创建查询

取证查询可以搜索用户对象或角色对象。取证查询可能非常复杂，允许创建者针对相关数据类型选择一个或多个属性条件。用户取证查询可以搜索数据类型为 User、Account、ResourceAccount、Role、Entitlement 和 WorkItem 的属性。角色取证查询可以搜索数据类型为 Role、User 和 Work Item 的属性。

在单个数据类型中，所有属性条件之间具有逻辑“与”关系，因此，必须符合所有条件才能匹配。默认情况下，各个数据类型之间的匹配项具有逻辑“与”关系；但如果选中了“使用 OR”复选框，则各个数据类型之间的匹配项具有逻辑“或”关系。

仓库可能包含单个用户对象或角色对象的多条记录，而单个查询可能会返回同一个用户或角色的多个匹配项。为便于区分这些匹配项，可以使用日期范围限制每种数据类型，以便仅将指定日期范围内的记录视为匹配项。可以使用日期范围限制每种相关数据类型，因此，可以发出以下形式的查询：

find all Users with Resource Account on ERP1 between May and July 2005 
who were attested by Fred Jones between June and August 2005

日期范围是从午夜开始到午夜结束。例如，范围从 2007 年 5 月 3 日到 2007 年 5 月 5 日，时间长度为 48 小时。它不包含从 2007 年 5 月 5 日开始的任何记录。

每个属性条件的操作数（要进行比较的值）都必须指定为查询定义的一部分。该模式将某些属性限制为具有一组有限的可能值；而对其他属性则没有任何限制。例如，必须以 YYYY-MM-DD HH:mm:ss 格式输入大多数日期字段。

由于仓库中可能有大量数据，并且查询具有一定的复杂性，因此可能需要很长时间才能生成查询结果。如果在运行取证查询时离开查询页，则无法看到查询结果。

创建取证查询

1. 在管理员界面中，单击主菜单中的“遵循性”。

   将打开“审计策略”页（“管理策略”选项卡）。

2. 单击“取证查询”次级选项卡。

   将打开“搜索数据仓库”页。

   图 16–5 搜索数据仓库

   
   

3. 从“类型”下拉菜单中，选择是搜索用户记录还是搜索角色记录。

4. 选中“使用 OR”复选框，以使 Identity Manager 对查询的每种数据类型的结果执行逻辑“或”运算。默认情况下，系统对结果执行逻辑“与”运算。

5. 选择一个表示将出现在取证查询中的数据类型的选项卡。

   1. 单击“添加条件”。将显示一组下拉菜单。

   2. 从左侧的下拉菜单中选择一个操作数（要检查的条件），从右侧的下拉菜单中选择比较类型，然后输入要搜索的字符串或整数。可能的操作数列表是按外部模式定义的。有关每个操作数的说明，请参阅联机帮助。

   3. （可选）选择一个日期范围以缩小查询范围。

      根据需要，在当前选定的数据类型中添加更多条件。对于将包含在取证查询定义中的所有数据类型，请重复此步骤。

6. 在可用属性中，选择要在取证查询结果中显示的属性。

7. 在“只返回前”字段中，指定一个值。在使用多种数据类型中的条件时，限制将应用于每种类型的子查询，并且最终结果是所有子查询的交集。因此，最终结果可能会由于子查询限制而排除某些记录。

8. 单击“搜索”以立即运行取证查询，或者单击“保存查询”以重复使用该查询。有关重复使用取证查询的信息，请参见保存取证查询。