Citrix Analytics para seguridad

Búsqueda de autoservicio

¿Qué es la búsqueda de autoservicio?

La función de búsqueda de autoservicio le permite buscar y filtrar eventos de usuario recibidos de sus orígenes de datos. Puede explorar los eventos de usuario subyacentes y sus atributos. Estos eventos le ayudan a identificar los problemas de datos y solucionarlos. La página de búsqueda muestra varias facetas (dimensiones) y métricas para un origen de datos. Puede definir la consulta de búsqueda y aplicar filtros para ver los eventos que coinciden con los criterios definidos. De forma predeterminada, la página de búsqueda de autoservicio muestra los eventos de usuario del último mes.

Actualmente, la función de búsqueda de autoservicio está disponible para los siguientes orígenes de datos:

Además, puede realizar búsquedas de autoservicio en los eventos que cumplen las directivas definidas. Para obtener más información, consulte Búsqueda de directivas de autoservicio.

Cómo acceder a la búsqueda de autoservicio

Puede acceder a la búsqueda de autoservicio mediante las siguientes opciones:

  • Barra superior: Haga clic en Buscaren la barra superior para ver todos los eventos de usuario del origen de datos seleccionado.

  • Línea de tiempo de riesgo en una página de perfil de usuario: Haga clic en Búsquedade eventos para ver los eventos del usuario respectivo.

Búsqueda de autoservicio desde la barra superior

Utilice esta opción para ir a la página de búsqueda de autoservicio desde cualquier lugar de la interfaz de usuario.

  1. Haga clic en Buscar para ver la página de autoservicio.

    Búsqueda en la barra superior

  2. Seleccione el origen de datos y el período de tiempo para ver los eventos correspondientes.

    Página de búsqueda de la barra superior

Búsqueda de autoservicio desde la línea de tiempo de riesgo del usuario

Utilice esta opción si quiere ver los eventos de usuario asociados a un indicador de riesgo.

Al seleccionar un indicador de riesgo de la línea de tiempo de un usuario, la sección de información del indicador de riesgo se muestra en el panel derecho. Haga clic en Búsqueda de eventos para explorar los eventos asociados al usuario y al origen de datos (para el que se activa el indicador de riesgo) en la página de búsqueda de autoservicio.

Búsqueda de plazos de riesgo

Para obtener más información sobre la línea de tiempo de riesgo del usuario, consulte Cronología de riesgos.

Cómo utilizar la búsqueda de autoservicio

Utilice las siguientes funciones en la página de búsqueda de autoservicio:

Usar facetas para filtrar eventos

Las facetas son el resumen de los puntos de datos que constituyen un evento. Las facetas varían según la fuente de datos. Por ejemplo, las facetas del origen de datos de Control de acceso son reputación, acciones, ubicación y grupo de categorías. Mientras que las facetas de aplicaciones y escritorios virtuales son tipo de evento, dominio y plataforma.

Seleccione las facetas para filtrar los resultados de la búsqueda. Las facetas seleccionadas se muestran como fichas.

Para obtener más información sobre las facetas correspondientes a cada origen de datos, consulte el artículo de búsqueda de autoservicio para el origen de datos mencionado anteriormente en este artículo.

Usar la consulta de búsqueda en el cuadro de búsqueda para filtrar eventos

Cuando coloca el cursor en el cuadro de búsqueda, el cuadro de búsqueda muestra una lista de dimensiones basada en los eventos del usuario. Estas dimensiones varían según el origen de datos. Utilice las dimensiones y el válido operadores para definir los criterios de búsqueda y buscar los eventos necesarios.

Por ejemplo, en la búsqueda de autoservicio de acceso, obtendrá las siguientes dimensiones para los eventos de acceso. Utilice las dimensiones para escribir la consulta, seleccione el período de tiempo y, a continuación, haga clic en Buscar.

Consulta de búsqueda

Operadores admitidos en la consulta de búsqueda

Utilice los siguientes operadores en las consultas de búsqueda para refinar los resultados de búsqueda.

Operador Descripción Ejemplo Resultado
: Asigne un valor a una dimensión de búsqueda. Nombre de usuario: John Muestra los eventos del usuario John.
= Asigne un valor a una dimensión de búsqueda. Nombre de usuario = John Muestra los eventos del usuario John.
~ Busca eventos con valores similares. Nombre de usuario ~ prueba Muestra los eventos que tienen nombres de usuario similares.
”” Acerque valores separados por espacios. Nombre de usuario = “John Smith” Muestra los eventos del usuario John Smith.
<, > Búsqueda de valor relacional. Volumen de datos > 100 Muestra eventos en los que el volumen de datos es superior a 100 GB.
Y Buscar eventos en los que se cumplen las condiciones especificadas. Nombre de usuario: John AND Data Volume > 100 Muestra los eventos del usuario John en los que el volumen de datos es superior a 100 GB.
!~ Comprueba los eventos para el patrón de coincidencia que especifique. Este operador NOT LIKE devuelve los eventos que no contienen el patrón coincidente en ninguna parte de la cadena de eventos. Nombre de usuario ~ John Muestra eventos para los usuarios excepto John, John Smith o cualquiera de los usuarios que contengan el nombre coincidente «John».
!= Comprueba los eventos para buscar la cadena exacta que especifique. Este operador NOT EQUAL devuelve los eventos que no contienen la cadena exacta en ninguna parte de la cadena de eventos. ¡País! = ESTADOS UNIDOS Muestra eventos de los países excepto EE. UU.
* Buscar eventos que coincidan con las cadenas especificadas. Actualmente, el operador * solo se admite con el operador = y el operador! = operador. Los resultados de búsqueda distinguen mayúsculas de minúsculas. Nombre de usuario = John* Muestra los eventos de todos los nombres de usuario que empiezan por John.
    Nombre de usuario = *John* Muestra los eventos de todos los nombres de usuario que contienen John.
    Nombre de usuario = *Smith Muestra los eventos de todos los nombres de usuario que terminan en Smith.
    Nombre de usuario = John* Muestra los eventos de todos los nombres de usuario que no empiezan por John.
    Nombre de usuario = *Smith Muestra los eventos de todos los nombres de usuario que no terminan en Smith.
IN Asigne varios valores a una dimensión de búsqueda para obtener los eventos relacionados con uno o más valores. Nota: Actualmente, puede utilizar este operador con las siguientes dimensiones de Citrix Virtual Apps and Desktops- Device ID, Domain, Event-Type, y User-Name. Este operador solo se aplica a los valores de cadena. Nombre de usuario IN (John, Kevin) Encuentra todos los eventos relacionados con John o Kevin.
NO EN Asigne varios valores a una dimensión de búsqueda y busque los eventos que no contienen los valores especificados. Nota: Actualmente, puede utilizar este operador con las siguientes dimensiones de Citrix Virtual Apps and Desktops- Device ID, Domain, Event-Type, y User-Name. Este operador solo se aplica a los valores de cadena. Nombre de usuario NOT IN (John, Kevin) Encuentra los eventos para todos los usuarios excepto John y Kevin.

Nota

Para el operador NOT EQUAL, al introducir los valores de las dimensiones de la consulta, utilice los valores exactos disponibles en la página de búsqueda de autoservicio para un origen de datos. Los valores de dimensión distinguen mayúsculas y minúsculas.

Para obtener más información acerca de cómo especificar la consulta de búsqueda para el origen de datos, consulte el artículo de búsqueda de autoservicio para el origen de datos mencionado anteriormente en este artículo.

Seleccione la hora para ver el evento

Seleccione una hora preestablecida o introduzca un intervalo de tiempo personalizado y haga clic en Buscar para ver los eventos.

Selección de tiempo

Ver los detalles de la escala de tiempo

La línea de tiempo proporciona una representación gráfica de los eventos de usuario para el período de tiempo seleccionado. Mueva las barras selectoras para elegir el intervalo de tiempo y ver los eventos correspondientes al intervalo de tiempo seleccionado.

La ilustración muestra los detalles de la escala de tiempo de los datos de acceso.

Detalles de la cronología

Ver el evento

Puede ver la información detallada sobre el evento de usuario. En la tabla DATOS, haga clic en la flecha de cada columna para ver los detalles del evento de usuario.

La ilustración muestra los detalles sobre los datos de acceso del usuario.

Eventos

Agregar o quitar columnas

Puede agregar o quitar columnas de la tabla de eventos para mostrar u ocultar los puntos de datos correspondientes. Haga lo siguiente:

  1. Haga clic en Agregar o quitar columnas.

     Actualizar eventos

  2. Seleccione o anule la selección de los elementos de datos de la lista y, a continuación, haga clic en Actualizar.

    Actualizar columnas

Si anula la selección de un punto de datos de la lista, la columna correspondiente se quitará de la tabla de eventos. Sin embargo, puede ver ese punto de datos expandiendo la fila de eventos de un usuario. Por ejemplo, al anular la selección del punto de datos TIME de la lista, la columna TIME se quita de la tabla de eventos. Para ver el registro de tiempo, expanda la fila de eventos de un usuario.

Atributos ocultos

Exportar los eventos a un archivo CSV

Exporte los resultados de búsqueda a un archivo CSV y guárdelo para su referencia. Haga clic en Exportar a formato CSV para exportar los eventos y descargar el archivo CSV generado.

Exportación CSV

Exportar resumen visual

Puede descargar el informe resumido visual de la consulta de búsqueda y compartir una copia con otros usuarios, administradores o equipo ejecutivo.

Haga clic en Exportar resumen visual para descargar el informe de resumen visual en formato PDF. El informe contiene la siguiente información:

  • Consulta de búsqueda que ha especificado para los eventos del período de tiempo seleccionado.

  • Las facetas (filtros) que ha aplicado a los eventos durante el período de tiempo seleccionado.

  • Resumen visual, como los gráficos de cronología, los gráficos de barras o los gráficos de los eventos de búsqueda del período de tiempo seleccionado.

Para un origen de datos, puede descargar el informe de resumen visual solo si los datos se muestran en formatos visuales, como gráficos de barras, detalles de la línea de tiempo. De lo contrario, esta opción no está disponible. Por ejemplo, puede descargar el informe de resumen visual de las fuentes de datos, como Virtual Apps and Desktops, Sessions, donde ve los datos como detalles de la línea de tiempo y gráficos de barras. Para los orígenes de datos, como Usuarios y Máquinas, solo se ven los datos en formato tabular. Por lo tanto, no puede descargar ningún informe resumido visual.

Exportar resumen visual

Clasificación de varias columnas

La ordenación ayuda a organizar los datos y proporciona una mejor visibilidad. En la página de búsqueda de autoservicio, puede ordenar los eventos de usuario por una o más columnas. Las columnas representan los valores de varios elementos de datos como el nombre de usuario, la fecha y la hora y la dirección URL. Estos elementos de datos varían en función de los orígenes de datos seleccionados.

Para realizar una ordenación de varias columnas, haga lo siguiente:

  1. Haga clic en Ordenar por.

    Ordenar por

  2. Seleccione una columna de la lista Ordenar por.

  3. Seleccione el orden de ordenamiento: ascendente (flecha arriba) o descendente (flecha abajo) para ordenar los eventos en la columna.

  4. Haga clic en + Agregar columnas.

  5. Seleccione otra columna de la lista Después por.

  6. Seleccione el orden de ordenamiento: ascendente (flecha arriba) o descendente (error hacia abajo) para ordenar los eventos en la columna.

    Nota

    Puede agregar hasta seis columnas para realizar la ordenación.

  7. Haga clic en Aplicar.

  8. Si no desea aplicar la configuración anterior, haga clic en Cancelar. Para eliminar los valores de las columnas seleccionadas, haga clic en Borrar todo.

En el ejemplo siguiente se muestra una ordenación de varias columnas en los eventos de Control de acceso. Los eventos se ordenan por tiempo (en orden más reciente al más antiguo) y luego por URL (en orden alfabético).

Clasificación de varias columnas

Alternativamente, puede realizar la ordenación de varias columnas mediante la tecla Mayús. Presione la tecla Mayús y haga clic en los encabezados de columna para ordenar los eventos de usuario.

Cómo guardar la búsqueda de autoservicio

Como administrador, puede guardar una consulta de autoservicio. Esta función ahorra el tiempo y el esfuerzo de volver a escribir la consulta que se utiliza a menudo para el análisis o la solución de problemas. Las siguientes opciones se guardan con la consulta:

  • Filtros de búsqueda aplicados
  • Origen de datos y duración seleccionados

Haga lo siguiente para guardar una consulta de autoservicio:

  1. Seleccione el origen de datos y la duración necesarios.

  2. Escriba una consulta en la barra de búsqueda.

  3. Aplique los filtros necesarios.

  4. Haga clic en Guardar búsqueda.

  5. Especifique el nombre para guardar la consulta personalizada.

    Nota

    Asegúrese de que el nombre de la consulta es único. De lo contrario, la consulta no se guarda.

  6. Active el botón Programar informe de correo electrónico si desea enviar una copia del informe de consulta de búsqueda a usted y a otros usuarios a intervalos regulares. Para obtener más información, consulte Programar un correo electrónico para una consulta de búsqueda.

  7. Haga clic en Guardar.

Para ver las búsquedas guardadas:

  1. Pulse Ver búsquedas guardadas.

  2. Haga clic en el nombre de la consulta de búsqueda.

Para eliminar una búsqueda guardada:

  1. Pulse Ver búsquedas guardadas.

  2. Seleccione la consulta de búsqueda que ha guardado.

  3. Haga clic en Eliminar búsqueda guardada.

Eliminar búsqueda guardada

Para modificar una búsqueda guardada:

  1. Pulse Ver búsquedas guardadas.

  2. Haga clic en el nombre de la consulta de búsqueda que ha guardado.

  3. Modifique la consulta de búsqueda o la selección de facetas en función de su requisito.

  4. Haga clic en Actualizar búsqueda > Guardar para actualizar y guardar la búsqueda modificada con el mismo nombre de consulta de búsqueda.

  5. Si desea guardar la búsqueda modificada con un nuevo nombre, haga clic en la flecha hacia abajo y haga clic en Guardar como nueva búsqueda > Guardar como.

Si reemplaza la búsqueda por un nuevo nombre, la búsqueda se guardará como una nueva entrada. Si conserva el nombre de búsqueda existente mientras se reemplaza, los datos de búsqueda modificados anularán los datos de búsqueda existentes.

Nota

  • Solo un propietario de consulta puede modificar o quitar sus búsquedas guardadas.
  • Puede copiar la dirección de enlace de búsqueda guardada para compartirla con otro usuario.

Programar un correo electrónico para una consulta de búsqueda

Puedes enviarte una copia del informe de consulta de búsqueda a ti mismo y a otros usuarios a intervalos regulares configurando un calendario de entrega de correo electrónico.

Esta opción solo está disponible si el informe de consulta de búsqueda contiene datos en formatos visuales, como gráficos de barras, detalles de la línea temporal. De lo contrario, no puedes programar una entrega por correo electrónico. Por ejemplo, puede programar un correo electrónico para las fuentes de datos, como Virtual Apps and Desktops, Sesiones, donde ve los datos como detalles de la línea de tiempo y gráficos de barras. Para los orígenes de datos, como Usuarios y Máquinas, solo se ven los datos en formato tabular. Por lo tanto, no puedes programar un correo electrónico.

Programar un correo electrónico mientras se guarda una consulta de búsqueda

Al guardar una consulta de búsqueda, configure un programa de entrega de correo electrónico de la siguiente manera:

  1. En el cuadro de diálogo Guardar búsqueda, active el botón Programar informe de correo electrónico .

    Programar correo electrónico

  2. Introduzca o pegue las direcciones de correo electrónico de los destinatarios.

    Nota

    No se admiten grupos de correo electrónico.

  3. Establece la fecha y la hora de la entrega del correo electrónico.

  4. Selecciona la frecuencia de entrega: diaria, semanal o mensual.

  5. Haga clic en Guardar.

Programar un correo electrónico para una consulta de búsqueda ya guardada

Si quieres configurar un calendario de entrega de correo electrónico para una consulta de búsqueda que has guardado anteriormente, haz lo siguiente:

  1. Pulse Ver búsquedas guardadas.

  2. Vaya a la consulta de búsqueda que ha creado. Haz clic en el icono Enviar esta consulta por correo electrónico .

    Nota

    Solo el propietario de una consulta puede programar la entrega por correo electrónico de su consulta de búsqueda guardada.

    Consulta de correo electrónico

  3. Activa el botón Programar informe por correo electrónico .

  4. Introduzca o pegue las direcciones de correo electrónico de los destinatarios.

    Nota

    No se admiten grupos de correo electrónico.

  5. Establece la fecha y la hora de la entrega del correo electrónico.

  6. Selecciona la frecuencia de entrega: diaria, semanal o mensual.

  7. Haga clic en Guardar.

Detener un calendario de entrega de correo electrónico para una consulta de búsqueda

  1. Pulse Ver búsquedas guardadas.

  2. Vaya a la consulta de búsqueda que ha creado. Haz clic en el icono Ver calendario de entrega por correo electrónico .

    Nota

    Solo el propietario de una consulta puede detener la programación de correo electrónico de su consulta de búsqueda guardada.

    Detener calendario de correo electrónico

  3. Desactiva el botón Programar informe de correo electrónico .

  4. Haga clic en Guardar.

Contenido de correo electrónico

Los destinatarios reciben un correo electrónico de «Citrix Cloud: Notificaciones < donotreplynotifications@citrix.com >» sobre el informe de consulta de búsqueda. El informe se adjunta como documento PDF. El correo electrónico se envía en un intervalo regular definido por usted en la configuración del informe de correo electrónico Programar .

El informe de consulta de búsqueda contiene la siguiente información:

  • Consulta de búsqueda que ha especificado para los eventos del período seleccionado.

  • Las facetas (filtros) que ha aplicado a los eventos.

  • Resumen visual, como los gráficos de cronología, los gráficos de barras o los gráficos de los eventos de búsqueda.