Self-Service-Suche

Was ist Self-Service-Suche?

Mit der Self-Service-Suchfunktion können Sie Benutzerereignisse suchen und filtern, die von Ihren Datenquellen empfangen wurden. Sie können die zugrunde liegenden Benutzerereignisse und ihre Attribute untersuchen. Diese Ereignisse helfen Ihnen, Datenprobleme zu identifizieren und zu beheben. Auf der Suchseite werden verschiedene Facetten (Dimensionen) und Metriken für eine Datenquelle angezeigt. Sie können Ihre Suchanfrage definieren und Filter anwenden, um die Ereignisse anzuzeigen, die Ihren definierten Kriterien entsprechen. Standardmäßig zeigt die Self-Service-Suchseite Benutzerereignisse für den letzten Tag an.

Derzeit ist die Self-Service-Suchfunktion für die folgenden Datenquellen verfügbar:

Sie können auch eine Self-Service-Suche nach Ereignissen durchführen, die Ihren definierten Richtlinien entsprechen. Weitere Informationen finden Sie unter Self-Service-Suche nach Richtlinien.

So greifen Sie auf die Selbstbedienungssuche zu

Mit den folgenden Optionen können Sie auf die Self-Service-Suche zugreifen:

  • Obere Leiste: Klicken Sie in der oberen Leiste auf Suchen, um alle Benutzerereignisse für die ausgewählte Datenquelle anzuzeigen.

  • Risikozeitleiste auf einer Benutzerprofilseite: Klicken Sie auf Ereignissuche, um die Ereignisse für den jeweiligen Benutzer anzuzeigen.

Self-Service-Suche aus der oberen Leiste

Verwenden Sie diese Option, um von einer beliebigen Stelle in der Benutzeroberfläche aus zur Self-Service-Suchseite zu gelangen.

  1. Klicken Sie auf Suchen, um die Self-Service-Seite anzuzeigen.

    Suche in der oberen Leiste

  2. Wählen Sie die Datenquelle und den Zeitraum aus, um die entsprechenden Ereignisse anzuzeigen.

    Suchseite in der oberen Leiste

Self-Service-Suche aus der Risikozeitleiste des Benutzers

Verwenden Sie diese Option, wenn Sie die Benutzerereignisse anzeigen möchten, die mit einem Risikoindikator verknüpft sind.

Wenn Sie einen Risikoindikator aus der Zeitleiste eines Benutzers auswählen, wird im rechten Bereich der Risikoindikatorinformationen angezeigt. Klicken Sie auf Ereignissuche, um die Ereignisse zu untersuchen, die dem Benutzer und der Datenquelle zugeordnet sind (für die der Risikoindikator ausgelöst wird) auf der Self-Service-Suchseite.

Risiko-Timeline-Suche

Weitere Informationen zum Zeitplan für das Benutzerrisiko finden Sie unter Risikozeitleiste.

So verwenden Sie die Self-Service-Suche

Verwenden Sie die folgenden Funktionen auf der Self-Service-Suchseite:

Verwenden von Facetten zum Filtern von Ereignissen

Facetten sind die Zusammenfassung von Datenpunkten, die ein Ereignis darstellen. Facetten variieren je nach Datenquelle. Die Facetten für die Secure Private Access-Datenquelle sind beispielsweise Reputation, Aktionen, Standort und Kategoriegruppe. Während die Facetten für Apps und Desktops Ereignistyp, Domäne und Plattform sind.

Wählen Sie die Facetten aus, um Ihre Suchergebnisse zu filtern. Die ausgewählten Facetten werden als Chips angezeigt.

Weitere Informationen zu den Facetten, die jeder Datenquelle entsprechen, finden Sie im Self-Service-Suchartikel für die Datenquelle, die weiter oben in diesem Artikel erwähnt wird.

Verwenden Sie die Suchabfrage im Suchfeld, um Ereignisse zu filtern

Wenn Sie den Cursor in das Suchfeld setzen, zeigt das Suchfeld eine Liste von Dimensionen an, die auf den Benutzerereignissen basieren. Diese Dimensionen variieren je nach Datenquelle. Verwenden Sie die Dimensionen und die gültigen Operatoren, um Ihre Suchkriterien zu definieren und nach den erforderlichen Ereignissen zu suchen.

Bei der Self-Service-Suche nach Apps und Desktops erhalten Sie beispielsweise die folgenden Werte für die Dimension Browser. Verwenden Sie die Dimension, um Ihre Abfrage einzugeben, wählen Sie den Zeitraum aus, und klicken Sie dann auf Suchen.

Suchanfrage

Wenn Sie bestimmte Dimensionen wie Event-Type und Clipboard-Operation zusammen mit einem gültigen Operator auswählen, werden die Werte der Dimension automatisch angezeigt. Sie können einen Wert aus den vorgeschlagenen Optionen auswählen oder je nach Ihren Anforderungen einen neuen Wert eingeben.

Wert der Abmessungen

Unterstützte Operatoren bei Suchanfragen

Verwenden Sie die folgenden Operatoren in Ihren Suchanfragen, um Ihre Suchergebnisse zu verfeinern.

Betreiber Beschreibung Beispiel Ausgabe
Weisen Sie einer Suchdimension einen Wert zu. Benutzername: John Zeigt Ereignisse für den Benutzer John an.
= Weisen Sie einer Suchdimension einen Wert zu. Benutzername = John Zeigt Ereignisse für den Benutzer John an.
~ Suchen Sie Ereignisse mit ähnlichen Werten. Benutzername ~ test Zeigt Ereignisse mit ähnlichen Benutzernamen an.
"" Schließen Sie Werte getrennt durch Leerzeichen ein. Benutzername = “John Smith” Zeigt Ereignisse für den Benutzer John Smith an.
< > Suchen Sie nach einem relationalen Wert. Datenvolumen > 100 Zeigt Ereignisse an, bei denen das Datenvolumen größer als 100 GB ist.
AND Suchereignisse, bei denen die angegebenen Bedingungen zutreffen. Benutzername: John AND Datenvolumen > 100 Zeigt Ereignisse von Benutzer John an, bei denen das Datenvolumen größer als 100 GB ist.
!~ Überprüft Ereignisse auf das von Ihnen angegebene übereinstimmende Muster. Dieser NOT LIKE Operator gibt die Ereignisse zurück, die das übereinstimmende Muster nirgendwo in der Ereigniszeichenfolge enthalten. Benutzername! ~ John Zeigt Ereignisse für die Benutzer an, außer John, John Smith oder solche Benutzer, die den übereinstimmenden Namen “John” enthalten.
!= Prüft Ereignisse auf die genaue Zeichenfolge, die Sie angeben. Dieser NOT EQUAL-Operator gibt die Ereignisse zurück, die die genaue Zeichenfolge nicht irgendwo in der Ereigniszeichenfolge enthalten. Country != USA Zeigt Ereignisse für Länder mit Ausnahme der USA an.
* Suchen Sie Ereignisse, die den angegebenen Strings entsprechen. Derzeit wird der Operator * nur mit den folgenden Operatoren :, = und != unterstützt. Bei den Suchergebnissen wird Groß-/Kleinschreibung beachtet Benutzername = John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    Benutzername = John Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    Benutzername = *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
    Benutzername: John* Zeigt Ereignisse für alle Benutzernamen an, die mit John beginnen.
    Benutzername: John Zeigt Ereignisse für alle Benutzernamen an, die John enthalten.
    Benutzername: *Smith Zeigt Ereignisse für alle Benutzernamen an, die mit Smith enden.
    Benutzername! = John* Zeigt Ereignisse für alle Benutzernamen an, die nicht mit John beginnen.
    Benutzername! = *Schmied Zeigt Ereignisse für alle Benutzernamen an, die nicht mit Smith enden.
IN Weisen Sie einer Suchdimension mehrere Werte zu, um die Ereignisse abzurufen, die sich auf einen oder mehrere Werte beziehen. Hinweis: Derzeit können Sie diesen Operator mit den folgenden Dimensionen von Apps und Desktops- Device ID, DomainEvent-Type, und verwenden User-Name. Dieser Operator ist nur für die String-Werte anwendbar. Benutzername IN (John, Kevin) Finden aller Ereignisse im Zusammenhang mit John oder Kevin.
NOT IN Weisen Sie einer Suchdimension mehrere Werte zu und suchen Sie die Ereignisse, die die angegebenen Werte nicht enthalten. Hinweis: Derzeit können Sie diesen Operator mit den folgenden Dimensionen von Apps und Desktops- Device ID, DomainEvent-Type, und verwenden User-Name. Dieser Operator ist nur für die String-Werte anwendbar. Benutzername NICHT IN (John, Kevin) Finde die Events für alle Benutzer außer John und Kevin.
IS EMPTY Sucht nach Nullwert oder leerem Wert für eine Dimension. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-NameBrowser, und Country. Es funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-SizeDownload-File-Size, und Client-IP. Land IST LEER Finden Sie Ereignisse, bei denen der Ländername nicht verfügbar oder leer ist (nicht angegeben).
IS NOT EMPTY Überprüft, ob kein Nullwert oder ein bestimmter Wert für eine Dimension vorhanden ist. Dieser Operator funktioniert nur für Dimensionen vom Typ Zeichenfolge wie App-NameBrowser, und Country. Es funktioniert nicht für Dimensionen vom Typ Nicht-Zeichenfolge (Zahl) wie Upload-File-SizeDownload-File-Size, und Client-IP. Land IST NICHT LEER Finden von Ereignissen, bei denen der Ländername verfügbar oder angegeben ist.
OR Sucht nach Werten, bei denen eine oder beide Bedingungen zutreffen. (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” Zeigt Session.Logon-Ereignisse für alle Benutzernamen an, die mit John beginnen oder mit Smith enden.

Hinweis

Verwenden Sie für den Operator NOT EQUAL beim Eingeben der Werte für die Dimensionen in Ihrer Abfrage die genauen Werte, die auf der Self-Service-Suchseite für eine Datenquelle verfügbar sind. Bei den Dimensionswerten wird die Groß-/Kleinschreibung

Weitere Informationen zum Angeben Ihrer Suchanfrage für die Datenquelle finden Sie im Self-Service-Suchartikel für die oben in diesem Artikel erwähnte Datenquelle.

Wählen Sie die Zeit, um das Ereignis anzuzeigen

Wählen Sie eine voreingestellte Zeit aus oder geben Sie einen benutzerdefinierten Zeitraum ein und klicken Sie auf Suchen, um die Ereignisse anzuzeigen.

Auswahl der Uhrzeit

Zeigen Sie die Details der Zeitleiste an

Die Zeitleiste bietet eine grafische Darstellung von Benutzerereignissen für den ausgewählten Zeitraum. Bewegen Sie die Auswahlbalken, um den Zeitraum auszuwählen und die Ereignisse anzuzeigen, die dem ausgewählten Zeitraum entsprechen.

Die Abbildung zeigt Timeline-Details für Zugriffsdaten.

Einzelheiten zur Zeitleiste

Ereignisse anzeigen

Sie können die detaillierten Informationen zum Benutzerereignis anzeigen. Klicken Sie in der Tabelle DATEN auf den Pfeil für jede Spalte, um die Details des Benutzerereignisses anzuzeigen.

Die Abbildung zeigt die Details zu den Zugriffsdaten des Benutzers.

Events

Spalten hinzufügen oder entfernen

Sie können der Ereignistabelle entweder Spalten hinzufügen oder daraus entfernen, um die entsprechenden Datenpunkte anzuzeigen oder auszublenden. Führen Sie folgende Schritte aus:

  1. Klicken Sie auf Spalten hinzufügen oder entfernen.

    Ereignisse aktualisieren

  2. Markieren oder heben Sie die Auswahl der Datenelemente in der Liste auf und klicken Sie dann auf Aktualisieren.

    Update-Spalten

Wenn Sie einen Datenpunkt aus der Liste abwählen, wird die entsprechende Spalte aus der Ereignistabelle entfernt. Sie können diesen Datenpunkt jedoch anzeigen, indem Sie die Ereigniszeile für einen Benutzer erweitern. Wenn Sie beispielsweise den TIME-Datenpunkt aus der Liste abwählen, wird die Spalte TIME aus der Ereignistabelle entfernt. Um den Zeitdatensatz anzuzeigen, erweitern Sie die Ereigniszeile für einen Benutzer.

Versteckte Eigenschaften

Exportieren Sie die Ereignisse in eine CSV-Datei

Exportieren Sie die Suchergebnisse in eine CSV-Datei und speichern Sie sie als Referenz. Klicken Sie auf In CSV-Format exportieren, um die Ereignisse zu exportieren und die generierte CSV-Datei herunterzuladen. Mit der Funktion In CSV-Format exportieren können Sie 100.000 Zeilen exportieren.

CSV-Export

Visuelle Zusammenfassung exportieren

Sie können den visuellen Zusammenfassungsbericht Ihrer Suchanfrage herunterladen und eine Kopie mit anderen Benutzern, Administratoren oder Ihrem Führungsteam teilen.

Klicken Sie auf Visual Summary exportieren, um den visuellen Zusammenfassungsbericht als PDF herunterzuladen. Der Bericht enthält die folgenden Informationen:

  • Die Suchanfrage, die Sie für die Ereignisse für den ausgewählten Zeitraum angegeben haben.

  • Die Facetten (Filter), die Sie für den ausgewählten Zeitraum auf die Ereignisse angewendet haben.

  • Die visuelle Zusammenfassung wie die Zeitleistendiagramme, Balkendiagramme oder Diagramme der Suchereignisse für den ausgewählten Zeitraum.

Für eine Datenquelle können Sie den visuellen Zusammenfassungsbericht nur herunterladen, wenn die Daten in visuellen Formaten wie Balkendiagrammen und Zeitleistendetails angezeigt werden. Andernfalls ist diese Option nicht verfügbar. Sie können beispielsweise den visuellen zusammenfassenden Bericht der Datenquellen wie Apps und Desktops, Sessions herunterladen, in dem Sie Daten als Zeitachsendetails und Balkendiagramme sehen. Für Datenquellen wie Benutzer und Maschinen sehen Sie Daten nur im Tabellenformat. Daher können Sie keinen visuellen Zusammenfassungsbericht herunterladen.

Visuelle Zusammenfassung exportieren

Mehrspaltige Sortierung

Die Sortierung hilft bei der Organisation Ihrer Daten und bietet eine bessere Sichtbarkeit. Auf der Self-Service-Suchseite können Sie die Benutzerereignisse nach einer oder mehreren Spalten sortieren. Die Spalten repräsentieren die Werte verschiedener Datenelemente wie Benutzername, Datum und Uhrzeit und URL. Diese Datenelemente variieren basierend auf den ausgewählten Datenquellen.

Gehen Sie wie folgt vor, um eine mehrspaltige Sortierung durchzuführen:

  1. Klicken Sie auf Sortieren nach.

    Sort-by

  2. Wählen Sie eine Spalte aus der Liste Sortieren nach aus.

  3. Wählen Sie die Sortierreihenfolge - aufsteigend (Pfeil nach oben) oder absteigend (Pfeil nach unten), um die Ereignisse in der Spalte zu sortieren.

  4. Klicken Sie auf + Spalten hinzufügen.

  5. Wählen Sie eine weitere Spalte aus der Liste Dann vorbei aus.

  6. Wählen Sie die Sortierreihenfolge aus - aufsteigend (Pfeil nach oben) oder absteigend (Abwärtsfehler), um die Ereignisse in der Spalte zu sortieren.

    Hinweis

    Sie können bis zu sechs Spalten hinzufügen, um die Sortierung durchzuführen.

  7. Klicken Sie auf Anwenden.

  8. Wenn Sie die vorherigen Einstellungen nicht anwenden möchten, klicken Sie auf Abbrechen. Um die Werte der ausgewählten Spalten zu entfernen, klicken Sie auf Alle löschen.

Das folgende Beispiel zeigt eine mehrspaltige Sortierung der Secure Private Access-Ereignisse. Die Ereignisse werden nach Zeit (in der neuesten bis ältesten Reihenfolge) und dann nach URL (in alphabetischer Reihenfolge) sortiert.

Mehrspaltige Sortierung

Alternativ können Sie mit der Umschalttaste eine mehrspaltige Sortierung durchführen. Drücken Sie die Umschalttaste und klicken Sie auf die Spaltenüberschriften, um die Benutzerereignisse zu sortieren.

So speichern Sie die Self-Service-Suche

Als Administrator können Sie eine Self-Service-Abfrage speichern. Diese Funktion spart Zeit und Mühe beim Umschreiben der Abfrage, die Sie häufig für die Analyse oder Fehlerbehebung verwenden. Die folgenden Optionen werden mit der Abfrage gespeichert:

  • Angewandte Suchfilter
  • Ausgewählte Datenquelle und Dauer

Gehen Sie wie folgt vor, um eine Selbstbedienungsabfrage zu speichern:

  1. Wählen Sie die erforderliche Datenquelle und Dauer aus.

  2. Geben Sie eine Abfrage in die Suchleiste ein.

  3. Wenden Sie die erforderlichen Filter an.

  4. Klicken Sie auf Suche speichern.

  5. Geben Sie den Namen an, um die benutzerdefinierte Abfrage zu speichern.

    Hinweis Stellen Sie

    sicher, dass der Abfragename eindeutig ist. Andernfalls wird die Abfrage nicht gespeichert.

  6. Aktivieren Sie die Schaltfläche E-Mail-Bericht planen, wenn Sie regelmäßig eine Kopie des Suchanfrageberichts an sich und andere Benutzer senden möchten. Weitere Informationen finden Sie unter Planen einer E-Mail für eine Suchanfrage.

  7. Klicken Sie auf Speichern.

So zeigen Sie die gespeicherten Suchanfragenan:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Klicken Sie auf den Namen der Suchanfrage.

So entfernen Sie eine gespeicherte Suche:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Wählen Sie die Suchabfrage aus, die Sie gespeichert haben.

  3. Klicke auf Gespeicherte Suche entfernen.

Gespeicherte Suche entfernen

So ändern Sie eine gespeicherte Suche:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Klicken Sie auf den Namen der Suchabfrage, die Sie gespeichert haben.

  3. Ändern Sie die Suchanfrage oder die Facettenauswahl basierend auf Ihren Anforderungen.

  4. Klicken Sie auf Suche aktualisieren > Speichern, um zu aktualisieren, und speichern Sie die geänderte Suche unter demselben Suchanfragenamen.

  5. Wenn Sie die geänderte Suche unter einem neuen Namen speichern möchten, klicken Sie auf den Abwärtspfeil und dann auf Als neue Suche speichern > Speichern unter.

Wenn Sie die Suche durch einen neuen Namen ersetzen, wird die Suche als neuer Eintrag gespeichert. Wenn Sie den vorhandenen Suchnamen beim Ersetzen beibehalten, setzen die geänderten Suchdaten die vorhandenen Suchdaten außer Kraft.

Hinweis

  • Nur ein Abfrage-Besitzer kann seine gespeicherten Suchanfragen ändern oder entfernen.
  • Sie können die gespeicherte Adresse des Suchlinks kopieren, um sie mit einem anderen Benutzer zu teilen.

Planen Sie eine E-Mail für eine Suchanfrage

Sie können in regelmäßigen Abständen eine Kopie des Suchanfrageberichts an sich und andere Benutzer senden, indem Sie einen Zeitplan für die E-Mail-Zustellung einrichten.

Diese Option ist nur verfügbar, wenn Ihr Suchanfragebericht Daten in visuellen Formaten wie Balkendiagrammen und Zeitachsendetails enthält. Andernfalls können Sie keine E-Mail-Zustellung planen. Sie können beispielsweise eine E-Mail für Datenquellen wie Apps und Desktops, Sessions planen, in der Sie Daten als Zeitachsendetails und Balkendiagramme sehen. Für Datenquellen wie Benutzer und Maschinen sehen Sie Daten nur im Tabellenformat. Daher können Sie keine E-Mail planen.

Planen Sie eine E-Mail beim Speichern einer Suchanfrage

Richten Sie beim Speichern einer Suchanfrage einen Zeitplan für die E-Mail-Zustellung wie folgt ein:

  1. Aktivieren Sie im Dialogfeld Suche speichern die Schaltfläche E-Mail-Bericht planen .

    E-Mail planen

  2. Geben Sie die E-Mail-Adressen der Empfänger ein oder fügen Sie sie ein.

    Hinweis

    E-Mail-Gruppen werden nicht unterstützt.

  3. Legen Sie Datum und Uhrzeit für die E-Mail-Zustellung fest.

  4. Wählen Sie die Lieferfrequenz aus - täglich, wöchentlich oder monatlich.

  5. Klicken Sie auf Speichern.

Planen Sie eine E-Mail für eine bereits gespeicherte Suchanfrage

Wenn Sie einen E-Mail-Lieferplan für eine Suchanfrage einrichten möchten, die Sie zuvor gespeichert haben, gehen Sie wie folgt vor:

  1. Klicken Sie auf Gespeicherte Suchen

  2. Gehen Sie zu der Suchanfrage, die Sie erstellt haben. Klicken Sie auf das Symbol Diese Abfrage per E-Mail senden .

    Hinweis

    Nur ein Abfragebesitzer kann die E-Mail-Zustellung seiner gespeicherten Suchanfrage planen.

    E-Mail-Anfrage

  3. Aktivieren Sie die Schaltfläche E-Mail-Bericht planen .

  4. Geben Sie die E-Mail-Adressen der Empfänger ein oder fügen Sie sie ein.

    Hinweis

    E-Mail-Gruppen werden nicht unterstützt.

  5. Legen Sie Datum und Uhrzeit für die E-Mail-Zustellung fest.

  6. Wählen Sie die Lieferfrequenz aus - täglich, wöchentlich oder monatlich.

  7. Klicken Sie auf Speichern.

Stoppen Sie einen E-Mail-Lieferplan für eine Suchanfrage

  1. Klicken Sie auf Gespeicherte Suchen

  2. Gehen Sie zu der Suchanfrage, die Sie erstellt haben. Klicken Sie auf das Symbol E-Mail-Lieferplan anzeigen .

    Hinweis

    Nur ein Abfragebesitzer kann den E-Mail-Zeitplan seiner gespeicherten Suchanfrage stoppen.

    E-Mail-Zeitplan beenden

  3. Deaktivieren Sie die Schaltfläche E-Mail-Bericht planen .

  4. Klicken Sie auf Speichern.

Inhalt per E-Mail

Die Empfänger erhalten von “Citrix Cloud - Benachrichtigungen donotreplynotifications@citrix.com” eine E-Mail über den Suchanfragebericht. Der Bericht ist als PDF-Dokument beigefügt. Die E-Mail wird in einem regelmäßigen Intervall gesendet, das von Ihnen in den Einstellungen für E-Mail-Bericht planen definiert wurde.

Der Suchanfragebericht enthält die folgenden Informationen:

  • Die Suchanfrage, die Sie für die Ereignisse für den ausgewählten Zeitraum angegeben haben.

  • Die Facetten (Filter), die Sie auf die Ereignisse angewendet haben.

  • Die visuelle Zusammenfassung wie die Zeitleistendiagramme, Balkendiagramme oder Graphen der Suchereignisse.

Berechtigungen für Administratoren mit Vollzugriff und Nur-Lese-Zugriff

  • Wenn Sie ein Citrix Cloud-Administrator mit vollem Zugriff sind, können Sie alle auf der Suchseite verfügbaren Funktionen nutzen.

  • Wenn Sie ein Citrix Cloud-Administrator mit schreibgeschütztem Zugriff sind, können Sie nur die folgenden Aktivitäten auf der Suchseite ausführen:

    • Zeigen Sie die Suchergebnisse an, indem Sie eine Datenquelle und den Zeitraum auswählen.

    • Geben Sie eine Suchabfrage ein und sehen Sie sich die Suchergebnisse an.

    • Zeigen Sie die gespeicherten Suchergebnisse anderer Administratoren an.

    • Exportieren Sie die visuelle Zusammenfassung und laden Sie die Suchergebnisse als CSV-Datei herunter.

Informationen zu den Administratorrollen finden Sie unter Verwalten von Administratorrollen für Citrix Analytics.

Self-Service-Suche