Сервер DeviceLock Enterprise Server : Средства просмотра журналов DeviceLock : Просмотрщик журнала аудита (для сервера) : Фильтр журнала аудита (для сервера)
  
Фильтр журнала аудита (для сервера)
Просмотрщик журнала аудита (для сервера) позволяет отфильтровать данные так, чтобы только записи, удовлетворяющие заданным условиям, выводились в список.
Чтобы открыть диалоговое окно Фильтр, выберите команду Фильтр из контекстного меню, доступного по нажатию правой кнопки мыши на элементе Просмотрщик журнала аудита, или нажмите кнопку на панели инструментов.
Фильтр журнала аудита для сервера настраивается аналогично фильтру журнала аудита для отдельных компьютеров, описанному в разделе Фильтр журнала аудита (для компьютера).
Чтобы настроить фильтр, установите флажок Включить фильтр на соответствующей вкладке в зависимости от того, следует ли настраивать условия включения или исключения.
 
Примечание: Значок рядом с именем вкладки становится зеленым, если фильтр на данной вкладке включен. В противном случае цвет этого значка серый.
По сравнению с фильтром журнала аудита для отдельных компьютеров этот серверный фильтр предоставляет следующие дополнительные поля:
Компьютер - Имя компьютера, на котором событие было зарегистрировано сервисом DeviceLock. Это поле нечувствительно к регистру.
Сервер - Имя сервера DeviceLock Enterprise Server, получившего событие от сервиса DeviceLock. Это поле нечувствительно к регистру.
ID-события - Идентификационный номер события. Используя точку с запятой в качестве разделителя, можно задать несколько номеров.
Дата/Время генерации - Настройки временного диапазона для фильтрации событий по времени, когда они были зарегистрированы сервисом DeviceLock.
Дата/Время сбора - Настройки временного диапазона для фильтрации событий по времени, когда они были получены сервером DeviceLock Enterprise Server от сервиса DeviceLock.
Консолидация - Поля для фильтрации по данным, относящимся к консолидации журналов (см. Консолидация журналов):
Сервер - Имя удаленного сервера, с которого данное событие было последний раз получено при консолидации журналов. Это поле нечувствительно к регистру и допускает знаки подстановки (* и ?). Используя точку с запятой в качестве разделителя, можно задать несколько значений.
С, По - Настройки временного диапазона для фильтрации событий по времени, когда они были последний раз получены с удаленного сервера при консолидации журналов.
Для каждого временного диапазона предусмотрены следующие настройки:
С - Начало диапазона. Возможные значения:
Первого события - Фильтровать события, начиная с самой ранней даты и времени в соответствующем поле журнала.
События от - Фильтровать события, начиная с определенной даты и времени.
По - Конец диапазона. Возможные значения:
Последнее событие - Фильтровать события, заканчивая самой поздней датой и временем в соответствующем поле журнала.
События от - Фильтровать события, заканчивая определенной датой и временем.
 
Примечание: Чтобы облегчить настройку фильтра, его строковые поля запоминают ранее вводившиеся данные и подставляют подходящие строки по мере ввода с клавиатуры. История введенных значений доступна в раскрывающемся списке параметров поля.
Настраивая фильтр, учитывайте следующее:
Условия фильтра объединяются по И, так что запись соответствует фильтру, если она соответствует каждому условию фильтра. Оставляйте пустыми поля, которые не должны использоваться в условиях фильтра.
В строковых полях фильтра допускаются знаки подстановки, такие как звездочка и вопросительный знак. Звездочка (*) обозначает любую (в том числе пустую) группу символов. Вопросительный знак (?) обозначает любой одиночный символ.
В любом строковом поле фильтра можно указать несколько значений, разделяя их точкой с запятой (;). Значения в этом случае объединяются по ИЛИ, так что запись соответствует условию фильтра по данному полю, если она соответствует хотя бы одному из указанных в этом поле значений.
Кнопка Очистить в диалоговом окне Фильтр позволяет удалить все ранее заданные условия и начать настройку нового фильтра с нуля.
Кнопки Сохранить и Загрузить в диалоговом окне Фильтр служат для сохранения условий фильтра в файл и загрузки ранее сохраненных условий из файла.
При настройке фильтра по полю Имя, Причина или Информация учитывайте следующее:
Фильтр применяется к данным, отображаемым в столбцах списка событий. Поскольку в столбцах Имя, Причина и Информация могут содержаться описания устройств, фильтр может оставить в списке (или исключить из списка) устройства, описание которых соответствует условию фильтра по полю Имя, Причина или Информация.
Событие удовлетворяет условию фильтра, если какая-либо часть данных столбца Имя, Причина или Информация соответствует одноименному полю фильтра. Например, события, у которых в столбце Имя указано USB-устройство (USB-Admin), USB-устройство (Admin) или USB-устройство (Administrator), удовлетворяют условию фильтра, у которого в поле Имя указано Admin.
Применительно к описаниям устройств в столбце Имя, Причина или Информация знаки подстановки * и ? действуют как разделители в соответствующих полях фильтра. Событие соответствует фильтру, если какая-либо часть данных столбца соответствует любой части данных поля фильтра, разделенных символом подстановки. Например, события, у которых описание устройства в столбце Имя содержит слово Admin или User (например, USB-устройство (Administrator) или USB-устройство (USB-User)), удовлетворяет условиям фильтра, у которого в поле Имя указано User*Admin.