Search <book_title>...

Enterprise Vault™ 审核

Last Published: 2018-03-28

Product(s): Enterprise Vault (12.3)

常规项目删除审核条目的查询搜索示例

以下简单查询将从审核数据库中检索指定时间段内的所有搜索和删除条目。

USE EnterpriseVaultAudit
SELECT *  FROM [EnterpriseVaultAudit].[dbo].[EVAuditView]
WHERE CategoryName in ('Search', 'Delete')
AND AuditDate BETWEEN '2017-10-05 08:27:48' and '2017-10-05 08:32:37'
ORDER BY AuditID desc

以下 SQL 查询还可扩展此简单查询，对归档进行过滤。归档信息存储在 Enterprise Vault 目录中。

DECLARE @ArchiveId varchar(112)
DECLARE @StartDateTime datetime
DECLARE @EndDateTime datetime

SET @ArchiveId = '1B29F35DAA512AC47A64558FDF7A614571110000example.local'
SET @StartDateTime = '2017-10-05 08:27:48'
SET @EndDateTime = '2017-10-05 08:28:37'

CREATE TABLE #ArchiveFolders
(
       VaultEntryId varchar(112)
)

INSERT INTO #ArchiveFolders
SELECT VaultEntryId 
FROM [EnterpriseVaultDirectory].[dbo].[ArchiveFolderView]
WHERE ArchiveVEID = @ArchiveId

SELECT *  FROM [EnterpriseVaultAudit].[dbo].[EVAuditView] 
auditView LEFT JOIN #ArchiveFolders archFolder
ON archFolder.VaultEntryId = auditView.Vault
WHERE AuditDate BETWEEN @StartDateTime and @EndDateTime
AND CategoryName in ('Search', 'Delete')
ORDER BY AuditID

DROP TABLE #ArchiveFolders

表：SQL 查询返回的示例审核条目值显示由审核数据库的 SQL 查询返回的示例数据。列标题与审核数据库中的数据库视图 EVAuditView 相关。“示例值 (搜索)”列中的值显示了初始搜索为要删除的项目创建的审核条目。“示例值 (删除)”列中的值显示了用户 jdoe 删除项目时创建的审核条目。

对于表：提供项目删除证据的相关步骤中的步骤，最终搜索还会列出审核条目，显示该项目不再存在。表：SQL 查询返回的示例审核条目值中不包括此审核条目。

有关审核数据库条目的格式说明和不同类型的审核条目的 EVAuditView 列中值的解释，请参见本文档的附录。

表：SQL 查询返回的示例审核条目值

EVAuditView 列标题	示例值（搜索）	示例值（删除）
AuditID	3582	3584
Status	SUCCESS	SUCCESS
AuditDate	31/08/2017 10:03:37	31/08/2017 10:03:44
UserName	example\jdoe 执行搜索操作的用户。	example\jdoe 执行删除操作的用户。
CategoryName	Search	Delete
SubCategoryName	Searches	Item
ObjectID (Saveset and/or Folder ID)		#142$1610D28B10DB21647B11EEF479019B70B1110000example.local
Vault (Archive or Folder ID)	16454F118169EDE48822DC10CE 69307CA1110000example.local	1610D28B10DB21647B11EEF479019B70B1110000example.local
Info	Query '(NOT sens:2) AND (evtag.category:PII)', matching '8' entries, viewing range '1' to '100'
MachineName	EVServer1	EVServer1