要查看该页,请在菜单栏中选择 Reports。将出现 Run Reports 页,其中显示可用报告的列表。
默认情况下,除非通过选择针对其运行报告的一个或多个组织来覆盖以下报告,否则将在登录管理员控制的组织集上运行这些报告。
图 7-1 显示 "Run Reports" 页的示例。
图 7-1 "Run Reports" 选项
使用以下方法之一开始定义报告:
创建报告
要创建报告,请执行以下步骤:
Identity Manager 将显示 "Define a Report" 页,在此页中可选择和保存用来创建报告的选项。
克隆报告
要克隆报告,请从列表中选择一个报告。输入新报告名称,并调整报告参数(可选),然后单击 Save 用新名称保存报告。
用电子邮件发送报告
创建或编辑报告时,可以选择选项,通过电子邮件将报告结果发送给一个或多个电子邮件收件人。选择此选项时,页面将刷新并提示输入电子邮件收件人的地址。输入一个或多个地址,中间用逗号分隔。
还可以选择要附加到电子邮件的报告格式:
运行报告
输入并选择了报告条件后,您可以执行以下操作:
调度报告
根据您希望立即运行报告,还是希望进行调度以使之按固定时间间隔运行,可以做出不同的选择:
下载报告数据
从 "Run Reports" 页,在以下任一列中单击 Download:
为报告输出配置字体
对于以可移植文档格式 (PDF) 生成的报告,可以做出选择以确定要在报告中使用的字体。
要配置报告字体选项,请单击 Reports,然后选择 Configure。可使用以下选项:
单击保存可以保存报告配置选项。
报告类型Identity Manager 提供多种报告类型:
可通过以下其中一种报告类别或这两种报告类别访问这些报告:
审计者
Auditor 报告提供有助于您根据审计策略中定义的条件来管理用户遵循性的信息。有关审计策略和 Auditor 报告的详细信息,请参见第 11 章“身份审计”。
Identity Manager 提供以下 Auditor 报告:
要定义 Auditor 报告,请选择 "Run Reports" 页上的 Auditor Reports 选项,然后从 "Auditor Reports" 列表中选择报告。有关审计者报告的详细信息,请参见第 11 章“身份审计”。
审计日志
审计报告基于在系统审计日志中捕获的事件。这些报告提供有关生成的帐户、批准的请求、失败的访问尝试、密码更改和重置、自置备活动、策略违规、服务提供者(外联网)用户及其他方面的信息。
注
在运行审计日志前,必须指定要捕获的 Identity Manager 事件类型。要执行此操作,请在菜单栏中选择 Configure,然后选择 Audit。选择一个或多个审计组名称,以记录每个组的成功和失败事件。有关设置审计配置组的详细信息,请参见配置审计组和审计事件。
您可以通过从 "Run Reports" 页上的报告选项列表中选择 "AuditLog Report" 来运行该报告。从 Identity Manager 报告和 Auditor 报告类别中均可找到该报告。
设置并保存报告参数后,便可以从 "Run Reports" 列表页运行该报告。单击 Run 生成一个包含所有符合保存条件的结果的报告。报告内容包括事件发生的日期、执行的操作和操作结果。
实时
实时报告直接轮询资源以报告实时信息。实时报告包括:
要定义实时报告,请从 "Run Reports" 页上的 Identity Manager Reports 列表中选择一个报告选项。
设置并保存报告参数后,便可以从 "Run Reports" 列表页运行该报告。单击 Run 生成一个包含所有符合保存条件的结果的报告。
摘要报告
摘要报告类型包括 Identity Manager 报告列表中的以下报告:
- 帐户索引 - 根据协调情况报告选定的资源帐户。
- 管理员 - 查看 Identity Manager 管理员、管理员所管理的组织以及分配的权能。定义管理员报告时,可以按组织选择要包含的管理员。
- 管理员角色 - 列出分配了管理员角色的用户。
- 角色 - 概述 Identity Manager 角色及关联的资源。定义角色报告时,可以按相关组织选择要包含的角色。
- 任务 - 报告暂挂和已完成的任务。通过从属性列表中进行选择来确定要包括的信息的深度,例如批准者、描述、到期日期、拥有者、开始日期和状态。
- 用户 - 查看用户、分配给用户的角色以及用户可访问的资源。定义用户报告时,可以按名称、分配的管理员、角色、组织或资源分配选择要包括的用户。
- 用户问题 - 允许管理员查找未回答最小数量的验证问题的用户,此数量由帐户策略要求指定。结果显示用户名、帐户策略、与策略关联的界面及要求回答问题的最小数量。
如下图所示,管理员报告列出了 Identity Manager 管理员、管理员管理的组织以及其分配的权能和管理员角色。
图 7-3 管理员摘要报告
系统日志
系统日志报告可显示记录在系统信息库中的系统消息和错误。设置此报告时,可以指定包含或排除以下内容:
也可设置要显示的最大记录数(默认值为 3000),以及可用记录超过指定的最大数时要显示最旧的记录还是最新的记录。
运行系统日志报告时,通过指定目标条目的 syslog ID 可检索特定的 Syslog 条目。例如,要在 "Recent Systems Messages" 报告中查看特定条目,请编辑该报告并选择 Event 字段,然后输入请求的 syslog ID 并单击 Run。
注
也可运行 lh syslog 命令从系统日志中提取记录。有关命令选项的详细信息,请参阅附录 A“lh 参考消息”中的 syslog 命令。
要定义系统日志报告,请从 "Run Reports" 页上的报告选项列表中选择 SystemLog Report。
使用情况报告
创建和运行使用情况报告可以查看与 Identity Manager 对象(如管理员、用户、角色或资源)相关的系统事件的图形或表格摘要。可以采用饼图、条形图或表格形式显示输出。
要定义使用情况报告,请从 "Run Reports" 列表页上的报告选项列表中选择 Usage Report。
设置并保存报告参数后,便可以从 "Run Reports" 列表页运行该报告。
使用情况报告图表
在下图中,上方的表格显示报告包含的事件。下方的图表以图形形式显示相同的信息。将鼠标指针移至饼图任一部分之上时,即会显示该部分的值。
图 7-4 使用情况报告(生成的用户帐户)
可以对饼图的各部分进行操作以突出显示它们。右键单击并按住某个数据片,然后将其拖离饼图中心,以与其他数据片分开显示。您可以对饼图的一个或多个部分执行此操作。对于大多数控制,请单击中心附近的数据片,以便允许您将其拖到与其余数据片相距更远的位置。
也可以旋转饼图以获得所需的视图。单击并按住饼图边缘附近,然后将鼠标移向右侧或左侧来旋转视图。
风险分析Identity Manager 风险分析功能允许对配置文件超出一定安全限制的用户帐户进行报告。风险分析报告扫描物理资源,以收集数据,并按资源显示有关禁用的帐户、锁定的帐户和无拥有者帐户的详细信息。此类报告还提供有关到期密码的详细信息。报告细节因资源类型而异。
风险分析页由表单控制,并可以针对您的环境进行配置。可以在 idm\debug 页的 RiskReportTask 对象下找到一个表单列表,然后可以使用业务进程编辑器对它们进行修改。有关配置 Identity Manager 表单的详细信息,请参见 Identity Manager 工作流、表单和视图 。
要创建风险分析报告,请在菜单栏中单击 Risk Analysis,然后从 "New" 选项列表中选择一个报告。
可以将报告限制为仅扫描选定的资源;根据资源的类型,可以扫描以下帐户:
定义完成后,可以将风险分析报告调度为按指定间隔运行。
系统监视您可以设置 Identity Manager 实时跟踪事件并通过在面板图形中查看事件以进行监视。使用面板,您可以快速评估系统资源和点异常性,了解历史性能趋势(基于当天时间、周几等)以及在查看审计日志前交互隔离问题。它们不会提供像审计日志那样详细的信息,但是它们可提供给您一些提示,告诉您在哪可以查找日志中问题。
您可以创建图形面板显示以跟踪高级别的自动和手动活动。Identity Manager 提供了样例资源操作面板图形。资源操作面板图形使您可以快速监视系统资源,以维持可接受的服务级别。
您可以在资源操作面板中查看这些图形的样例数据。有关使用面板的详细信息,请参见使用面板。
以不同的级别收集和聚集统计信息,以根据您的规范显示实时视图。
跟踪的事件配置
在 "Configure Reports" 页的 "Tracked Event Configuration" 区域中,您可以决定当前是否启用跟踪事件的统计信息收集,并将其启用。单击 Enable event collection 可启用跟踪的事件配置。
为事件收集指定以下选项:
系统可以存储长时间的跟踪事件数据,不但能查看系统当前的详细信息,也可了解历史趋势。
以下时间范围可用。默认情况下将全部选定。清除不需要的收集间隔选项。
配置了跟踪的事件后,使用面板监视跟踪的事件。
使用图形您可以执行以下与图形有关的活动:
查看定义的图形
Identity Manager 提供一些样例图形。一些使用样例数据,而一些不使用样例数据。建议您创建适用于您部署的其他图形。
您应该在将部署移入生产系统前删除样例图形和样例面板。如果尚未收集任何适用数据,则某些没有使用样例数据的样例图形可能会显示为空白。
创建图形
可以使用以下步骤创建面板图形:
- 从菜单栏中选择 Reports。
- 选择面板图形。
- 从“选择面板图形类型”选项列表中选择一类面板图形。
选定类别中的所有图形都显示在图形列表中。
- 单击新建以显示“创建面板图形”页。
- 输入 Graph Name。由于图形将按名称添加到面板中,请选择唯一的有意义的名称。
- 选择注册表:IDM 或 SAMPLE。
样例数据选项供您熟悉系统之用。由于并非所有跟踪事件都能获得样例数据,因此,在演示和试验各种图形选项时该选项非常有用。在转至生产环境之前删除样例数据。
- 从列表中选择所需类型的 Tracked Event。
事件是一种系统特征(例如内存使用率)或事件的聚集(例如资源操作),它们的历史值将被跟踪并可以直观地显示为图形或图表。
IDM 注册表的跟踪事件包括:
- 从列表中选择 Time Scale。
它控制数据聚集的频率(例如一小时)及其保留的频率(例如一个月)。系统可以存储不断增大的时间范围内的跟踪事件数据,以获得系统当前的详细视图,并了解历史趋势。
- 从列表中选择 Metric。根据选定的跟踪事件,将选择一个默认值(计数或平均值)。
每个图形显示一种度量。可用的度量取决于选定的跟踪事件。可能的度量有:
- 从列表中选择 Show count as。
图形计数显示为原始总数或按不同的时间范围进行划分。
- 从列表中选择 Graph Type。
这用于控制如何显示跟踪事件的数据。可用的图形类型取决于选择的跟踪事件,可能包括折线图、条形图和饼形图。
基本尺寸
图形选项
高级图形选项
编辑图形
可通过以下方法编辑图形:选择报告选项卡,从“选择面板图形类型”选项列表中选择一类面板图形,然后从列表中选择图形名称。
您可编辑的图形属性因选择的图形而异。以下一个或多个特征可用于编辑:
- Graph Name - 按名称将图形添加到面板。
- 注册表 - 指定注册表中定义的跟踪的事件描述。当前选项包括:SAMPLE、SPE(服务提供者)和 IDM。
- Tracked Event - 一种系统特征(例如内存使用率)或事件的聚集(例如资源操作),它们的历史值将被跟踪并可以直观地显示为图形或图表。
- Time Scale - - 控制数据聚集的频率及其保留的频率。
- Metric - 每个图形显示一种度量。可用的度量取决于选定的跟踪事件。对于所选度量,可能还有其他可用选项。
- Graph type - 控制如何显示跟踪事件的数据(例如折线图或条形图)。
- 包括的尺寸值 - 如果选择了该选项,所有尺寸值均将包括在图形中。
- Graph Subtitle - 如果需要,请在图形主标题下输入副标题。
- Advanced Graph Options - 如果您要设置以下选项,请选择该选项:
- 单击 Save。
删除图形
通过从列表中选择图形并单击删除,可以删除图形。
使用面板面板是在单个页面上查看的相关图形的集合。和图形一样,Identity Manager 提供了一组样例面板,建议管理员使用这些样例面板自定义他们自己的部署。有关说明,请参见创建面板。
"Reports" 菜单中的以下区域允许您使用面板。
您可以在 Identity Manager 界面的 Reports 区域中查看现有的面板。单击 "View Dashboards"、Dashboard Graphs 以列出当前定义的面板,然后单击要查看的面板旁的 Display。
以下各节提供了使用面板的步骤:
创建面板
要创建面板,请执行以下步骤:
编辑面板
使用创建面板中描述的步骤编辑面板(除选择 "New" 外),选择要修改的面板并编辑以下属性:
图 7-5 说明了样例面板编辑页。
图 7-5 编辑面板
删除面板
要删除服务提供者面板,请在 "Service Provider" 区域中单击 Manage Dashboards,然后选择所需的面板并单击 delete。
注
使用上述步骤不会删除包含在面板中的图形。请使用 "Manage Dashboard Graphs" 页删除图形(请参见删除图形)。
搜索事务
某个事务可以封装单个置备操作,例如创建新用户或分配新资源。为确保这些事务在资源不可用时也能完成,需要将其写入事务持久性存储。
使用 "Search Transactions" 页您可以搜索 "Transaction Persistent Store" 中的事务。这包括仍在进行重试的事务以及已完成的事务。可以取消尚未完成的事务,以阻止其进一步的尝试。
要搜索事务:
- 登录到 Identity Manager。
- 在菜单栏中单击 Service Provider。
- 单击 Search Transations。
将显示 Search Conditions 页。
- 如果需要,请选择 User Name。
这允许您仅搜索与具有您输入的 accountId 的用户相对应的事务。
注
如果您在 Service Provider Edition 事务配置页中配置了所有自定义的可查询用户属性,则这些属性将在此处显示。例如,如果将它们配置为自定义的可查询用户属性,则您可以选择根据 "Last Name" 或 "Full Name" 进行搜索。
- 如果需要,请选择针对 Type 搜索。
这允许您搜索选定类型的事务。
- 如果需要,请选择针对 State 搜索。
这允许您搜索处于以下选定状态的事务:
- 如果需要,请选择针对 Attempts 搜索。
这允许您根据事务已尝试的次数搜索这些事务。将会重试失败的事务,重试次数不超过为单个资源配置的重试限制。
- 如果需要,请选择针对 Submitted 搜索。
这允许您根据事务初次提交的时间搜索这些事务,以小时、分钟或天为增量。
- 如果需要,请选择针对 Completed 搜索。
这允许您根据事务完成的时间搜索这些事务,以小时、分钟或天为增量。
- 如果需要,请选择针对 Cancelled Status 搜索。
这允许您根据事务是否已取消搜索这些事务。
- 如果需要,请选择针对 Transaction ID 搜索。
这允许您根据事务唯一的 ID 搜索这些事务。使用该选项可以根据您输入的出现在所有审计日志记录中的 ID 值查找事务。
- 如果需要,请选择针对 Running On(哪一台服务器)搜索。
这允许您根据运行事务的 Service Provider Edition 服务器搜索这些事务。服务器的标识符基于它的计算机名称,除非它已在 Waveset.properties 文件中被覆盖。
- 将搜索结果数限制为从列表中选择的首个条目数。
返回的结果数不会超过指定的限制值。即使有更多的结果可用,也不会做任何指示。
图 7-6
搜索事务- 单击 Search。
将显示搜索结果。
- 如果需要,请单击结果页面底部的 Download All Matched Transactions。这将把结果保存为 XML 格式的文件。