搜索示例:每日员工报告
下面的示例介绍如何使用复杂的高级搜索查询来查看特定的员工信息。
出于身份管理目的,您决定在 JSA 中生成用户活动的每日报告。该报告必须包含有关员工的信息,例如其用户名、序列号、经理及其活动。
一个员工在 JSA 中可能有多个用户名。您可以使用 RESTful API 构建一个参考映射,该映射将所有关联的用户名返回到员工的姓名 Global_User.对于序列号和经理的姓名,您可以创建另一个参考数据集并将其添加到参考地图中。
员工活动的范围可以从登录失败到 JSA 任务,例如删除对象。这些事件由 JSA 记录。通过在映射中指定事件的频率,可以衡量发生可疑活动的时间。按员工的姓名和事件名称对数据进行分组,然后按 24 小时内的最高事件频率对数据进行排序。
要查看此每日报告,请登录 JSA 控制台。在 日志活动 选项卡上的高级搜索文本框中,键入以下搜索查询:
select REFERENCEMAP('GlobalID_Mapping', username) as Global_User,
QIDNAME(qid) as 'Event Name', count(*) as 'Event Count', FIRST(username) as
UserId, REFERENCETABLE('employee_data','SerialNum', Global_user) as 'Serial
Number', REFERENCETABLE('employee_data','Manager',Global_User) as Manager
from events where (Global_User IS NOT NULL) GROUP BY Global_user,'Event
Name' ORDER BY 'Event Count' DESC last 1 DAYS