Per tutti i dati di log acquisiti, iknoplex genera una vista normalizzata che è indipendente dalla struttura originaria del log. Questo approccio consente la costruzione di modelli personalizzati per l'analisi, che sono duraturi in quanto non strettamente legati al tipo di log caricato nel data warehouse.

Il modello è strutturato attorno a sette dimensioni di correlazione chiave:

Tempo
Quando l'evento si è verificato?

Questa dimensione descrive il momento preciso o il periodo in cui il singolo evento si è verificato e come esso si rapporta ad altre categorie temporali rilevanti ai fini del business: turni di lavoro, ferie e festività, stagioni, turni di notte eccetera.

Tipo di evento
Quale tipo di evento si è verificato? Ha avuto successo?

iknoplex LM etichetta tutti gli eventi di sicurezza con categorie standard comprese in una tassonomia di grandi dimensioni, che copre tutte le occorrenze all'interno del dominio di sicurezza e di controllo.

Utente
Chi ha causato l'evento? Chi è e quale ruolo aveva quando l'evento si è verificato? Con quali privilegi opera? A quale unità organizzativa appartiene? A chi riferisce?

In iknoplex LM l'utente rappresenta un collegamento agli attributi dell'organizzazione, con i quali è possibile correlare l'evento in termini di ruolo, funzione, servizio, supervisore, azienda, posizione geografica eccetera. Le informazioni utilizzate per arricchire i dati originali vengono recuperate dai directory server e dai sistemi di identity e HR management.

Piattaforma   
Quale sistema ha generato l'evento? A quale unità organizzativa o linea di servizio apparteneva?

Questa dimensione rappresenta l'appliance, i sistemi, il middleware o le applicazioni che hanno generato l'evento. Come in altre dimensioni, l'entità è descritta con attributi organizzativi e di business definiti dall'utente, che possono essere recuperati dai sistemi di gestione patrimoniale.

Oggetto
Quale risorsa è stata interessata dall'evento? A quale area di business appartiene?

Ogni evento coinvolge una persona (utente) e un oggetto: file, database, tabella, sistema di transazione eccetera. Come per la "piattaforma", questa dimensione può anche essere ricavata da uno snapshot dei dati riguardanti i sistemi di asset management, risk management eccetera.

Origine
Qual'è l'origine delle attività che ha dato luogo all'evento? Da quale workstation l'utente ha operato?

Un particolare evento può provenire dall'interno di un sistema o può essere causato da un sistema remoto. Nel secondo caso, questa dimensione fornisce informazioni sul sistema esterno che ha originato l'evento (ad esempio la collocazione dell'utente o l'indirizzo IP di provenienza).

Obiettivo
Quale sistema remoto è interessato dall'evento?

Questa dimensione è in genere utilizzata insieme all'origine per descrivere gli eventi generati dai dispositivi di interconnessione (come i firewall), dove l'obiettivo è, ad esempio, il sistema remoto che partecipa ad una connessione di rete.