创建取证查询

1. 在管理员界面中，单击主菜单中的“遵循性”。

   将打开“审计策略”页（“管理策略”选项卡）。

2. 单击“取证查询”次级选项卡。

   将打开“搜索数据仓库”页。

   图 16–5 搜索数据仓库

   
   

3. 从“类型”下拉菜单中，选择是搜索用户记录还是搜索角色记录。

4. 选中“使用 OR”复选框，以使 Identity Manager 对查询的每种数据类型的结果执行逻辑“或”运算。默认情况下，系统对结果执行逻辑“与”运算。

5. 选择一个表示将出现在取证查询中的数据类型的选项卡。

   1. 单击“添加条件”。将显示一组下拉菜单。

   2. 从左侧的下拉菜单中选择一个操作数（要检查的条件），从右侧的下拉菜单中选择比较类型，然后输入要搜索的字符串或整数。可能的操作数列表是按外部模式定义的。有关每个操作数的说明，请参阅联机帮助。

   3. （可选）选择一个日期范围以缩小查询范围。

      根据需要，在当前选定的数据类型中添加更多条件。对于将包含在取证查询定义中的所有数据类型，请重复此步骤。

6. 在可用属性中，选择要在取证查询结果中显示的属性。

7. 在“只返回前”字段中，指定一个值。在使用多种数据类型中的条件时，限制将应用于每种类型的子查询，并且最终结果是所有子查询的交集。因此，最终结果可能会由于子查询限制而排除某些记录。

8. 单击“搜索”以立即运行取证查询，或者单击“保存查询”以重复使用该查询。有关重复使用取证查询的信息，请参见保存取证查询。