Citrix Analytics for Security

自定义报告

自定义报告是您创建的报告,其中包含从数据源接收的事件的维度和指标。支持的数据源包括访问控制、Content Collaboration 以及 Virtual Apps and Desktops。

维度是用于对事件进行分组的数据属性,例如用户名、域名和内容类别。指标是可衡量的实体,例如数据下载和数据上传。

报告可帮助您根据运营需求以图形方式组织数据,提供有意义的见解,以更好地理解和改善业务绩效及其趋势。

如何创建自定义报告

  1. 安全选项卡中,单击报告 > 创建报告

    报告链接

  2. 在“创建报告”页面上,使用以下字段创建报告:

    • 数据源。单击向下箭头,然后选择要为其创建报表的数据源。目前,您可以为三个数据源创建报表:访问控制、Content Collaboration 和 Virtual Apps and Desktops。单击查看事件可转到所选数据源的自助服务搜索页。

      自定义报告数据源

    • 指标。用于定量测量的数据。衡量指示器值根据所选数据源发生变化。例如,如果您选择“访问控制”,则可衡量的指标是“数据下载”、“数据上载”。指示器数据显示在报表的 y 轴上。使用搜索字段搜索所选数据源的可用指标。

    • 维度。数据属性与从数据源接收的事件相关联。维度值会根据所选数据源的不同而变化。例如,如果选择“访问控制”,则可以根据维度(如城市、内容类别、操作系统和设备)对事件进行分组。维度值显示在报表的 x 轴上。使用搜索字段搜索所选数据源的可用维度。

      自定义报告指标和维度

      该表根据数据源列出了可用的维度。

      数据源 维度 说明
      访问控制 用户名称 按用户名对事件进行分组。
        用户代理 按 HTTP 协议中使用的 User-Agent 字段对事件进行分组。
        按域名对事件进行分组。
        请求 按 HTTP 请求方法对事件进行分组。
        内容类别 按音频、二进制、字体和图像等内容类别对事件进行分组。
        内容类型  
        操作 按所执行的操作(如允许、阻止和重定向)对事件进行分组。
        URL 按访问的 URL 对事件进行分组。
        URL 类别 按 URL 类别(如商业、行业和计算)对事件进行分组。
        信誉度 按 URL 名誉(如干净、恶意、危险和未知)对事件进行分组。
        国家/地区 按用户所在的国家/地区对活动进行分组。
        城市 按用户所在的城市对活动进行分组。
        浏览器 按用户使用的浏览器对事件进行分组。
        操作系统 按设备的操作系统对事件进行分组。
        设备 根据使用过的设备(如 Android 手机、iPhone 和 MacBook)对事件进行分组。
      Content Collaboration 用户电子邮件 通过用户的电子邮件对事件进行分组。
        用户名 按 Content Collaboration 用户名对事件进行分组。
        帐户 ID 按用户的账户 ID 对事件进行分组。
        别名 ID 按用户的别名 ID 对事件进行分组。
        OAuth-客户端id  
        Created-Ad 由创建内容的用户对事件进行分组。
        事件用户 ID  
        文件名 按文件名对事件进行分组。
        文件夹 ID 按文件夹 ID 对事件进行分组。
        文件夹名称 按文件夹名称对事件进行分组。
        表格编号 按表单 ID 对事件进行分组。
        员工是否 按用户在企业中的就业状态对事件进行分组。
        操作名称 按浏览、复制和粘贴等用户操作对事件进行分组。
        国家/地区 各国家/地区的组事件。
        城市 各城市的组事件。
        客户端 IP 按客户端计算机 IP 对事件进行分组。
        客户端操作 按客户端计算机的操作系统对事件进行分组。
        资源编号  
        资源类型  
      Virtual Apps and Desktops 事件类型 按事件类型(如帐户登录、会话启动、会话启动和应用程序启动)对事件进行分组。
        国家/地区 各国家/地区的组事件。
        城市 各城市的组事件。
        用户名 按用户名对事件进行分组。
        IP 地址 按客户端的设备 IP 地址对事件进行分组。
        设备 ID 按客户端名称或硬件 ID 对事件进行分组。
        越狱 按照被监禁的设备或已扎根的设备分组事件。
        操作系统 按用户设备的操作系统对事件进行分组。
        浏览器 按浏览器名称对事件进行分组。
        会话启动类型 按会话类型(如桌面或应用程序)对事件进行分组。
        应用程序名称 按启动的虚拟应用程序或桌面的名称对事件进行分组。
        会话服务器名称 按服务器对事件进行分组。
        会话用户名 由使用会话的用户对事件进行分组。
        会话域 按会话域对事件进行分组。
        文件下载文件名 按下载的文件对事件进行分组。
        文件下载设备类型 按下载或传输文件的设备名称对事件进行分组。
        文件下载路径 按文件下载或传输的位置对事件进行分组。
        打印机名称 按用于打印的打印机对事件进行分组。
        打印作业详情 按打印作业详细信息(如文件大小、文件格式)对事件进行分组。打印的文件名仅在 SaaS 应用程序打印事件中可用。
        App-URL 按 SaaS 应用程序对事件进行分组已启动 URL。
        剪贴板操作 按剪贴板操作(如剪切、复制、粘贴)对事件进行分组。剪贴板操作仅受 SaaS 应用程序的支持。
        剪贴板详细信息 按剪贴板详细信息对事件进行分组。
    • 可视化。选择用于显示报表的可视化项之一。目前,有四种可视化类型可用:

      定制报告可视化

      • 形图:以垂直矩形条形显示数据,其高度与值成比例。用于比较事件。

        自定义报告条形图

      • 散点图:使用表示值的点来显示数据。用于确定事件之间的关联。

        自定义报告散点图

      • 折线图:显示由直线段连接的点的数据。用于可视化一段时间内的数据趋势。

        自定义报告折线图

      • :以行和列形式显示数据。

        自定义报告表

      为报表选择适当的可视化类型。为 x 轴和列添加维度。为 y 轴添加指标。x 轴只接受两个维度值,而 y 轴只接受一个指标值。这些列最多可接受八个维度值。表中的行数根据所选时间段内的可用事件而异。

    • 时间段。选择要为其创建报告的事件的时间段。您可以选择预定义的时间段,例如 1 小时、12 小时、1 天、1 周、1 个月或根据自己的要求输入自定义范围。

    • 过滤器。在 “ 数据” 字段中,单击加号 (+) 图标以将筛选器应用于为 x 轴选择的维度。选择要在报告中显示的所需数据。例如,添加维度信誉,然后选择危险访问恶意访问等方面数据,根据选择创建报告。

      自定义报告筛选

    • 报告的名称。为报告指定标题。

  3. 预览报告并单击“保存”。

示例-显示跨国家/地区数据下载的条形图

您想要创建一个条形图来显示跨国家/地区的数据下载情况并查看其趋势。选择访问控制数据源。在 “ 可视化 ” 部分,选择条形图,为 x 轴添加 国家/ 地区和 内容类别 维度,以及 y 轴的 数据下载 量度。选择所需的时间段,然后在筛选器部分为要在 x 轴上显示的维度国家/地区内容类别选择以下值。

  • 国家:中国、法国、爱尔兰

  • 内容类别:应用程序、音频、二进制文件、字体和图像。

在保存图表之前,预览图表并为其指定名称。此图表可帮助您根据国家/地区对数据下载量和内容类型进行比较。

自定义报告示例

同样,您可以通过选择与所选数据源对应的维度和衡量指标来创建多个图表。

如何查看和修改报告

创建并保存报告后,您可以在报告页面上查看报告。您还可以修改或删除已保存的报告。

要查看和修改报表:

  1. 安全页上,单击报告

  2. 保存的报告与以下信息一起显示:

    • 报告名称。您指定的报告的名称。

    • 键入。可视化类型,例如条形图、事件图、折线图或表。

    • 创建者。创建报告的管理员。

    • 日期。创建报告的时间和日期。

    保存的报告

  3. 单击位于报表名称前面的箭头 (>) 图标可展开和预览报表。

    自定义报告展开视图

  4. 单击列表中的报告名称可查看详细视图。

  5. 单击编辑以修改报告,然后单击更新以保存报告。

  6. 如果要删除报告,请单击删除

自定义报告