セルフサービス検索
セルフサービス検索とは
セルフサービス検索機能を使用すると、データソースから受信したユーザーイベントを検索およびフィルターできます。基になるユーザーイベントとその属性を探索できます。これらのイベントは、データの問題を特定し、トラブルシューティングするのに役立ちます。検索ページには、データソースのさまざまなファセット(ディメンション)とメトリックが表示されます。検索クエリを定義し、フィルターを適用して、定義した基準に一致するイベントを表示できます。デフォルトでは、セルフサービス検索ページには過去1日間のユーザーイベントが表示されます。
現在、セルフサービス検索機能は以下のデータソースで利用できます。
また、定義したポリシーに合致するイベントに対してセルフサービス検索を実行することもできます。詳細については、「ポリシーのセルフサービス検索」を参照してください。
セルフサービス検索へのアクセス方法
以下のオプションを使用して、セルフサービス検索にアクセスできます。
-
トップバー: トップバーから [検索] をクリックして、選択したデータソースのすべてのユーザーイベントを表示します。
-
ユーザープロファイルページの危険度タイムライン: [イベント検索] をクリックして、該当するユーザーのイベントを表示します。
トップバーからのセルフサービス検索
このオプションを使用して、ユーザーインターフェイスのどこからでもセルフサービス検索ページに移動できます。
-
[検索] をクリックして、セルフサービスページを表示します。
-
データソースと期間を選択して、該当するイベントを表示します。
ユーザーの危険度タイムラインからのセルフサービス検索
危険度インジケーターに関連付けられたユーザーイベントを表示する場合は、このオプションを使用します。
ユーザーのタイムラインから危険度インジケーターを選択すると、危険度インジケーター情報セクションが右ペインに表示されます。[イベント検索] をクリックして、セルフサービス検索ページでユーザーとデータソース(危険度インジケーターがトリガーされたデータソース)に関連付けられたイベントを探索します。
ユーザーの危険度タイムラインの詳細については、「危険度タイムライン」を参照してください。
セルフサービス検索の使用方法
セルフサービス検索ページで以下の機能を使用します。
-
イベントをフィルターするためのファセット。
-
クエリを入力してイベントをフィルターするための検索ボックス。
-
期間を選択するための時間セレクター。
-
イベントグラフを表示するためのタイムラインの詳細。
-
イベントを表示するためのイベントデータ。
-
検索イベントをCSVファイルとしてダウンロードするためのCSV形式でエクスポート。
-
検索クエリのビジュアルサマリーレポートをダウンロードするためのビジュアルサマリーのエクスポート。
-
複数の列でイベントをソートするための複数列ソート。
ファセットを使用したイベントのフィルター
ファセットは、イベントを構成するデータポイントの要約です。ファセットはデータソースによって異なります。たとえば、Secure Private Accessデータソースのファセットは、評判、アクション、場所、カテゴリグループです。一方、アプリとデスクトップのファセットは、イベントタイプ、ドメイン、プラットフォームです。
ファセットを選択して検索結果をフィルターします。選択したファセットはチップとして表示されます。
各データソースに対応するファセットの詳細については、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。
検索ボックスでの検索クエリを使用したイベントのフィルター
検索ボックスにカーソルを置くと、ユーザーイベントに基づいてディメンションのリストが表示されます。これらのディメンションはデータソースによって異なります。ディメンションと有効な演算子を使用して、検索基準を定義し、必要なイベントを検索します。
たとえば、アプリとデスクトップのセルフサービス検索では、ディメンション Browser に次の値が表示されます。ディメンションを使用してクエリを入力し、期間を選択してから [検索] をクリックします。
Event-Type や Clipboard-Operation などの特定のディメンションを有効な演算子とともに選択すると、ディメンションの値が自動的に表示されます。提案されたオプションから値を選択するか、要件に応じて新しい値を入力できます。
検索クエリでサポートされている演算子
検索クエリで以下の演算子を使用して、検索結果を絞り込みます。
| 演算子 | 説明 | 例 | 出力 |
|---|---|---|---|
| 検索ディメンションに値を割り当てます。 | User-Name : John |
ユーザーJohnのイベントを表示します。 | |
= |
検索ディメンションに値を割り当てます。 | User-Name = John |
ユーザーJohnのイベントを表示します。 |
~ |
類似の値を持つイベントを検索します。 | User-Name ~ test |
類似のユーザー名を持つイベントを表示します。 |
"" |
スペースで区切られた値を囲みます。 | User-Name = "John Smith" |
ユーザーJohn Smithのイベントを表示します。 |
< >
|
関係値を検索します。 | Data Volume > 100 |
データボリュームが100 GBを超えるイベントを表示します。 |
AND |
指定された条件が真であるイベントを検索します。 | User-Name : John AND Data Volume > 100 |
データボリュームが100 GBを超えるユーザーJohnのイベントを表示します。 |
!~ |
指定した一致パターンを持つイベントをチェックします。このNOT LIKE演算子は、イベント文字列内のどこにも一致パターンを含まないイベントを返します。 | User-Name !~ John |
John、John Smith、または「John」という一致名を含むその他のユーザーを除くイベントを表示します。 |
!= |
指定した正確な文字列を持つイベントをチェックします。このNOT EQUAL演算子は、イベント文字列内のどこにも正確な文字列を含まないイベントを返します。 | Country != USA |
USAを除く国のイベントを表示します。 |
* |
指定した文字列に一致するイベントを検索します。現在、* 演算子は、以下の演算子 :、=、および != のみでサポートされています。検索結果は大文字と小文字を区別します。 |
User-Name = John* |
Johnで始まるすべてのユーザー名のイベントを表示します。 |
User-Name = *John* |
Johnを含むすべてのユーザー名のイベントを表示します。 | ||
User-Name = *Smith |
Smithで終わるすべてのユーザー名のイベントを表示します。 | ||
User-Name : John* |
Johnで始まるすべてのユーザー名のイベントを表示します。 | ||
User-Name : *John* |
Johnを含むすべてのユーザー名のイベントを表示します。 | ||
User-Name : *Smith |
Smithで終わるすべてのユーザー名のイベントを表示します。 | ||
User-Name != John* |
Johnで始まらないすべてのユーザー名のイベントを表示します。 | ||
User-Name != *Smith |
Smithで終わらないすべてのユーザー名のイベントを表示します。 | ||
IN |
検索ディメンションに複数の値を割り当てて、1つ以上の値に関連するイベントを取得します。注: 現在、この演算子は、アプリとデスクトップの以下のディメンション (Device ID、Domain、Event-Type、User-Name) でのみ使用できます。この演算子は文字列値にのみ適用されます。 |
User-Name IN (John, Kevin) |
JohnまたはKevinに関連するすべてのイベントを検索します。 |
NOT IN |
検索ディメンションに複数の値を割り当てて、指定された値を含まないイベントを検索します。注: 現在、この演算子は、アプリとデスクトップの以下のディメンション (Device ID、Domain、Event-Type、User-Name) でのみ使用できます。この演算子は文字列値にのみ適用されます。 |
User-Name NOT IN (John, Kevin) |
JohnとKevinを除くすべてのユーザーのイベントを検索します。 |
IS EMPTY |
ディメンションのnull値または空の値をチェックします。この演算子は、App-Name、Browser、Country などの文字列型ディメンションでのみ機能します。Upload-File-Size、Download-File-Size、Client-IP などの非文字列(数値)型ディメンションでは機能しません。 |
Country IS EMPTY |
国名が利用できないか空(指定されていない)のイベントを検索します。 |
IS NOT EMPTY |
ディメンションのnull以外の値または特定の値をチェックします。この演算子は、App-Name、Browser、Country などの文字列型ディメンションでのみ機能します。Upload-File-Size、Download-File-Size、Client-IP などの非文字列(数値)型ディメンションでは機能しません。 |
Country IS NOT EMPTY |
国名が利用可能または指定されているイベントを検索します。 |
OR |
いずれかまたは両方の条件が真である値を検索します。 | (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” |
Johnで始まるかSmithで終わるすべてのユーザー名の Session.Logon イベントを表示します。 |
注
NOT EQUAL 演算子の場合、クエリでディメンションの値を入力する際は、データソースのセルフサービス検索ページで利用可能な正確な値を使用してください。ディメンション値は大文字と小文字を区別します。
データソースの検索クエリを指定する方法の詳細については、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。
イベントを表示する時間の選択
プリセット時間を選択するか、カスタム時間範囲を入力して [検索] をクリックし、イベントを表示します。
タイムラインの詳細の表示
タイムラインは、選択した期間のユーザーイベントをグラフィカルに表現します。セレクターバーを移動して時間範囲を選択し、選択した時間範囲に対応するイベントを表示します。
図はアクセスデータのタイムラインの詳細を示しています。
イベントの表示
ユーザーイベントに関する詳細情報を表示できます。[データ] テーブルで、各列の矢印をクリックしてユーザーイベントの詳細を表示します。
図はユーザーのアクセスデータの詳細を示しています。
列の追加または削除
イベントテーブルから列を追加または削除して、該当するデータポイントを表示または非表示にできます。次の手順を実行します。
-
[列の追加または削除] をクリックします。
-
リストからデータ要素を選択または選択解除し、[更新] をクリックします。
リストからデータポイントの選択を解除すると、該当する列がイベントテーブルから削除されます。ただし、ユーザーのイベント行を展開することで、そのデータポイントを表示できます。たとえば、リストから [時間] データポイントの選択を解除すると、[時間] 列がイベントテーブルから削除されます。時間レコードを表示するには、ユーザーのイベント行を展開します。
イベントのCSVファイルへのエクスポート
検索結果をCSVファイルにエクスポートし、参照用に保存します。[CSV形式でエクスポート] をクリックしてイベントをエクスポートし、生成されたCSVファイルをダウンロードします。[CSV形式でエクスポート] 機能を使用して10万行をエクスポートできます。
ビジュアルサマリーのエクスポート
検索クエリのビジュアルサマリーレポートをダウンロードし、他のユーザー、管理者、または経営陣とコピーを共有できます。
[ビジュアルサマリーのエクスポート] をクリックして、ビジュアルサマリーレポートをPDFとしてダウンロードします。レポートには次の情報が含まれます。
-
選択した期間のイベントに指定した検索クエリ。
-
選択した期間のイベントに適用したファセット(フィルター)。
-
選択した期間の検索イベントのタイムラインチャート、棒グラフ、またはグラフなどのビジュアルサマリー。
データソースの場合、データが棒グラフ、タイムラインの詳細などのビジュアル形式で表示されている場合にのみ、ビジュアルサマリーレポートをダウンロードできます。それ以外の場合、このオプションは利用できません。たとえば、データがタイムラインの詳細や棒グラフとして表示されるアプリとデスクトップ、セッションなどのデータソースのビジュアルサマリーレポートをダウンロードできます。ユーザーとマシンなどのデータソースの場合、データは表形式でのみ表示されます。したがって、ビジュアルサマリーレポートをダウンロードすることはできません。
複数列ソート
ソートは、データを整理し、視認性を向上させるのに役立ちます。セルフサービス検索ページでは、ユーザーイベントを1つ以上の列でソートできます。列は、ユーザー名、日付と時刻、URLなどのさまざまなデータ要素の値を表します。これらのデータ要素は、選択したデータソースに基づいて異なります。
複数列ソートを実行するには、次の手順を実行します。
-
[並べ替え] をクリックします。
-
[並べ替え] リストから列を選択します。
-
昇順(上矢印)または降順(下矢印)の並べ替え順序を選択して、列のイベントをソートします。
-
[+ 列の追加] をクリックします。
-
[次に並べ替え] リストから別の列を選択します。
-
昇順(上矢印)または降順(下矢印)の並べ替え順序を選択して、列のイベントをソートします。
注
ソートを実行するために最大6つの列を追加できます。
-
[適用] をクリックします。
-
前述の設定を適用しない場合は、[キャンセル] をクリックします。選択した列の値を削除するには、[すべてクリア] をクリックします。
次の例は、Secure Private Accessイベントの複数列ソートを示しています。イベントは時間(最新から最古の順)でソートされ、次にURL(アルファベット順)でソートされます。
または、Shift キーを使用して複数列ソートを実行することもできます。Shift キーを押しながら列ヘッダーをクリックして、ユーザーイベントをソートします。
セルフサービス検索の保存方法
管理者として、セルフサービス検索クエリを保存できます。この機能により、分析やトラブルシューティングで頻繁に使用するクエリを書き直す時間と労力を節約できます。次のオプションがクエリとともに保存されます。
- 適用された検索フィルター
- 選択されたデータソースと期間
セルフサービス検索クエリを保存するには、次の手順を実行します。
-
必要なデータソースと期間を選択します。
-
検索バーにクエリを入力します。
-
必要なフィルターを適用します。
-
[検索の保存] をクリックします。
-
カスタムクエリを保存する名前を指定します。
注
クエリ名が一意であることを確認してください。そうしないと、クエリは保存されません。
-
検索クエリレポートのコピーを定期的に自分や他のユーザーに送信する場合は、[メールレポートのスケジュール] ボタンを有効にします。詳細については、「検索クエリのメールをスケジュール」を参照してください。
-
[保存] をクリックします。
保存された検索を表示するには:
-
[保存された検索の表示] をクリックします。
-
検索クエリの名前をクリックします。
保存された検索を削除するには:
-
[保存された検索の表示] をクリックします。
-
保存した検索クエリを選択します。
-
[保存された検索の削除] をクリックします。
保存された検索を変更するには:
-
[保存された検索の表示] をクリックします。
-
保存した検索クエリの名前をクリックします。
-
要件に基づいて、検索クエリまたはファセットの選択を変更します。
-
[検索の更新] > [保存] をクリックして、変更された検索を同じ検索クエリ名で更新および保存します。
-
変更された検索を新しい名前で保存する場合は、下矢印をクリックし、[新しい検索として保存] > [名前を付けて保存] をクリックします。
検索を新しい名前に置き換えると、検索は新しいエントリとして保存されます。置き換え時に既存の検索名を保持すると、変更された検索データが既存の検索データを上書きします。
注
- クエリの所有者のみが、保存された検索を変更または削除できます。
- 保存された検索リンクアドレスをコピーして、別のユーザーと共有できます。
検索クエリのメールのスケジュール
メール配信スケジュールを設定することで、検索クエリレポートのコピーを定期的に自分や他のユーザーに送信できます。
このオプションは、検索クエリレポートに棒グラフ、タイムラインの詳細などのビジュアル形式のデータが含まれている場合にのみ利用できます。それ以外の場合、メール配信をスケジュールすることはできません。たとえば、データがタイムラインの詳細や棒グラフとして表示されるアプリとデスクトップ、セッションなどのデータソースのメールをスケジュールできます。ユーザーとマシンなどのデータソースの場合、データは表形式でのみ表示されます。したがって、メールをスケジュールすることはできません。
検索クエリの保存中のメールのスケジュール
検索クエリを保存する際に、次のようにメール配信スケジュールを設定します。
-
[検索の保存] ダイアログボックスで、[メールレポートのスケジュール] ボタンを有効にします。
-
受信者のメールアドレスを入力または貼り付けます。
注
メールグループはサポートされていません。
-
メール配信の日付と時刻を設定します。
-
配信頻度(毎日、毎週、または毎月)を選択します。
-
[保存] をクリックします。
既に保存されている検索クエリのメールのスケジュール
以前に保存した検索クエリのメール配信スケジュールを設定する場合は、次の手順を実行します。
-
[保存された検索の表示] をクリックします。
-
作成した検索クエリに移動します。[このクエリをメールで送信] アイコンをクリックします。
注
クエリの所有者のみが、保存された検索クエリのメール配信をスケジュールできます。
-
[メールレポートのスケジュール] ボタンを有効にします。
-
受信者のメールアドレスを入力または貼り付けます。
注
メールグループはサポートされていません。
-
メール配信の日付と時刻を設定します。
-
配信頻度(毎日、毎週、または毎月)を選択します。
-
[保存] をクリックします。
検索クエリのメール配信スケジュールの停止
-
[保存された検索の表示] をクリックします。
-
作成した検索クエリに移動します。[メール配信スケジュールの表示] アイコンをクリックします。
注
クエリの所有者のみが、保存された検索クエリのメールスケジュールを停止できます。
-
[メールレポートのスケジュール] ボタンを無効にします。
-
[保存] をクリックします。
メールコンテンツ
受信者は、「Citrix Cloud - Notifications donotreplynotifications@citrix.com」から検索クエリレポートに関するメールを受信します。レポートはPDFドキュメントとして添付されます。メールは、[メールレポートのスケジュール] 設定で定義した定期的な間隔で送信されます。
検索クエリレポートには次の情報が含まれます。
-
選択した期間のイベントに指定した検索クエリ。
-
イベントに適用したファセット(フィルター)。
-
検索イベントのタイムラインチャート、棒グラフ、またはグラフなどのビジュアルサマリー。
フルアクセスおよび読み取り専用アクセス管理者の権限
-
フルアクセス権を持つCitrix Cloud™管理者である場合、[検索] ページで利用可能なすべての機能を使用できます。
-
読み取り専用アクセス権を持つCitrix Cloud管理者である場合、[検索] ページで次のアクティビティのみを実行できます。
-
データソースと期間を選択して検索結果を表示します。
-
検索クエリを入力して検索結果を表示します。
-
他の管理者の保存された検索結果を表示します。
-
ビジュアルサマリーをエクスポートし、検索結果をCSVファイルとしてダウンロードします。
-
管理者ロールの詳細については、「Citrix Analyticsの管理者ロールの管理」を参照してください。