Recherche en libre-service

Qu’est-ce que la recherche en libre-service ?

La fonction de recherche en libre-service vous permet de rechercher et de filtrer les événements utilisateur reçus de vos sources de données. Vous pouvez explorer les événements utilisateur sous-jacents et ses attributs. Ces événements vous aident à identifier les problèmes de données et à les résoudre. La page de recherche affiche diverses facettes (dimensions) et mesures pour une source de données. Vous pouvez définir votre requête de recherche et appliquer des filtres pour afficher les événements correspondant à vos critères définis. Par défaut, la page de recherche en libre-service affiche les événements utilisateur du dernier mois.

Actuellement, la fonction de recherche en libre-service est disponible pour les sources de données suivantes :

En outre, vous pouvez effectuer une recherche en libre-service sur les événements qui répondaient à vos stratégies définies. Pour de plus amples informations, consultez la section Recherche en libre-service pour les stratégies.

Comment accéder à la recherche en libre-service

Vous pouvez accéder à la recherche en libre-service en utilisant les options suivantes :

  • Barre supérieure : cliquez sur Rechercherdans la barre supérieure pour afficher tous les événements utilisateur pour la source de données sélectionnée.

  • Chronologie des risques sur une page de profil utilisateur : cliquez sur Recherched’événements pour afficher les événements de l’utilisateur concerné.

Recherche en libre-service à partir de la barre supérieure

Utilisez cette option pour accéder à la page de recherche en libre-service depuis n’importe quel endroit de l’interface utilisateur.

  1. Cliquez sur Rechercher pour afficher la page libre-service.

    Recherche dans la barre supérieure

  2. Sélectionnez la source de données et la période pour afficher les événements correspondants.

    Page de recherche de la barre supérieure

Recherche en libre-service à partir de la chronologie des risques de l’utilisateur

Utilisez cette option si vous souhaitez afficher les événements utilisateur associés à un indicateur de risque.

Lorsque vous sélectionnez un indicateur de risque dans la chronologie d’un utilisateur, la section Informations sur l’indicateur de risque s’affiche dans le volet droit. Cliquez sur Recherche d’événements pour explorer les événements associés à l’utilisateur et à la source de données (pour laquelle l’indicateur de risque est déclenché) sur la page de recherche en libre-service.

Recherche de chronologie des risques

Pour plus d’informations sur la chronologie des risques utilisateur, reportez-vous à la section Chronologie des risques.

Comment utiliser la recherche en libre-service

Utilisez les fonctionnalités suivantes sur la page de recherche en libre-service :

Page de présentation de la recherche

Utiliser les facettes pour filtrer les événements

Les facettes sont le résumé des points de données qui constituent un événement. Les facettes varient en fonction de la source de données. Par exemple, les facettes de la source de données Contrôle d’accès sont la réputation, les actions, l’emplacement et le groupe de catégories. Attendu que les facettes pour les Virtual Apps et les postes de travail sont le type d’événement, le domaine et la plate-forme.

Sélectionnez les facettes pour filtrer les résultats de votre recherche. La page de recherche en libre-service affiche les facettes sélectionnées sous forme de jetons. Pour plus d’informations sur les facettes correspondant à chaque source de données, consultez l’article de recherche en libre-service pour la source de données mentionnée plus haut dans cet article.

Utiliser la requête de recherche dans la zone de recherche pour filtrer les événements

Lorsque vous placez votre curseur dans la zone de recherche, la zone de recherche affiche une liste de dimensions en fonction des événements utilisateur. Ces dimensions varient en fonction de la source de données. Utilisez les dimensions et les opérateursvalides pour définir vos critères de recherche et rechercher les événements requis.

Par exemple, dans la recherche d’accès en libre-service, vous obtenez les dimensions suivantes pour les événements d’accès. Utilisez les dimensions pour taper votre requête, sélectionnez la période, puis cliquez sur Rechercher.

Recherche de recherche

Opérateurs supportés dans la requête de recherche

Utilisez les opérateurs suivants dans vos requêtes de recherche pour affiner les résultats de votre recherche.

Opérateur Description Exemple Résultat
: Attribuer une valeur à la requête de recherche Nom d’utilisateur : John Affiche les événements pour l’utilisateur John
= Attribuer une valeur à la requête de recherche Nom d’utilisateur = John Affiche les événements pour l’utilisateur John
~ Rechercher des valeurs similaires Nom d’utilisateur ~ test Affiche les événements ayant des noms d’utilisateur similaires
”” Enfermer les valeurs séparées par des espaces Nom d’utilisateur = « John Smith » Affiche les événements de l’utilisateur John Smith
<, > Recherche de valeur relationnelle Volume de données > 100 Affiche les événements où le volume de données est supérieur à 100 Go
ET Valeurs de recherche lorsque les deux conditions sont vraies Nom d’utilisateur : Volume de données AND John > 100 Affiche les événements de l’utilisateur John où le volume de données est supérieur à 100 Go
* Valeurs de recherche correspondant au caractère zéro ou plusieurs fois Nom d’utilisateur = John* Affiche les événements pour tous les noms d’utilisateur commençant par John
    Nom d’utilisateur = *John* Affiche les événements pour tous les noms d’utilisateur contenant John
    Nom d’utilisateur = *Smith Affiche les événements pour tous les noms d’utilisateurs se terminant par Smith
!= Valeurs de recherche où la condition n’est pas vraie Country != USA Affiche les événements pour les pays à l’exception des États-Unis

L’opérateur NOT EQUAL (!=) est valide pour les dimensions suivantes :

Source de données Dimensions
Contrôle d’accès Pays, Ville, Action, URL, Catégorie d’URL, Réputation, Navigateur, OS, Appareil
Content Collaboration Pays, ville, système d’exploitation client
Gateway Étape d’authentification, IP du client
Virtual Apps and Desktops Pays, Ville, Nom de l’application, Opération du Presse-papiers, Navigateur, Système d’exploitation

Remarque

Pour l’opérateur NOT EQUAL, lorsque vous entrez les valeurs des dimensions de votre requête, utilisez les valeurs exactes disponibles sur la page de recherche en libre-service pour une source de données. Les valeurs de dimension sont sensibles à la casse.

Pour plus d’informations sur la façon de spécifier votre requête de recherche pour la source de données, consultez l’article de recherche en libre-service pour la source de données mentionnée plus haut dans cet article.

Sélectionner l’heure d’affichage de l’événement

Sélectionnez une heure prédéfinie ou saisissez une plage de temps personnalisée et cliquez sur Rechercher pour afficher les événements.

Sélection de l'heure

Afficher les détails de la chronologie

La chronologie fournit une représentation graphique des événements utilisateur pour la période sélectionnée. Déplacez les barres de sélection pour choisir la plage de temps et afficher les événements correspondant à la plage de temps sélectionnée.

La figure présente les détails de la chronologie pour les données d’accès.

Détails de la chronologie

Voir l’événement

Vous pouvez afficher les informations détaillées sur l’événement utilisateur. Dans la table DATA, cliquez sur la flèche de chaque colonne pour afficher les détails de l’événement utilisateur.

La figure montre les détails sur les données d’accès de l’utilisateur.

Événements

Ajouter ou supprimer des colonnes

Vous pouvez ajouter ou supprimer des colonnes de la table d’événements pour afficher ou masquer les points de données correspondants. Procédez comme suit :

  1. Cliquez sur Ajouter ou supprimer des colonnes.

     Mise à jour des

  2. Sélectionnez ou désélectionnez les éléments de données de la liste, puis cliquez sur Mettre à jour.

    Mettre à jour les

Si vous désélectionnez un point de données de la liste, la colonne correspondante est supprimée de la table d’événements. Toutefois, vous pouvez afficher ce point de données en développant la ligne d’événement pour un utilisateur. Par exemple, lorsque vous désélectionnez le point de données TIME de la liste, la colonne TIME est supprimée de la table d’événements. Pour afficher l’enregistrement de temps, développez la ligne d’événement pour un utilisateur.

Attributs cachés

Exporter les événements dans un fichier CSV

Exportez les résultats de la recherche dans un fichier CSV et enregistrez-les pour référence. Cliquez sur Exporter au format CSV pour exporter les événements et télécharger le fichier CSV généré.

Exportation CSV

Tri multi-colonnes

Le tri aide à organiser vos données et offre une meilleure visibilité. Sur la page de recherche en libre-service, vous pouvez trier les événements utilisateur par une ou plusieurs colonnes. Les colonnes représentent les valeurs de divers éléments de données tels que le nom d’utilisateur, la date et l’heure et l’URL. Ces éléments de données varient en fonction des sources de données sélectionnées.

Pour effectuer un tri multi-colonnes, procédez comme suit :

  1. Cliquez sur Trier par.

    Tri-by

  2. Sélectionnez une colonne dans la liste Trier par.

  3. Sélectionnez l’ordre de tri croissant (flèche vers le haut) ou décroissant (flèche vers le bas) pour trier les événements dans la colonne.

  4. Cliquez sur + Ajouter des colonnes.

  5. Sélectionnez une autre colonne dans la liste Puis par.

  6. Sélectionnez l’ordre de tri croissant (flèche vers le haut) ou décroissant (erreur vers le bas) pour trier les événements dans la colonne.

    Remarque

    Vous pouvez ajouter jusqu’à six colonnes pour effectuer le tri.

  7. Cliquez sur Apply.

  8. Si vous ne souhaitez pas appliquer les paramètres précédents, cliquez sur Annuler. Pour supprimer les valeurs des colonnes sélectionnées, cliquez sur Effacer tout.

L’exemple suivant montre un tri multi-colonnes sur les événements Contrôle d’accès. Les événements sont triés par temps (dans l’ordre le plus récent au plus ancien) puis par URL (par ordre alphabétique).

Tri multi-colonnes

Vous pouvez également effectuer un tri multi-colonnes à l’aide de la touche Maj. Appuyez sur la touche Maj et cliquez sur les en-têtes de colonne pour trier les événements utilisateur.

Comment enregistrer la recherche en libre-service

En tant qu’administrateur, vous pouvez enregistrer une requête en libre-service. Cette fonctionnalité permet d’économiser du temps et des efforts de réécriture de la requête que vous utilisez souvent pour l’analyse ou le dépannage. Les options suivantes sont enregistrées avec la requête :

  • Filtres de recherche appliqués
  • Source de données sélectionnée et durée

Effectuez les opérations suivantes pour enregistrer une requête en libre-service :

  1. Sélectionnez la source de données et la durée requises.

  2. Tapez une requête dans la barre de recherche.

  3. Appliquez les filtres requis.

  4. Cliquez sur Enregistrer la recherche.

  5. Spécifiez le nom pour enregistrer la requête personnalisée.

    Remarque

    Assurez-vous que le nom de la requête est unique. Sinon, la requête n’enregistre pas.

  6. Cliquez sur Enregistrer.

Pour afficher les recherches enregistrées :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Sélectionnez la requête de recherche.

Dans cet exemple, la requête en libre-service est User-Name = testuser. De plus, les filtres appliqués tels que Type d’événement, Domaineet Plateforme sont enregistrés avec la requête.

Enregistrer la recherche en libre-service

Pour supprimer une recherche enregistrée :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Sélectionnez la requête de recherche que vous avez enregistrée.

  3. Cliquez sur Supprimer la recherche enregistrée.

Supprimer la recherche enregistrée

Pour modifier une recherche enregistrée :

  1. Cliquez sur Afficher les recherches enregistrées.

  2. Cliquez sur le nom de la requête de recherche que vous avez enregistrée.

  3. Modifiez la requête de recherche ou la sélection des facettes en fonction de vos besoins.

  4. Cliquez sur Enregistrer la recherche > Remplacer.

Si vous remplacez la recherche par un nouveau nom, la recherche est enregistrée en tant que nouvelle entrée. Si vous conservez le nom de recherche existant lors du remplacement, les données de recherche modifiées remplacent les données de recherche existantes.

Remarque

  • Seul un propriétaire de requête peut modifier ou supprimer ses recherches enregistrées.
  • Vous pouvez copier l’adresse du lien de recherche enregistrée pour la partager avec un autre utilisateur.
Recherche en libre-service