自助搜索

什么是自助搜索?

通过自助搜索功能,您可以查找和筛选从数据源接收的用户事件。您可以浏览底层用户事件及其属性。这些事件可帮助您识别任何数据问题并对其进行故障排除。搜索页面显示数据源的各个方面(维度)和衡量指标。您可以定义搜索查询并应用筛选器来查看与您定义的条件匹配的事件。默认情况下,自助搜索页面显示过去一个月的用户事件。

目前,自助搜索功能可用于以下数据源:

此外,您还可以对符合您定义策略的事件执行自助搜索。有关详细信息,请参阅面向策略的自助搜索

如何访问自助搜索

您可以使用以下选项访问自助搜索:

  • 顶部栏:单击顶部栏中的搜索以查看所选数据源的所有用户事件。

  • 用户配置文件页面上的风险时间线:单击事件搜索以查看相应用户的事件。

从顶部栏的自助搜索

使用此选项可从用户界面中的任何位置转到自助搜索页面。

  1. 单击搜索以查看自助服务页面。

    顶部栏搜索

  2. 选择要查看相应事件的数据源和时间段。

    顶部栏搜索页面

从用户风险时间表进行自助搜索

如果要查看与风险指示器关联的用户事件,请使用此选项。

当您从用户的时间轴中选择风险指示器时,风险指示器信息部分将显示在右侧窗格中。单击事件搜索以在自助搜索页面上浏览与用户关联的事件和数据源(针对其触发风险指示器)。

风险时间线搜索

有关用户风险时间表的详细信息,请参阅风险时间表

如何使用自助搜索

使用自助搜索页面上的以下功能:

搜索探索

使用面过滤事件

面是构成事件的数据点的汇总。各个方面因数据源而异。例如,Access Control 数据源的方面包括信誉、操作、位置和类别组。而 Virtual Apps and Desktops 的方面包括事件类型、域和平台。

使用这些方面筛选和焦点关注所需的用户事件。有关与每个数据源对应的方面的详细信息,请参阅本文前面提到的数据源的自助搜索文章。

使用搜索框中的搜索查询来筛选事件

将光标放在搜索框中时,搜索框会根据从数据源接收到的事件显示维度列表。使用维度定义搜索条件并搜索事件。

例如,在自助搜索访问时,您可以获得访问事件的以下维度。通过使用这些维度输入您的查询,选择时间段,然后单击搜索

搜索查询

您也可以在搜索查询中使用以下运算符。

接线员 说明 示例 输出
为搜索查询分配值 用户名:约翰 显示用户 John 的事件
= 为搜索查询分配值 用户名 = 约翰 显示用户 John 的事件
~ 搜索类似值 用户名 ~ 测试 显示具有类似用户名的事件
”” 用空格分隔的值括起来 User-Name = “John Smith” 显示用户约翰·史密斯的事件
<, > 搜索关系值 数据量 > 100 显示数据量大于 100 GB 的事件
AND 两个条件都为真的搜索值 User-Name : John AND Data Volume > 100 显示用户约翰的事件,其中数据量大于 100 GB
* 匹配字符零次或多次的搜索值 User-Name = John* 显示以 John 开头的所有用户名的事件
    User-Name = *John* 显示包含 John 的所有用户名的事件
    User-Name = *Smith 显示以史密斯结尾的所有用户名的事件

有关如何指定数据源的搜索查询的详细信息,请参阅本文前面提到的数据源的自助搜索文章。

选择查看事件的时间

选择预设时间或输入自定义时间范围,然后单击搜索以查看事件。

时间选择

查看时间线详细信息

时间轴提供了所选时间段内用户事件的图形表示。移动选择器栏以选择时间范围,并查看与所选时间范围相对应的事件。

该图显示了访问数据的时间线详细信息。

时间线详细信息

例如,您希望查看 2019 年 7 月 8 日至 2019 年 7 月 10 日之间发生的事件。使用选择器栏选择所需的时间轴区域,并查看与所选区域相对应的事件。

选择栏

查看活动

您可以查看有关用户事件的详细信息。单击某个用户以深入了解他们的数据。

下图显示了有关用户访问数据的详细信息。

事件

在事件表中添加列

您可以添加列并选择要在事件表中显示的数据点。请执行以下操作:

  1. 单击 + 以添加数据点的列。

    添加更多事件

  2. 添加列窗口中,选择数据点,然后单击添加列

    添加列

如果从添加列列表中取消选择某个数据点,则相应的列将从事件表中移除。但是,您可以在展开用户的事件行后查看数据点。例如,如果从添加列列表中取消选择时间数据点,则时间列将从事件表中删除。要查看时间记录,请展开用户的事件行。

隐藏属性

将事件导出到 CSV 文件

您可以将搜索到的事件导出到 CSV 文件并保存报告以供日后参考。单击导出到 CSV 格式以导出事件并下载生成的 CSV 文件。

CSV 导出