配置审计属性报告

审计属性报告（请参见表 15–1）可以报告对 Identity Manager 用户和帐户所做的属性级别的更改。但是，标准的审计日志记录不会生成足够的审计日志数据来支持完整的查询表达式。

标准的审计日志记录会将更改的属性写入审计日志的 acctAttrChanges 字段中，但是更改属性的写入方式使报告查询只能基于更改属性的名称来与记录匹配。报告查询不能准确地与属性值进行匹配。

可以通过指定以下参数对报告进行配置，使其与包含对属性 lastname 所做的更改的记录进行匹配：

Attribute Name = ’acctAttrChanges’
Condition = ’contains’
Value = ’lastname’

由于数据在 acctAttrChanges 字段中的存储方式，必须使用 Condition=’contains’。此字段不具有多值属性。实际上，它是一个包含所有更改属性的之前/之后值的数据结构，其表示形式为 attrname=value。因此，上述设置允许报告查询与 lastname= xxx 的任何实例相匹配。

也可以只捕获那些特定属性为特定值的审计记录。为此，请按照配置“审计”选项卡一节中的步骤进行操作。选中“审计整个工作流”复选框，单击“添加属性”按钮以选择为生成报告而要记录的属性，然后单击“保存”。

接下来，启用任务模板配置（如果尚未启用）。为此，请按照启用任务模板一节中的步骤进行操作。不要更改“选定的进程类型”列表中的默认值，只需单击“保存”。

现在，工作流可以提供能够同时匹配属性名称和属性值的审计记录了。虽然，启用此级别的审计可以提供更多的信息，但是要注意，这会显著增加性能开销，使工作流的运行速度变慢。