Self-Service-Suche

Was ist Self-Service-Suche?

Mit der Self-Service-Suchfunktion können Sie Benutzerereignisse finden und filtern, die von Ihren Datenquellen empfangen wurden. Sie können die zugrunde liegenden Benutzerereignisse und deren Attribute untersuchen. Diese Ereignisse helfen Ihnen, Datenprobleme zu identifizieren und sie zu beheben. Auf der Suchseite werden verschiedene Facetten (Dimensionen) und Metriken für eine Datenquelle angezeigt. Sie können Ihre Suchabfrage definieren und Filter anwenden, um die Ereignisse anzuzeigen, die Ihren definierten Kriterien entsprechen. Standardmäßig werden auf der Self-Service-Suchseite Benutzerereignisse für den letzten Monat angezeigt.

Derzeit ist die Self-Service-Suchfunktion für die folgenden Datenquellen verfügbar:

Außerdem können Sie Self-Service-Suche nach Ereignissen durchführen, die Ihren definierten Richtlinien entsprechen. Weitere Informationen finden Sie unter Self-Service-Suche nach Richtlinien.

So greifen Sie auf die Self-Service-Suche zu

Sie können auf die Self-Service-Suche zugreifen, indem Sie die folgenden Optionen verwenden:

  • Obere Leiste: Klicken Sie in der oberen Leiste auf Suchen, um alle Benutzerereignisse für die ausgewählte Datenquelle anzuzeigen.

  • Risikozeitleiste auf einer Benutzerprofilseite: Klicken Sie auf Ereignissuche, um die Ereignisse für den jeweiligen Benutzer anzuzeigen.

Self-Service-Suche über die obere Leiste

Verwenden Sie diese Option, um von einer beliebigen Stelle in der Benutzeroberfläche zur Self-Service-Suchseite zu wechseln.

  1. Klicken Sie auf Suchen, um die Self-Service-Seite anzuzeigen.

    Suche in der oberen Leiste

  2. Wählen Sie die Datenquelle und den Zeitraum aus, um die entsprechenden Ereignisse anzuzeigen.

    Suchseite der oberen Leiste

Self-Service-Suche über die Risikozeitleiste des Benutzers

Verwenden Sie diese Option, wenn Sie die Benutzerereignisse anzeigen möchten, die einem Risikoindikator zugeordnet sind.

Wenn Sie einen Risikoindikator aus der Zeitleiste eines Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Klicken Sie auf Ereignissuche, um die Ereignisse zu untersuchen, die dem Benutzer und der Datenquelle (für die der Risikoindikator ausgelöst wird) auf der Self-Service-Suchseite zugeordnet sind.

Risiko-Timeline-Suche

Weitere Informationen zum Zeitplan für das Benutzerrisiko finden Sie unter Risiko-Timeline.

So verwenden Sie die Self-Service-Suche

Verwenden Sie die folgenden Funktionen auf der Self-Service-Suchseite:

Verwenden von Facetten zum Filtern von Ereignissen

Facetten sind die Zusammenfassung von Datenpunkten, die ein Ereignis darstellen. Facetten variieren je nach Datenquelle. Die Facetten für die Access Control-Datenquelle sind beispielsweise Reputation, Aktionen, Standort und Kategoriegruppe. Während die Facetten für Virtual Apps und Desktops Ereignistyp, Domäne und Plattform sind.

Wählen Sie die Facetten aus, um Ihre Suchergebnisse zu filtern. Die ausgewählten Facetten werden als Chips angezeigt.

Weitere Informationen zu den Facetten, die jeder Datenquelle entsprechen, finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Verwenden der Suchabfrage im Suchfeld zum Filtern von Ereignissen

Wenn Sie den Cursor in das Suchfeld platzieren, zeigt das Suchfeld eine Liste der Dimensionen basierend auf den Benutzerereignissen an. Diese Dimensionen variieren je nach Datenquelle. Verwenden Sie die Dimensionen und das Gültige Betreiber, um Ihre Suchkriterien zu definieren und nach den erforderlichen Ereignissen zu suchen.

Beispielsweise erhalten Sie bei der Self-Service-Suche nach Zugriff die folgenden Dimensionen für die Zugriffsereignisse. Verwenden Sie die Dimensionen, um Ihre Abfrage einzugeben, wählen Sie den Zeitraum aus und klicken Sie dann auf Suchen.

Suchabfrage

Unterstützte Betreiber bei Suchanfrage

Verwenden Sie die folgenden Operatoren in Ihren Suchanfragen, um Ihre Suchergebnisse zu verfeinern.

Operator Beschreibung Beispiel Ausgabe
: Weisen Sie einer Suchdimension einen Wert zu. Benutzername: John Zeigt Ereignisse für den Benutzer John an.
= Weisen Sie einer Suchdimension einen Wert zu. Benutzername = John Zeigt Ereignisse für den Benutzer John an.
~ Suchen Sie Ereignisse mit ähnlichen Werten. Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an.
”” Schließen Sie Werte getrennt durch Leerzeichen ein. Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an.
<, > Suchen Sie nach einem relationalen Wert. Datenvolumen > 100 Zeigt Ereignisse an, bei denen das Datenvolumen größer als 100 GB ist.
UND Suchereignisse, bei denen die angegebenen Bedingungen zutreffen. Benutzername: John AND Datenvolumen > 100 Zeigt Ereignisse von Benutzer John an, bei denen das Datenvolumen größer als 100 GB ist.
!~ Überprüft Ereignisse auf das von Ihnen angegebene übereinstimmende Muster. Dieser NOT LIKE Operator gibt die Ereignisse zurück, die das übereinstimmende Muster nirgendwo in der Ereigniszeichenfolge enthalten. Benutzername! ~ John Zeigt Ereignisse für die Benutzer an, außer John, John Smith oder solche Benutzer, die den übereinstimmenden Namen “John” enthalten.
!= Prüft Ereignisse auf die genaue Zeichenfolge, die Sie angeben. Dieser NOT EQUAL-Operator gibt die Ereignisse zurück, die die genaue Zeichenfolge nicht irgendwo in der Ereigniszeichenfolge enthalten. Country != USA Zeigt Ereignisse für Länder mit Ausnahme der USA an.
* Suchen Sie Ereignisse, die den angegebenen Strings entsprechen. Derzeit wird der Operator * nur mit dem Operator = und dem! = Betreiber. Bei den Suchergebnissen wird Groß-/Kleinschreibung beachtet Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    Benutzername = *John* Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
    Benutzername! = John* Zeigt Ereignisse für alle Benutzernamen an, die nicht mit John beginnen.
    Benutzername! = *Schmied Zeigt Ereignisse für alle Benutzernamen an, die nicht mit Smith enden.
IN Weisen Sie einer Suchdimension mehrere Werte zu, um die Ereignisse abzurufen, die sich auf einen oder mehrere Werte beziehen. Hinweis: Derzeit können Sie diesen Operator mit den folgenden Dimensionen von Citrix Virtual Apps and Desktops- Device ID, DomainEvent-Type, und verwenden User-Name. Dieser Operator ist nur für die String-Werte anwendbar. Benutzername IN (John, Kevin) Finde alle Veranstaltungen im Zusammenhang mit John oder Kevin.
NOT IN Weisen Sie einer Suchdimension mehrere Werte zu und suchen Sie die Ereignisse, die die angegebenen Werte nicht enthalten. Hinweis: Derzeit können Sie diesen Operator mit den folgenden Dimensionen von Citrix Virtual Apps and Desktops- Device ID, DomainEvent-Type, und verwenden User-Name. Dieser Operator ist nur für die String-Werte anwendbar. Benutzername NICHT IN (John, Kevin) Finde die Events für alle Benutzer außer John und Kevin.

Hinweis

Verwenden Sie für den Operator NOT EQUAL bei der Eingabe der Werte für die Dimensionen in Ihrer Abfrage die genauen Werte, die auf der Self-Service-Suchseite für eine Datenquelle verfügbar sind. Bei den Dimensionswerten wird zwischen Groß- und Kleinschreibung

Weitere Informationen zum Angeben der Suchabfrage für die Datenquelle finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Wählen Sie die Zeit für die Anzeige des Ereignisses aus

Wählen Sie eine voreingestellte Zeit aus, oder geben Sie einen benutzerdefinierten Zeitraum ein, und klicken Sie auf Suchen, um die Ereignisse anzuzeigen.

Zeitauswahl

Anzeigen der Timeline-Details

Die Zeitleiste bietet eine grafische Darstellung der Benutzerereignisse für den ausgewählten Zeitraum. Verschieben Sie die Selektorbalken, um den Zeitbereich auszuwählen und die Ereignisse anzuzeigen, die dem ausgewählten Zeitraum entsprechen.

Die Abbildung zeigt Details der Zeitachse für Zugriffsdaten.

Zeitleistendetails

Die Veranstaltung anzeigen

Sie können die detaillierten Informationen zum Benutzerereignis anzeigen. Klicken Sie in der Tabelle DATA auf den Pfeil für jede Spalte, um die Details zum Benutzerereignis anzuzeigen.

Die Abbildung zeigt die Details zu den Zugriffsdaten des Benutzers.

Ereignisse

Spalten hinzufügen oder entfernen

Sie können Spalten entweder aus der Ereignistabelle hinzufügen oder entfernen, um die entsprechenden Datenpunkte ein- oder auszublenden. Gehen Sie wie folgt vor:

  1. Klicken Sie auf Spalten hinzufügen oder entfernen.

     Update-Ereignisse

  2. Wählen Sie die Datenelemente aus der Liste aus oder heben Sie die Auswahl auf und klicken Sie dann auf Aktualisieren.

    Update-Spalten

Wenn Sie einen Datenpunkt aus der Liste abwählen, wird die entsprechende Spalte aus der Ereignistabelle entfernt. Sie können diesen Datenpunkt jedoch anzeigen, indem Sie die Ereigniszeile für einen Benutzer erweitern. Wenn Sie beispielsweise den TIME Datenpunkt aus der Liste aufheben, wird die Spalte TIME aus der Ereignistabelle entfernt. Um den Zeitdatensatz anzuzeigen, erweitern Sie die Ereigniszeile für einen Benutzer.

Ausgeblendete Attribute

Exportieren der Ereignisse in eine CSV-Datei

Exportieren Sie die Suchergebnisse in eine CSV-Datei und speichern Sie sie als Referenz. Klicken Sie auf In CSV-Format exportieren, um die Ereignisse zu exportieren und die generierte CSV-Datei herunterzuladen.

CSV-Export

Visuelle Zusammenfassung exportieren

Sie können den visuellen Zusammenfassungsbericht Ihrer Suchanfrage herunterladen und eine Kopie mit anderen Benutzern, Administratoren oder Ihrem Führungsteam teilen.

Klicken Sie auf Visual Summary exportieren, um den visuellen Zusammenfassungsbericht als PDF herunterzuladen. Der Bericht enthält die folgenden Informationen:

  • Die Suchanfrage, die Sie für die Ereignisse für den ausgewählten Zeitraum angegeben haben.

  • Die Facetten (Filter), die Sie für den ausgewählten Zeitraum auf die Ereignisse angewendet haben.

  • Die visuelle Zusammenfassung wie die Zeitleistendiagramme, Balkendiagramme oder Diagramme der Suchereignisse für den ausgewählten Zeitraum.

Für eine Datenquelle können Sie den visuellen Zusammenfassungsbericht nur herunterladen, wenn die Daten in visuellen Formaten wie Balkendiagrammen und Zeitleistendetails angezeigt werden. Andernfalls ist diese Option nicht verfügbar. Sie können beispielsweise den visuellen Zusammenfassungsbericht der Datenquellen wie Virtual Apps and Desktops, Sessions herunterladen, wo Daten als Zeitleistendetails und Balkendiagramme angezeigt werden. Für Datenquellen wie Benutzer und Maschinen sehen Sie Daten nur im Tabellenformat. Daher können Sie keinen visuellen Zusammenfassungsbericht herunterladen.

Visuelle Zusammenfassung exportieren

Mehrspaltige Sortierung

Die Sortierung hilft bei der Organisation Ihrer Daten und bietet eine bessere Sichtbarkeit. Auf der Self-Service-Suchseite können Sie die Benutzerereignisse nach einer oder mehreren Spalten sortieren. Die Spalten stellen die Werte verschiedener Datenelemente wie Benutzername, Datum und Uhrzeit sowie URL dar. Diese Datenelemente unterscheiden sich je nach den ausgewählten Datenquellen.

Um eine mehrspaltige Sortierung durchzuführen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf Sortieren nach.

    Sortieren nach

  2. Wählen Sie eine Spalte aus der Liste Sortieren nach aus.

  3. Wählen Sie die Sortierreihenfolge - aufsteigend (Pfeil nach oben) oder absteigend (Pfeil nach unten), um die Ereignisse in der Spalte zu sortieren.

  4. Klicken Sie auf + Spalten hinzufügen.

  5. Wählen Sie eine andere Spalte aus der Liste “ Dann nach “ aus.

  6. Wählen Sie die Sortierreihenfolge - aufsteigend (Pfeil nach oben) oder absteigend (Abwärtsfehler), um die Ereignisse in der Spalte zu sortieren.

    Hinweis

    Sie können bis zu sechs Spalten hinzufügen, um die Sortierung durchzuführen.

  7. Klicken Sie auf Apply.

  8. Wenn Sie die vorangehenden Einstellungen nicht anwenden möchten, klicken Sie auf Abbrechen. Um die Werte der ausgewählten Spalten zu entfernen, klicken Sie auf Alle löschen.

Das folgende Beispiel zeigt eine mehrspaltige Sortierung für die Access Control-Ereignisse. Die Ereignisse werden nach Zeit (in letzter zur ältesten Reihenfolge) und dann nach URL (in alphabetischer Reihenfolge) sortiert.

Mehrspaltige Sortierung

Alternativ können Sie eine mehrspaltige Sortierung mit der Umschalttaste durchführen. Drücken Sie die Umschalttaste und klicken Sie auf die Spaltentitel, um die Benutzerereignisse zu sortieren.

So speichern Sie die Self-Service-Suche

Als Administrator können Sie eine Self-Service-Abfrage speichern. Diese Funktion spart Zeit und Mühe beim Umschreiben der Abfrage, die Sie häufig für die Analyse oder Fehlerbehebung verwenden. Die folgenden Optionen werden mit der Abfrage gespeichert:

  • Angewandte Suchfilter
  • Ausgewählte Datenquelle und Dauer

So speichern Sie eine Self-Service-Abfrage:

  1. Wählen Sie die erforderliche Datenquelle und die Dauer aus.

  2. Geben Sie eine Abfrage in die Suchleiste ein.

  3. Wenden Sie die erforderlichen Filter an.

  4. Klicken Sie auf Suche speichern.

  5. Geben Sie den Namen zum Speichern der benutzerdefinierten Abfrage an.

    Hinweis Stellen Sie

    sicher, dass der Abfragename eindeutig ist Andernfalls wird die Abfrage nicht gespeichert.

  6. Aktivieren Sie die Schaltfläche E-Mail-Bericht planen, wenn Sie regelmäßig eine Kopie des Suchanfrageberichts an sich und andere Benutzer senden möchten. Weitere Informationen finden Sie unter Planen Sie eine E-Mail für eine Suchanfrage.

  7. Klicken Sie auf Speichern.

So zeigen Sie die gespeicherten Suchenan:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Klicken Sie auf den Namen der Suchanfrage.

So entfernen Sie eine gespeicherte Suche:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Wählen Sie die Suchanfrage aus, die Sie gespeichert haben.

  3. Klicken Sie auf gespeicherte Suche entfernen.

Entfernen der gespeicherten Suche

So ändern Sie eine gespeicherte Suche:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Klicken Sie auf den Namen der Suchanfrage, die Sie gespeichert haben.

  3. Ändern Sie die Suchanfrage oder die Facettenauswahl basierend auf Ihren Anforderungen.

  4. Klicken Sie auf Suche aktualisieren > Speichern, um zu aktualisieren, und speichern Sie die geänderte Suche unter demselben Suchanfragenamen.

  5. Wenn Sie die geänderte Suche unter einem neuen Namen speichern möchten, klicken Sie auf den Abwärtspfeil und dann auf Als neue Suche speichern > Speichern unter.

Wenn Sie die Suche durch einen neuen Namen ersetzen, wird die Suche als neuer Eintrag gespeichert. Wenn Sie den vorhandenen Suchnamen beim Ersetzen beibehalten, überschreiben die geänderten Suchdaten die vorhandenen Suchdaten.

Hinweis

  • Nur ein Abfragebesitzer kann seine gespeicherten Suchen ändern oder entfernen.
  • Sie können die gespeicherte Adresse des Suchlinks kopieren, um sie mit einem anderen Benutzer zu teilen.

Planen Sie eine E-Mail für eine Suchanfrage

Sie können in regelmäßigen Abständen eine Kopie des Suchanfrageberichts an sich und andere Benutzer senden, indem Sie einen Zeitplan für die E-Mail-Zustellung einrichten.

Diese Option ist nur verfügbar, wenn Ihr Suchanfragebericht Daten in visuellen Formaten wie Balkendiagrammen und Zeitachsendetails enthält. Andernfalls können Sie keine E-Mail-Zustellung planen. Sie können beispielsweise eine E-Mail für Datenquellen wie Virtual Apps and Desktops, Sitzungen, in denen Daten als Zeitleistendetails und Balkendiagramme angezeigt werden, planen. Für Datenquellen wie Benutzer und Maschinen sehen Sie Daten nur im Tabellenformat. Daher können Sie keine E-Mail planen.

Planen Sie eine E-Mail beim Speichern einer Suchanfrage

Richten Sie beim Speichern einer Suchanfrage einen Zeitplan für die E-Mail-Zustellung wie folgt ein:

  1. Aktivieren Sie im Dialogfeld Suche speichern die Schaltfläche E-Mail-Bericht planen .

    E-Mail planen

  2. Geben Sie die E-Mail-Adressen der Empfänger ein oder fügen Sie sie ein.

    Hinweis

    E-Mail-Gruppen werden nicht unterstützt.

  3. Legen Sie Datum und Uhrzeit für die E-Mail-Zustellung fest.

  4. Wählen Sie die Lieferfrequenz aus - täglich, wöchentlich oder monatlich.

  5. Klicken Sie auf Speichern.

Planen Sie eine E-Mail für eine bereits gespeicherte Suchanfrage

Wenn Sie einen E-Mail-Lieferplan für eine Suchanfrage einrichten möchten, die Sie zuvor gespeichert haben, gehen Sie wie folgt vor:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Gehen Sie zu der Suchanfrage, die Sie erstellt haben. Klicken Sie auf das Symbol Diese Abfrage per E-Mail senden .

    Hinweis

    Nur ein Abfragebesitzer kann die E-Mail-Zustellung seiner gespeicherten Suchanfrage planen.

    E-Mail-Anfrage

  3. Aktivieren Sie die Schaltfläche E-Mail-Bericht planen .

  4. Geben Sie die E-Mail-Adressen der Empfänger ein oder fügen Sie sie ein.

    Hinweis

    E-Mail-Gruppen werden nicht unterstützt.

  5. Legen Sie Datum und Uhrzeit für die E-Mail-Zustellung fest.

  6. Wählen Sie die Lieferfrequenz aus - täglich, wöchentlich oder monatlich.

  7. Klicken Sie auf Speichern.

Stoppen Sie einen E-Mail-Lieferplan für eine Suchanfrage

  1. Klicken Sie auf Gespeicherte Suchen

  2. Gehen Sie zu der Suchanfrage, die Sie erstellt haben. Klicken Sie auf das Symbol E-Mail-Lieferplan anzeigen .

    Hinweis

    Nur ein Abfragebesitzer kann den E-Mail-Zeitplan seiner gespeicherten Suchanfrage stoppen.

    E-Mail-Zeitplan beenden

  3. Deaktivieren Sie die Schaltfläche E-Mail-Bericht planen .

  4. Klicken Sie auf Speichern.

Inhalt per E-Mail

Die Empfänger erhalten von “Citrix Cloud - Benachrichtigungen < donotreplynotifications@citrix.com >” eine E-Mail über den Suchanfragebericht. Der Bericht ist als PDF-Dokument beigefügt. Die E-Mail wird in einem regelmäßigen Intervall gesendet, das von Ihnen in den Einstellungen für E-Mail-Bericht planen definiert wurde.

Der Suchanfragebericht enthält die folgenden Informationen:

  • Die Suchanfrage, die Sie für die Ereignisse für den ausgewählten Zeitraum angegeben haben.

  • Die Facetten (Filter), die Sie auf die Ereignisse angewendet haben.

  • Die visuelle Zusammenfassung wie die Zeitleistendiagramme, Balkendiagramme oder Graphen der Suchereignisse.

Self-Service-Suche