Фильтр журнала активности пользователей
После применения фильтра в консоли отображаются сеансы мониторинга в соответствии с настройками фильтра. Для доступа к настройкам служит команда Фильтр из контекстного меню журнала активности пользователей, открывающая диалоговое окно, в котором можно задать, просмотреть или изменить настройки фильтра.
Предусмотрены два типа фильтра:
•Включить - Отображать только сеансы, которые соответствуют заданным условиям. Чтобы настроить и применить эти условия, установите флажок Включить фильтр на вкладке Включить и задайте условия на этой вкладке.
•Исключить - Не отображать сеансы, которые соответствуют заданным условиям. Чтобы настроить и применить эти условия, установите флажок Включить фильтр на вкладке Исключить и задайте условия на этой вкладке.
Фильтр можно временно выключить. Для этого снимите флажок Включить фильтр.
Примечание: Значок рядом с именем вкладки становится зеленым, если фильтр на данной вкладке включен. В противном случае цвет этого значка серый. |
Когда фильтр включен, можно настроить условия фильтрации, задав необходимые значения в следующих полях:
•Тип - Фильтрация по доступным видам записи:
•Видеозапись - Флажок для фильтрации сеансов, содержащих только видеозапись экрана компьютера.
•Запись клавиатуры - Флажок для фильтрации сеансов, содержащих только запись нажатий на клавиши.
Внимание: •Если установлен только флажок Видеозапись, фильтру соответствуют только сеансы с видеозаписью без записи нажатий на клавиши. •Если установлен только флажок Запись клавиатуры, фильтру соответствуют только сеансы с записью нажатий на клавиши, без видеозаписи. •Если установлены оба флажка, фильтру соответствуют сеансы с видеозаписью и/или записью нажатий на клавиши. |
•Компьютер - Имя компьютера, на котором был записан сеанс мониторинга. Можно использовать знаки подстановки, а также указать несколько имен через точку с запятой.
Поле Компьютер имеется только в фильтре журнала на сервере DeviceLock Enterprise Server. В фильтре журнала на сервисе DeviceLock это поле отсутствует.
•Правило - Имя правила, вызвавшего запись. Можно использовать знаки подстановки, а также указать несколько правил через точку с запятой.
•Причина - Описание причины, по которой сработало правило, вызвавшее запись. Можно использовать знаки подстановки, а также указать несколько причин через точку с запятой.
•Продолжительность - Промежуток времени (дни, часы, минуты и секунды), в течение которого выполнялась запись. Возможные варианты настройки: больше, меньше или равно заданному значению, или в промежутке между заданной парой значений.
Значение вводится в формате дни:часы:минуты:секунды. Незначащие нули можно опускать. Например, 00:00:30:00 эквивалентно 30:00 и означает 30 минут.
•Пользователь - Имя пользователя, активность которого была записана в сеансе мониторинга. Можно использовать знаки подстановки, а также указать несколько имен через точку с запятой.
•Сервер - Имя компьютера, на котором работает сервер DeviceLock Enterprise Server, получивший запись от сервиса DeviceLock. Можно использовать знаки подстановки, а также указать несколько имен через точку с запятой.
Поле Сервер имеется только в фильтре журнала на сервере DeviceLock Enterprise Server. В фильтре журнала на сервисе DeviceLock это поле отсутствует.
•Запись клавиатуры - Фильтрация по данным, которые пользователь вводил с клавиатуры во время сеанса мониторинга:
•Заголовок окна - Заголовок окна приложения, в котором выполнялся ввод с клавиатуры. Можно использовать знаки подстановки, а также указать несколько заголовков через точку с запятой.
•Ввод с клавиатуры - Слова/фразы, введенные пользователем с клавиатуры. Можно использовать знаки подстановки, а также указать несколько фраз через точку с запятой.
Примечание: •Фильтрация применяется только к печатным символам. Фильтр не замечает имена нажатых не символьных клавиш, такие как Shift, Alt, Del, Left, Right, End и т.п., которые также регистрируются в записи клавиатуры. Например, строка фильтра серийный номер соответствует как записи серийный номер, так и записи серийный [Shift]номер. •Чтобы настроить фильтр, которому соответствуют записи, содержащие пароли, используйте следующую маску в поле Ввод с клавиатуры: *<password>*</password>* |
•Имя процесса - Имя и путь к исполняемому файлу процесса (приложения), в котором выполнялся ввод с клавиатуры. Можно использовать знаки подстановки, а также указать несколько процессов через точку с запятой.
•С, По - Временной диапазон фильтрации по дате и времени начала записи сеанса. Имеется в фильтре журнала на сервисе DeviceLock.
•Дата/Время генерации - Временной диапазон фильтрации записей по дате и времени начала записи сеанса сервисом DeviceLock. Имеется только в фильтре журнала на сервере DeviceLock Enterprise Server.
•Дата/Время сбора - Временной диапазон фильтрации записей по дате и времени их получения от сервиса DeviceLock. Имеется только в фильтре журнала на сервере DeviceLock Enterprise Server.
•Консолидация - Поля для фильтрации по данным, относящимся к консолидации журналов (см.
Консолидация журналов):
•Сервер - Имя удаленного сервера, с которого данная запись была последний раз получена при консолидации журналов. Можно использовать знаки подстановки, а также указать несколько имен через точку с запятой.
•С, По - Настройки временного диапазона для фильтрации записей по времени, когда они были последний раз получены с удаленного сервера при консолидации журналов.
Поля, связанные с консолидацией, имеются только в фильтре журнала на сервере DeviceLock Enterprise Server. Они отсутствуют в фильтре журнала на сервисе DeviceLock.
Для каждого временного диапазона предусмотрены следующие настройки:
•С - Начало диапазона. Возможные значения:
•Первой записи - Фильтровать записи, начиная с самой ранней даты и времени в соответствующем поле журнала.
•Записи от - Фильтровать записи, начиная с указанной даты и времени.
•По - Конец диапазона. Возможные значения:
•Последнюю запись - Фильтровать записи, заканчивая самой поздней датой и временем в соответствующем поле журнала.
•Записи от - Фильтровать записи, заканчивая указанной датой и временем.
Настраивая фильтр, учитывайте следующее:
•Условия фильтра объединяются по И, так что сеанс соответствует фильтру, если он соответствует каждому условию фильтра. Оставляйте пустыми поля, которые не должны использоваться в условиях фильтра.
•В строковых полях фильтра допускаются знаки подстановки, такие как звездочка и вопросительный знак. Звездочка (*) обозначает любую (в том числе пустую) группу символов. Вопросительный знак (?) обозначает любой одиночный символ.
•В строковых полях фильтра можно указывать несколько значений, разделяя их точкой с запятой (;). Значения в этом случае объединяются по ИЛИ, так что сеанс соответствует условию фильтра по данному полю, если он соответствует хотя бы одному из указанных в этом поле значений.
•Кнопка Очистить в диалоговом окне Фильтр позволяет удалить все ранее заданные условия и начать настройку нового фильтра с нуля.
•Кнопки Сохранить и Загрузить в диалоговом окне Фильтр служат для сохранения условий фильтра в файл и загрузки ранее сохраненных условий из файла.