查看审计结果：搜索和报告

这一节将介绍用于审计数据的几个不同选项：

1.即时搜索（此版本中的新功能）

2.活动报告

3.搜索和浏览

快速搜索工具（位于 Guardium UI 的顶部横幅中），启用该工具时，可提供针对数据库活动、错误和违规的快速搜索和浏览功能。该功能使用了搜索索引，每隔 1-2 分钟运行一次。您可以使用常用的搜索技术，其中包括分面搜索（faceted search）和文本搜索，或者二者的集合使用，以便快速对审计数据进行即时调查。

搜索包含以下事项：

数据库活动各个方面的统计信息（时间、地点、人物、事件）直方图。单击这些方面中的任何一个方面可以缩小您的搜索范围。

自由文本搜索将会搜索所有带索引的审计数据。例如，您可以输入字符串 “john”，然后搜索所有带索引的数据来查找 john，无论它出现在 DB User、OS User、Client 和 Error 中，还是出现在消息详细信息中。

在默认情况下，搜索和浏览功能都处于禁用状态。要启用该功能，可以以 CLI 用户的身份运行以下 grdapi： grdapi enable_quick_search。

要访问该功能，请输入一个搜索词或单击 InfoSphere Guardium UI 顶部横幅中的手电筒，如图 1 所示。

图 1. 访问审计数据的搜索和浏览

在红色框中突出显示的手电筒图标

使用左侧的方面来选择要添加到筛选器的值。例如，如果您想要查看是否有任何人最近丢弃了某个对象，那么您可以选择自己的时间范围，然后选择 MongoDB 作为 DB Type，并选择 drop 作为动词。

图 2. 使用直方图（方面）浏览审计数据

使用直方图（方面）浏览审计数据

该操作将会缩小结果的范围，并包含详细信息，包括丢弃的对象、时间和发布该命令的 db 用户。由于空间限制，图 3 中无法显示所有内容。

图 3. 经过筛选的搜索结果

经过筛选的搜索结果

创建报告

InfoSphere Guardium 包含很多内置的报告定义和一个丰富的报告构建功能。一些报告会自动填充数据；而对于另一些报告，您必须修改运行时间参数（比如指定正确的日期范围）才能填充该报告。

如果您看到自己喜欢的报告，还可以克隆用于生成该报告的查询，并对其进行调整，使之满足您的要求。例如，我们假定您喜欢名为 “Admin Users Login” 的报告。如果您以管理员身份登录，那么您会在 Daily Monitor 选项卡上找到该报告。如果单击该报告，您可能会看到消息 No data found，如图 4 所示。出现该消息的常见原因是日期范围可能未包含该活动发生的时间范围，或者未满足查询条件的其他某些方面。

图 4. 一个找不到查询结果的内置报告

一个找不到查询结果的内置报告

单击该报告下面的黄色铅笔图标，您可以看到用于创建该报告的基本查询，如图 5 所示。上半部分包含报告中的列，下半部分包含条件。您可以看到该报告的一个条件是 Admin Users 组的一个运行时参数。

图 5. 用于生成该报告的查询

显示报告列和报告条件的查询构建器

要查看 Admin Users 组中都有谁，可以转到 Group Builder 工具。假定您以管理员用户身份登录，请导航到 Tools 选项卡中的 Group Builder。

图 6. Group Builder 菜单

该图显示了 Tools 选项卡和突出显示的 Group Builder 菜单项

在打开 Group Filter 后，单击 Next。从现有组的列表中，选择 Admin Users 并单击 Modify。

如果您的 MongoDB 管理员用户不在列表中，那么可以添加他们，如图 7 所示。

图 7. 向组中添加新的管理员用户

该图显示了如何将 sundari 添加为管理员成员

如果该报告仍然没有显示任何数据，那么您可以自定义该报告，以更改数据范围。要执行该操作，请单击该报告右上角的 Customize 图标（蓝色铅笔），如图 8 所示。

图 8. 通过单击报告组件右上角的蓝色铅笔图标来自定义报告

图标题中的文本为描述性文本

然后，您可以更改日期范围（如图 9 所示）以包含一个包括之前整个一周（NOW -1 week）的时间范围，我们知道这个时间已经包含该活动。

图 9. 扩展报告的日期范围

日期被更改为 NOW-1 WEEK 以包含更多数据

现在，该报告显示了一些数据，如图 10 所示。

图 10. 报告现在显示了一些数据

报告显示了 SUNDARI 登录的活动

我们仅仅触及了报告自定义和报告创建的一些表面知识。不过，在 参考资料 中，有一个连接到 InfoSphere Guardium 信息中心 “操作方法” 主题的链接，该链接可以帮助您开始执行这些操作。

使用数据集市提高预定义的报告性能

您可以使用自己的或 Guardium 预定义的查询和报告来创建一个数据集市，该数据集市可用来大大提高常用报告的性能。数据集市是一个指定的表，它基于您所需的报告结构。您为了实现汇总数据的目的而定义数据集市的数据粒度（比如分钟、小时、天或周）并计划定期运行该操作。由于结构是预先定义的，所以它不再需要进行运行时联接（join）或其他资源密集型数据库活动。

在需要与常规报告（您可能需要在 Guardium Aggregators 上对大量数据进行处理）一起使用时，数据集市可能特别有效。由于数据集市反映了报告的结构，所以不需要进行复杂的多表联接，从而会大大提高这些报告的性能。

任何报告都可以通过单击报告底部的 Data Mart Builder 链接转换成数据集市，如图 11 所示。

图 11. 进入 Data Mart Builder 的图标

在报告右下角突出显示了该图标位置（底部工具栏）的报告

在 Data Mart Builder 中，您可以指定希望运行查询的频率，以及您将其保存为使用该定义创建的默认报告的时间。系统会根据您选择的粒度和制定的计划不断填充数据。

图 12. 数据集市配置

数据集市配置字段包含数据集市名称、描述、表的提取结果、表名称、时间粒度等。单击 Add to Pane 可向 UI 中添加相应的报告。