自助搜索
什么是自助搜索
自助搜索功能使您能够查找和筛选从数据源接收的用户事件。您可以探索底层用户事件及其属性。这些事件有助于您识别任何数据问题并进行故障排除。搜索页面会显示数据源的各种方面(维度)和指标。您可以定义搜索查询并应用筛选器以查看符合您定义条件的事件。默认情况下,自助搜索页面会显示过去一天的用户事件。
目前,自助搜索功能适用于以下数据源:
此外,您还可以对符合您定义策略的事件执行自助搜索。有关详细信息,请参阅策略的自助搜索。
如何访问自助搜索
您可以通过以下选项访问自助搜索:
-
顶部栏:单击顶部栏中的“搜索”以查看所选数据源的所有用户事件。
-
用户配置文件页面上的风险时间线:单击“事件搜索”以查看相应用户的事件。
从顶部栏进行自助搜索
使用此选项可从用户界面中的任何位置转到自助搜索页面。
-
单击“搜索”以查看自助服务页面。
-
选择数据源和时间段以查看相应的事件。
从用户的风险时间线进行自助搜索
如果您想查看与风险指标关联的用户事件,请使用此选项。
当您从用户时间线中选择风险指标时,风险指标信息部分会显示在右侧窗格中。单击“事件搜索”可在自助搜索页面上探索与用户和数据源(触发风险指标的数据源)关联的事件。
有关用户风险时间线的更多信息,请参阅风险时间线。
如何使用自助搜索
在自助搜索页面上使用以下功能:
-
方面以筛选您的事件。
-
搜索框以输入您的查询并筛选事件。
-
时间选择器以选择时间段。
-
时间线详细信息以查看事件图表。
-
事件数据以查看事件。
-
导出为 CSV 格式以下载您的搜索事件为 CSV 文件。
-
导出可视化摘要以下载您的搜索查询的可视化摘要报告。
-
多列排序以按多列对事件进行排序。
使用方面筛选事件
方面是构成事件的数据点的摘要。方面因数据源而异。例如,安全专用访问数据源的方面是信誉、操作、位置和类别组。而应用程序和桌面的方面是事件类型、域和平台。
选择方面以筛选您的搜索结果。选定的方面将显示为芯片。
有关与每个数据源对应的方面的更多信息,请参阅本文前面提到的数据源的自助搜索文章。
在搜索框中使用搜索查询筛选事件
当您将光标放在搜索框中时,搜索框会根据用户事件显示维度列表。这些维度因数据源而异。使用维度和有效的运算符来定义您的搜索条件并搜索所需的事件。
例如,在应用程序和桌面的自助搜索中,您会获得维度 Browser 的以下值。使用该维度键入您的查询,选择时间段,然后单击“搜索”。
当选择某些维度(如 Event-Type 和 Clipboard-Operation)以及有效运算符时,维度的值会自动显示。您可以从建议的选项中选择一个值,或根据您的要求输入一个新值。
搜索查询中支持的运算符
在搜索查询中使用以下运算符来优化您的搜索结果。
| 运算符 | 描述 | 示例 | 输出 |
|---|---|---|---|
| 为搜索维度分配值。 | User-Name : John |
显示用户 John 的事件。 | |
= |
为搜索维度分配值。 | User-Name = John |
显示用户 John 的事件。 |
~ |
搜索具有相似值的事件。 | User-Name ~ test |
显示具有相似用户名的事件。 |
"" |
括起由空格分隔的值。 | User-Name = "John Smith" |
显示用户 John Smith 的事件。 |
< >
|
搜索关系值。 | Data Volume > 100 |
显示数据量大于 100 GB 的事件。 |
AND |
搜索指定条件为真的事件。 | User-Name : John AND Data Volume > 100 |
显示用户 John 的数据量大于 100 GB 的事件。 |
!~ |
检查事件中是否包含您指定的匹配模式。此 NOT LIKE 运算符返回事件字符串中不包含匹配模式的事件。 | User-Name !~ John |
显示除 John、John Smith 或任何包含匹配名称“John”的用户之外的事件。 |
!= |
检查事件中是否包含您指定的精确字符串。此 NOT EQUAL 运算符返回事件字符串中不包含精确字符串的事件。 | Country != USA |
显示除 USA 之外的国家/地区的事件。 |
* |
搜索与指定字符串匹配的事件。目前,* 运算符仅支持以下运算符::、= 和 !=。搜索结果区分大小写。 |
User-Name = John* |
显示所有以 John 开头的用户名的事件。 |
User-Name = *John* |
显示所有包含 John 的用户名的事件。 | ||
User-Name = *Smith |
显示所有以 Smith 结尾的用户名的事件。 | ||
User-Name : John* |
显示所有以 John 开头的用户名的事件。 | ||
User-Name : *John* |
显示所有包含 John 的用户名的事件。 | ||
User-Name : *Smith |
显示所有以 Smith 结尾的用户名的事件。 | ||
User-Name != John* |
显示所有不以 John 开头的用户名的事件。 | ||
User-Name != *Smith |
显示所有不以 Smith 结尾的用户名的事件。 | ||
IN |
为搜索维度分配多个值,以获取与一个或多个值相关的事件。注意:目前,您可以将此运算符与应用程序和桌面的以下维度一起使用:Device ID、Domain、Event-Type 和 User-Name。此运算符仅适用于字符串值。 |
User-Name IN (John, Kevin) |
查找与 John 或 Kevin 相关的所有事件。 |
NOT IN |
为搜索维度分配多个值,并查找不包含指定值的事件。注意:目前,您可以将此运算符与应用程序和桌面的以下维度一起使用:Device ID、Domain、Event-Type 和 User-Name。此运算符仅适用于字符串值。 |
User-Name NOT IN (John, Kevin) |
查找除 John 和 Kevin 之外的所有用户的事件。 |
IS EMPTY |
检查维度的空值或空值。此运算符仅适用于字符串类型维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
Country IS EMPTY |
查找国家/地区名称不可用或为空(未指定)的事件。 |
IS NOT EMPTY |
检查维度的非空值或特定值。此运算符仅适用于字符串类型维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
Country IS NOT EMPTY |
查找国家/地区名称可用或已指定的事件。 |
OR |
搜索其中一个或两个条件都为真的值。 | (User-Name = John* OR User-Name = *Smith) AND Event-Type = “Session.Logon” |
显示所有以 John 开头或以 Smith 结尾的用户名的 Session.Logon 事件。 |
注意
对于 NOT EQUAL 运算符,在查询中输入维度值时,请使用自助搜索页面上数据源可用的精确值。维度值区分大小写。
有关如何为数据源指定搜索查询的更多信息,请参阅本文前面提到的数据源的自助搜索文章。
选择时间以查看事件
选择预设时间或输入自定义时间范围,然后单击“搜索”以查看事件。
查看时间线详细信息
时间线以图形方式表示所选时间段的用户事件。移动选择器条以选择时间范围并查看与所选时间范围对应的事件。
该图显示了访问数据的时间线详细信息。
查看事件
您可以查看有关用户事件的详细信息。在 DATA 表中,单击每列的箭头以查看用户事件详细信息。
该图显示了有关用户访问数据的详细信息。
添加或删除列
您可以从事件表中添加或删除列以显示或隐藏相应的数据点。执行以下操作:
-
单击“添加或删除列”。
-
从列表中选择或取消选择数据元素,然后单击“更新”。
如果您从列表中取消选择数据点,则相应的列将从事件表中删除。但是,您可以通过展开用户的事件行来查看该数据点。例如,当您从列表中取消选择 TIME 数据点时,TIME 列将从事件表中删除。要查看时间记录,请展开用户的事件行。
将事件导出到 CSV 文件
将搜索结果导出到 CSV 文件并保存以供参考。单击“导出为 CSV 格式”以导出事件并下载生成的 CSV 文件。您可以使用“导出为 CSV 格式”功能导出 10 万行。
导出可视化摘要
您可以下载搜索查询的可视化摘要报告,并与其他用户、管理员或您的执行团队共享副本。
单击“导出可视化摘要”以下载 PDF 格式的可视化摘要报告。该报告包含以下信息:
-
您为所选时间段的事件指定的搜索查询。
-
您为所选时间段的事件应用的方面(筛选器)。
-
搜索事件在所选时间段内的可视化摘要,例如时间线图表、条形图或图形。
对于某个数据源,只有当数据以可视化格式(例如条形图、时间线详细信息)显示时,您才能下载可视化摘要报告。否则,此选项不可用。例如,您可以下载应用程序和桌面、会话等数据源的可视化摘要报告,其中您将数据视为时间线详细信息和条形图。对于用户和计算机等数据源,您只能以表格格式查看数据。因此,您无法下载任何可视化摘要报告。
多列排序
排序有助于组织数据并提供更好的可见性。在自助搜索页面上,您可以按一列或多列对用户事件进行排序。这些列表示各种数据元素的值,例如用户名、日期和时间以及 URL。这些数据元素因所选数据源而异。
要执行多列排序,请执行以下操作:
-
单击“排序依据”。
-
从“排序依据”列表中选择一列。
-
选择排序顺序 - 升序(向上箭头)或降序(向下箭头)以对列中的事件进行排序。
-
单击“+ 添加列”。
-
从“然后依据”列表中选择另一列。
-
选择排序顺序 - 升序(向上箭头)或降序(向下箭头)以对列中的事件进行排序。
注意
您最多可以添加六列来执行排序。
-
单击“应用”。
-
如果您不想应用上述设置,请单击“取消”。要删除所选列的值,请单击“全部清除”。
以下示例显示了安全专用访问事件的多列排序。事件按时间(从最新到最旧)然后按 URL(按字母顺序)排序。
或者,您可以使用 Shift 键执行多列排序。按住 Shift 键并单击列标题以对用户事件进行排序。
如何保存自助搜索
作为管理员,您可以保存自助查询。此功能节省了您经常用于分析或故障排除的查询的重写时间和精力。以下选项随查询一起保存:
- 应用的搜索筛选器
- 选定的数据源和持续时间
要保存自助查询,请执行以下操作:
-
选择所需的数据源和持续时间。
-
在搜索栏中键入查询。
-
应用所需的筛选器。
-
单击“保存搜索”。
-
指定名称以保存自定义查询。
注意
确保查询名称是唯一的。否则,查询将不会保存。
-
如果您想定期向自己和其他用户发送搜索查询报告的副本,请启用“安排电子邮件报告”按钮。有关详细信息,请参阅安排搜索查询的电子邮件。
-
单击“保存”。
要查看已保存的搜索:
-
单击“查看已保存的搜索”。
-
单击搜索查询的名称。
要删除已保存的搜索:
-
单击“查看已保存的搜索”。
-
选择您已保存的搜索查询。
-
单击“删除已保存的搜索”。
要修改已保存的搜索:
-
单击“查看已保存的搜索”。
-
单击您已保存的搜索查询的名称。
-
根据您的要求修改搜索查询或方面选择。
-
单击“更新搜索”>“保存”以使用相同的搜索查询名称更新并保存修改后的搜索。
-
如果您想以新名称保存修改后的搜索,请单击向下箭头,然后单击“另存为新搜索”>“另存为”。
如果您用新名称替换搜索,则该搜索将作为新条目保存。如果您在替换时保留现有搜索名称,则修改后的搜索数据将覆盖现有搜索数据。
注意
- 只有查询所有者才能修改或删除其已保存的搜索。
- 您可以复制已保存的搜索链接地址以与其他用户共享。
安排搜索查询的电子邮件
您可以通过设置电子邮件发送计划,定期向自己和其他用户发送搜索查询报告的副本。
此选项仅在您的搜索查询报告包含可视化格式(例如条形图、时间线详细信息)的数据时可用。否则,您无法安排电子邮件发送。例如,您可以为应用程序和桌面、会话等数据源安排电子邮件,其中您将数据视为时间线详细信息和条形图。对于用户和计算机等数据源,您只能以表格格式查看数据。因此,您无法安排电子邮件。
在保存搜索查询时安排电子邮件
在保存搜索查询时,按如下方式设置电子邮件发送计划:
-
在“保存搜索”对话框中,启用“安排电子邮件报告”按钮。
-
输入或粘贴收件人的电子邮件地址。
注意
不支持电子邮件组。
-
设置电子邮件发送的日期和时间。
-
选择发送频率 - 每日、每周或每月。
-
单击“保存”。
为已保存的搜索查询安排电子邮件
如果您想为以前保存的搜索查询设置电子邮件发送计划,请执行以下操作:
-
单击“查看已保存的搜索”。
-
转到您已创建的搜索查询。单击“通过电子邮件发送此查询”图标。
注意
只有查询所有者才能安排其已保存搜索查询的电子邮件发送。
-
启用“安排电子邮件报告”按钮。
-
输入或粘贴收件人的电子邮件地址。
注意
不支持电子邮件组。
-
设置电子邮件发送的日期和时间。
-
选择发送频率 - 每日、每周或每月。
-
单击“保存”。
停止搜索查询的电子邮件发送计划
-
单击“查看已保存的搜索”。
-
转到您已创建的搜索查询。单击“查看电子邮件发送计划”图标。
注意
只有查询所有者才能停止其已保存搜索查询的电子邮件计划。
-
禁用“安排电子邮件报告”按钮。
-
单击“保存”。
电子邮件内容
收件人将收到来自“Citrix Cloud - Notifications donotreplynotifications@citrix.com”的有关搜索查询报告的电子邮件。报告以 PDF 文档形式作为附件。电子邮件将按照您在“安排电子邮件报告”设置中定义的定期间隔发送。
搜索查询报告包含以下信息:
-
您为所选时间段的事件指定的搜索查询。
-
您为事件应用的方面(筛选器)。
-
搜索事件的可视化摘要,例如时间线图表、条形图或图形。
具有完全访问权限和只读访问权限的管理员的权限
-
如果您是具有完全访问权限的 Citrix Cloud™ 管理员,则可以使用“搜索”页面上的所有可用功能。
-
如果您是具有只读访问权限的 Citrix Cloud 管理员,则只能在“搜索”页面上执行以下活动:
-
通过选择数据源和时间段来查看搜索结果。
-
输入搜索查询并查看搜索结果。
-
查看其他管理员已保存的搜索结果。
-
导出可视化摘要并将搜索结果下载为 CSV 文件。
-
有关管理员角色的信息,请参阅管理 Citrix Analytics 的管理员角色。