|
| |
| Sun[TM] Identity Manager 8.0 管理 | |
第 8 章
报告Identity Manager 可以报告自动和手动系统活动。强健的报告功能组可以随时捕获和查看有关 Identity Manager 用户的重要访问信息和统计信息。
在本章中,您将了解 Identity Manager 报告类型,如何创建、运行和通过电子邮件发送报告,以及如何下载报告信息。
本章分为以下几节:
使用报告在 Identity Manager 中,报告被视为一类特殊任务。因此,可以在 Identity Manager 管理员界面的两个区域使用报告:
- 报告(运行报告)- 可以使用“运行报告”区域定义、运行、删除和下载报告。只有具有足够权能的管理员才可以定义、运行、删除和下载报告。有关详细信息,请参见附录 D 权能定义。
- 服务器任务 - 在定义报告后,可以转到“预定任务”区域(服务器任务 > 管理进度表)以调度和修改报告任务。要进行调度,TaskDefinition 对象必须包含 visibility=schedule。请使用调试页进行此更改。有关详细信息,请参见编辑 Identity Manager 配置对象。
报告类型
报告分为以下两种类别:
在这两种类别中,可以进一步将报告划分为各种报告类型。本章后续部分详细介绍了这些报告类型。从更多... 开始介绍 Identity Manager 报告,从更多... 开始介绍审计者报告。
有关如何查看 Identity Manager 报告和审计者报告的说明,请参见查看报告。
运行报告
要运行报告,请执行以下步骤:
查看报告
在从“运行报告”页中运行报告后,您可以立即查看输出或稍后查看输出。
要查看报告,请执行以下步骤:
创建报告
要修改现有报告并使用新名称进行保存,请参见下一节中的编辑和克隆报告。
要不基于现有报告创建新的 Identity Manager 报告或审计者报告,请执行以下步骤:
Identity Manager 将显示“定义报告”页,您可以在其中选择创建、运行或保存报告的选项。
输入并选择了报告条件后,您可以执行以下操作:
有关运行报告的详细信息,请参见运行报告。
编辑和克隆报告
要克隆报告,请修改现有报告并使用新名称进行保存。
要编辑或克隆报告,请执行以下步骤:
用电子邮件发送报告
创建或编辑报告时,可以选择选项,通过电子邮件将报告结果发送给一个或多个电子邮件收件人。选择此选项时,页面将刷新并提示输入电子邮件收件人的地址。输入一个或多个地址,中间用逗号分隔。
还可以选择要附加到电子邮件的报告格式:
调度报告
根据您希望立即运行报告,还是希望进行调度以使之按固定时间间隔运行,可以做出不同的选择:
下载报告数据
在“运行报告”页中,您可以下载报告信息以便在其他应用程序(如 Acrobat Reader 或 StarOffice)中使用。
打开“运行报告”页,然后在以下任一列中单击下载:
配置报告输出
要配置报告输出,请单击报告,然后选择配置报告。
“配置报告”页中提供了以下选项:
- CSV 报告选项
- 跟踪的事件配置
- 启用事件收集 - 此选项用于为系统监视配置报告,它不适用于自定义报告格式。有关详细信息,请参见跟踪的事件配置。
单击保存保存报告配置选项。
Identity Manager 报告Identity Manager 报告类型可分为以下六种类别:
审计日志报告
审计日志报告基于在系统审计日志中捕获的事件。这些报告提供有关生成的帐户、批准的请求、失败的访问尝试、密码更改和重设、自置备活动、策略违规、服务提供者(外联网)用户及其他方面的信息。
注
在运行审计日志前,必须指定要捕获的 Identity Manager 事件类型。要执行此操作,请在菜单栏中选择配置,然后选择审计。选择一个或多个审计组名称,以记录每个组的成功和失败事件。有关设置审计配置组的详细信息,请参见配置审计组和审计事件。
要定义审计日志报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第一个报告类型菜单中选择 Identity Manager 报告,然后从第二个菜单中选择审计日志报告。
将打开“定义报告”页。
- 填写表单,然后单击保存。
如果有关于表单的问题,请单击帮助。
设置并保存报告参数后,便可以从“运行报告”页运行该报告。单击运行生成一个包含所有符合保存条件的结果的报告。报告内容包括事件发生的日期、执行的操作和操作结果。
单个用户审计日志报告
与审计日志报告一样,单个用户审计日志报告也基于在系统审计日志中捕获的事件。不过,此报告提示输入要报告的用户,并返回对该用户执行的各种活动的列表。为了获得最详尽的结果,此报告将在审计日志的 AccountId 和 ObjectDesc 字段中搜索匹配的用户名。
此报告可以返回一组固定的列,您也可以选择一组自定义的列。这些列是在 reporttasks.xml 和 defaultreports.xml 中定义的。这两个文件位于 sample 目录中,该目录位于 Identity Manager 安装目录中。
要定义单个用户审计日志报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第一个报告类型菜单中选择 Identity Manager 报告,然后从第二个菜单中选择单个用户审计日志报告。
将打开“定义报告”页。
- 填写表单,然后单击保存。
如果有关于表单的问题,请单击帮助。
实时报告
实时报告直接轮询资源以报告实时信息。实时报告包括:
要定义实时报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第一个报告类型菜单中选择 Identity Manager 报告,然后从第二个菜单中选择资源组报告、资源状态报告或资源用户报告。
将打开“定义报告”页。
- 填写表单,然后单击保存。
如果有关于表单的问题,请单击帮助。
设置并保存报告参数后,便可以从“运行报告”列表页运行该报告。单击运行生成一个包含所有符合保存条件的结果的报告。
摘要报告
摘要报告类型包括 Identity Manager 报告列表中的以下报告:
- 帐户索引报告 - 根据协调情况报告选定的资源帐户。
- 管理员报告 - 查看 Identity Manager 管理员、管理员所管理的组织以及分配的权能。定义管理员报告时,可以按组织选择要包含的管理员。
- 管理员角色报告 - 列出分配了管理员角色的用户。
- 角色报告 - 报告角色的所有方面和关联的资源。
- 任务报告 - 报告暂挂和已完成的任务。通过从属性列表中进行选择来确定要包括的信息的深度,例如批准者、描述、到期日期、拥有者、开始日期和状态。
- 用户报告 - 查看用户、分配给用户的角色以及用户可访问的资源。定义用户报告时,可以按名称、分配的管理员、角色、组织或资源分配选择要包括的用户。
- 用户问题报告 - 允许管理员查找未回答最小数量的验证问题的用户,此数量由帐户策略要求指定。结果显示用户名、帐户策略、与策略关联的界面及要求回答问题的最小数量。
如图 8-3 所示,管理员报告列出了 Identity Manager 管理员、管理员管理的组织以及其分配的权能和管理员角色。
图 8-3 管理员摘要报告
要定义摘要报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第二个菜单中选择摘要报告类型(上面列出的类型)之一。
将打开“定义报告”页。
- 填写表单,然后单击保存。
如果有关于表单的问题,请单击帮助。
系统日志报告
系统日志报告可显示记录在系统信息库中的系统消息和错误。设置此报告时,可以指定包含或排除以下项目:
也可设置要显示的最大记录数(默认值为 3000),以及可用记录超过指定的最大数时要显示最旧的记录还是最新的记录。
运行系统日志报告时,通过指定目标条目的 syslog ID 可检索特定的 Syslog 条目。例如,要查看近期系统消息报告中的特定条目,请编辑该报告,然后选择事件字段。接下来,输入请求的 syslog ID,然后单击运行。
注
也可运行 lh syslog 命令从系统日志中提取记录。有关命令选项的详细信息,请参阅附录 A lh 参考消息中的syslog 命令。
要定义系统日志报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第一个报告类型菜单中选择 Identity Manager 报告,然后从第二个菜单中选择系统日志报告。
将打开“定义报告”页。
- 填写表单,然后单击保存。
如果有关于表单的问题,请单击帮助。
设置并保存报告参数后,便可以从“运行报告”列表页运行该报告。
使用情况报告
创建和运行使用情况报告可以查看与 Identity Manager 对象(如管理员、用户、角色或资源)相关的系统事件的图形和/或表格摘要。使用情况报告在表格中显示数据,您也可以选择以条形图、饼图或折线图格式显示数据。
要定义使用情况报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第一个报告类型菜单中选择 Identity Manager 报告,然后从第二个菜单中选择使用情况报告。
将打开“定义报告”页。
- 填写表单,然后单击保存。
如果有关于表单的问题,请单击帮助。
设置并保存报告参数后,便可以从“运行报告”列表页运行该报告。
使用情况报告图表
在图 8-4 中,上方的表格显示报告包含的事件,下方的图表以图形格式显示相同的信息。
图 8-4 使用情况报告(生成的用户帐户)
工作流报告
此报告按名称列出工作流,并提供以下信息:
此外,单击工作流名称将打开工作流的详细视图,它将显示在工作流中执行的每个活动及其平均完成时间。
工作流报告对捕获性能度量特别有用,这些度量可帮助确定是否达到了服务品质协议 (Service Level Agreement, SLA) 目标。
必须对 Identity Manager 进行配置,以便将工作流计时度量作为运行工作流报告的先决条件进行捕获。有关详细信息,请参见下一节。
配置工作流以捕获审计计时事件
必须先为要报告的每种工作流类型启用工作流审计,然后才能运行工作流报告。
请按如下方式启用工作流审计:
- 对于可以在管理员界面中使用任务模板配置的工作流,请在任务模板配置表单的审计选项卡上选中审计整个工作流复选框。有关说明,请参见配置 “审计”选项卡。
- 有关没有任务模板的工作流,请参阅修改工作流以记录计时审计事件。
为工作流报告指定要存储的属性
虽然定义属性并非一项必需的操作,但如果要充分利用工作流报告,则存储一些属性是很重要的,因为您可以稍后将这些属性作为过滤报告的依据。
要为每种工作流类型定义一个要存储的属性组,请使用管理员界面的选项卡式任务模板配置表单。审计选项卡包含审计属性部分,该部分位于审计整个工作流复选框下面。有关说明,请参见更多...。
定义工作流报告
要定义工作流报告,请执行以下步骤:
- 按照更多... 上的报告创建说明进行操作。
从第一个报告类型菜单中选择 Identity Manager 报告,然后从第二个菜单中选择工作流报告。
将打开“定义报告”页。
- 填写表单,然后单击保存。您可以定义时间参数,以及添加选择审计的任何属性。(请参见上一节中的为工作流报告指定要存储的属性。)
要缩小结果范围,请指定属性名称(例如,user.global.state),选择条件,然后输入属性值。您可以根据需要输入任意数量的属性。
如果有关于表单的问题,请单击帮助。
设置并保存报告参数后,便可以从“运行报告”页运行该报告。单击运行生成一个包含所有符合保存条件的结果的报告。
报告将按名称返回工作流,并显示工作流的平均完成时间、请求工作流的次数以及完成的请求数。
单击工作流名称可打开工作流的详细视图,它将显示在工作流中执行的每个活动。由于进程可以具有相同名称的活动,因此,这些活动是按进程限定范围的。
审计者报告审计者报告提供有助于您根据审计策略中定义的条件来管理用户遵循性的信息。
Identity Manager 提供以下审计者报告:
要定义审计者报告,请按照创建报告中的步骤进行操作。
有关审计者报告的详细信息,请参见使用审计者报告。
使用图形您可以执行以下与图形有关的活动:
查看定义的图形
Identity Manager 提供一些样例图形。一些使用样例数据,而一些不使用样例数据。建议您创建适用于您部署的其他图形。
您应该在将部署移入生产系统前删除样例图形和样例面板。如果尚未收集任何适用数据,则某些没有使用样例数据的样例图形可能会显示为空白。
要查看定义的图形,请执行以下步骤:
- 在管理员界面中,单击主菜单中的报告。
- 单击次级菜单中的面板图形。
- 从选择面板图形类型选项列表中选择一类面板图形。
选定类别中的所有图形都显示在图形列表中。
- 单击某个图形名称。
- 如果需要,单击暂停刷新以暂停面板刷新。单击恢复以更新视图。
- 如果需要,单击立即刷新以立即强制执行刷新。
- 单击完成以返回到“面板图形“列表页。
注
如果任何图形显示了错误消息,请打开系统配置对象以进行编辑(更多...),并设置 dashboard.debug=true。设置了该属性后,请返回到生成错误的图形,并使用报告问题时,请附带该文本脚本链接检索图形脚本。报告问题时应包括该图形脚本。
创建图形
要创建面板图形,请执行以下步骤:
- 在管理员界面中,单击主菜单中的报告。
- 单击次级菜单中的面板图形。
- 从“选择面板图形类型”选项列表中选择一类面板图形。
选定类别中的所有图形都显示在图形列表中。
- 单击新建以显示“创建面板图形”页。
- 输入图形名称。由于图形将按名称添加到面板中,请选择唯一的有意义的名称。
- 选择注册表:IDM 或 SAMPLE。
样例数据选项供您熟悉系统之用。由于并非所有跟踪事件都能获得样例数据,因此,在演示和试验各种图形选项时该选项非常有用。在转至生产环境之前删除样例数据。
- 从列表中选择所需类型的跟踪的事件。
事件是一种系统特征(例如内存使用率)或事件的聚集(例如资源操作),它们的历史值将被跟踪并可以直观地显示为图形或图表。
IDM 注册表的跟踪事件包括:
- 从列表中选择时间范围。
它控制数据聚集的频率(例如一小时)及其保留的频率(例如一个月)。系统可以存储不断增大的时间范围内的跟踪事件数据,以获得系统当前的详细视图,并了解历史趋势。
- 从列表中选择度量。根据选定的跟踪事件,将选择一个默认值(计数或平均值)。
每个图形显示一种度量。可用的度量取决于选定的跟踪事件。可能的度量有:
- 从列表中选择计数显示为。
图形计数显示为原始总数或按不同的时间范围进行划分。
- 从列表中选择图形类型。
这用于控制如何显示跟踪事件的数据。可用的图形类型取决于选择的跟踪事件,可能包括折线图、条形图和饼形图。
- 基本尺寸:如果需要,从列表中选择以下选项:
- 图形选项:如果需要,输入图形副标题。
这会在图形的主标题下面产生一个副标题。
- 高级图形选项:如果需要,请选择高级图形选项。如果您要设置以下选项,请选择该选项:
- 单击保存以创建图形。
编辑图形
要编辑面板图形,请执行以下步骤:
- 在管理员界面中,单击主菜单中的报告。
- 单击次级菜单中的面板图形。
将打开“面板图形”页。
- 从选择面板图形类型下拉菜单中,选择一个类别。
将打开一个列出面板图形的表。
- 单击一个图形名称以进行编辑。
您可编辑的图形属性因选择的图形而异。以下一个或多个特征可用于编辑:
- 图形名称 - 按名称将图形添加到面板。
- 注册表 - 指定注册表中定义的跟踪的事件描述。当前选项包括:SAMPLE、服务提供者和 IDM。
- 跟踪的事件 - 一种系统特征(例如内存使用率)或事件的聚集(例如资源操作),它们的历史值将被跟踪并可以直观地显示为图形或图表。
- 时间范围 - 控制数据聚集的频率及其保留的频率。
- 度量 - 每个图形显示一种度量。可用的度量取决于选定的跟踪事件。对于所选度量,可能还有其他可用选项。
- 图形类型 - 控制如何显示跟踪事件的数据(例如折线图或条形图)。
- 包括的尺寸值 - 如果选择了该选项,所有尺寸值均将包括在图形中。
- 图形副标题 - 如果需要,请在图形主标题下输入副标题。
- 高级图形选项 - 如果您要设置以下选项,请选择该选项:
- 单击保存。
删除图形
要删除定义的图形,请执行以下步骤:
使用面板面板是在单个页面上查看的相关图形的集合。和图形一样,Identity Manager 提供了一组样例面板,建议管理员使用这些样例面板自定义他们自己的部署。有关说明,请参见创建面板。
要查看面板,请执行以下步骤:
以下各节提供了使用面板的步骤:
创建面板
要创建面板,请执行以下步骤:
编辑面板
使用创建面板中描述的步骤编辑面板(除选择“新建”外),选择要修改的面板并编辑以下属性:
图 8-5 说明了样例面板编辑页。
图 8-5 编辑面板
删除面板
要删除服务提供者面板,请在“服务提供者”区域中单击管理面板,然后选择所需的面板并单击删除。
注
使用上述步骤不会删除包含在面板中的图形。请使用“管理面板图形”页删除图形(请参见“删除图形”)。
系统监视您可以设置 Identity Manager 实时跟踪事件并通过在面板图形中查看事件以进行监视。使用面板,您可以快速评估系统资源和点异常性,了解历史性能趋势(基于当天时间、周几等)以及在查看审计日志前交互隔离问题。它们不会提供像审计日志那样详细的信息,但是它们可提供给您一些提示,告诉您在哪可以查找日志中问题。
您可以创建图形面板显示以跟踪高级别的自动和手动活动。Identity Manager 提供了样例资源操作面板图形。资源操作面板图形使您可以快速监视系统资源,以维持可接受的服务级别。
您可以在资源操作面板中查看这些图形的样例数据。有关使用面板的详细信息,请参见使用面板。
以不同的级别收集和聚集统计信息,以根据您的规范显示实时视图。
跟踪的事件配置
在“配置报告”页的“跟踪的事件配置”区域中,您可以决定当前是否启用跟踪事件的统计信息收集,并将其启用。单击启用事件收集可启用跟踪的事件配置。
为事件收集指定以下选项:
系统可以存储长时间的跟踪事件数据,不但能查看系统当前的详细信息,也可了解历史趋势。
以下时间范围可用。默认情况下将全部选定。清除不需要的收集间隔选项。
配置了跟踪的事件后,使用面板监视跟踪的事件。使用滑块(如果有)放大图表的某一部分。
风险分析Identity Manager 风险分析功能允许对配置文件超出一定安全限制的用户帐户进行报告。风险分析报告扫描物理资源,以收集数据,并按资源显示有关禁用的帐户、锁定的帐户和无拥有者帐户的详细信息。此类报告还提供有关到期密码的详细信息。报告细节因资源类型而异。
风险分析页由表单控制,并可以针对您的环境进行配置。可以在 idm\debug 页(更多...)的 RiskReportTask 对象下找到一个表单列表,然后可以使用 Identity Manager IDE(更多...)修改这些对象。有关配置 Identity Manager 表单的详细信息,请参见 Identity Manager 工作流、表单和视图 。
创建风险分析报告
要创建风险分析报告,请执行以下步骤:
调度风险分析报告
定义完成后,可以将风险分析报告调度为按指定间隔运行。
要调度风险分析报告,请执行以下步骤:
