Citrix Analytics for Security

自助搜索

什么是自助搜索

自助搜索功能使您能够查找和筛选从数据源接收的用户事件。您可以探索底层用户事件及其属性。这些事件可帮助您识别任何数据问题并进行故障排除。搜索页面显示数据源的各个方面(维度)和量度。您可以定义搜索查询并应用筛选器来查看符合定义条件的事件。默认情况下,自助搜索页面显示最近一天的用户事件。

目前,自助搜索功能可用于以下数据源:

此外,您还可以对符合定义策略的事件执行自助搜索。有关详细信息,请参阅面向策略的自助搜索

如何访问自助搜索

您可以使用以下选项访问自助搜索:

  • 顶栏:单击顶栏中的 搜索 可查看所选数据源的所有用户事件。

  • 用户个人资料页面上的风险时间表:单击 事件搜索 可查看相应用户的事件。

从顶部栏进行自助搜索

使用此选项可从用户界面中的任何位置转到自助搜索页面。

  1. 单击 搜索 以查看自助服务页面。

    顶栏搜索

  2. 选择数据源和时间段以查看相应的事件。

    顶栏搜索页

从用户的风险时间表进行自助搜索

如果要查看与风险指示器关联的用户事件,请使用此选项。

当您从用户的时间轴中选择风险指示器时,风险指示器信息部分将显示在右侧窗格中。单击 事件搜索 可在自助搜索页面上浏览与用户和数据源关联的事件(为其触发风险指示器)。

风险时间表搜索

有关用户风险时间表的更多信息,请参阅 风险时间表

如何使用自助搜索

使用自助搜索页面上的以下功能:

使用 Facets 过滤事件

Facets 是构成事件的数据点的摘要。Facet 因数据源而异。例如,Secure Private Access 数据源的方面是信誉、操作、位置和类别组。而应用程序和桌面的方面是事件类型、域和平台。

选择要过滤搜索结果的平面。选定的小平面显示为筹码。

有关与每个数据源相对应的方面的详细信息,请参阅本文前面提到的数据源的自助搜索文章。

使用搜索框中的搜索查询过滤事件

将光标置于搜索框中时,搜索框会根据用户事件显示维度列表。这些维度因数据源而异。使用维度和有效 运算符 定义搜索条件并搜索所需的事件。

例如,在应用程序和桌面的自助搜索中,您将获得维度 Browser 的以下值。使用维度键入查询,选择时间段,然后单击 搜索

搜索查询

当选择某些维度(例如 Event-TypeClipboard-Operation 以及有效的运算符)时,维度的值会自动显示。您可以从建议的选项中选择一个值,也可以根据需要输入一个新值。

维度值

搜索查询中支持的运算符

在搜索查询中使用以下运算符来优化搜索结果。

操作员 说明 示例 输出
为搜索维度分配一个值。 用户名:John 显示用户 John 的事件。
= 为搜索维度分配一个值。 用户名 = John 显示用户 John 的事件。
~ 搜索具有相似值的事件。 用户名 ~ test 显示具有相似用户名的事件。
"" 用空格分隔的值括起来。 User-Name = “John Smith” 显示用户约翰·史密斯的事件。
< > 搜索关系价值。 数据量 > 100 显示数据量大于 100 GB 的事件。
AND 搜索指定条件为真的事件。 User-Name : John AND Data Volume > 100 显示用户 John 的事件,其中数据量大于 100 GB。
!~ 检查事件中指定的匹配模式。此 NOT LIKE 运算符返回事件字符串中任意位置不包含匹配模式的事件。 User-Name !~ John 显示除 John、John Smith 或包含匹配名称“John”的任何此类用户以外的用户的事件。
!= 检查事件是否确切指定的字符串。此 NOT EQUAL 运算符返回事件字符串中任意位置不包含确切字符串的事件。 Country != USA 显示除美国以外国家/地区的事件。
* 搜索与指定字符串匹配的事件。目前,只有以下运算符 :=!= 才支持 * 运算符。搜索结果区分大小写。 User-Name = John* 显示以 John 开头的所有用户名的事件。
    User-Name = John 显示包含 John 的所有用户名的事件。
    User-Name = *Smith 显示以 Smith 结尾的所有用户名的事件。
    用户名:John* 显示以 John 开头的所有用户名的事件。
    用户名:John 显示包含 John 的所有用户名的事件。
    用户名:*Smith 显示以 Smith 结尾的所有用户名的事件。
    User-Name != John* 显示不以 John 开头的所有用户名的事件。
    User-Name != *Smith 显示不以 Smith 结尾的所有用户名的事件。
IN 为搜索维度分配多个值以获取与一个或多个值相关的事件。注意:目前,您可以将此运算符用于应用程序和桌面的以下维度:Device IDDomainEvent-TypeUser-Name。此运算符仅适用于字符串值。 User-Name IN (John, Kevin) 查找与约翰或凯文相关的所有事件。
NOT IN 为搜索维度分配多个值,然后查找不包含指定值的事件。注意:目前,您可以将此运算符用于应用程序和桌面的以下维度:Device IDDomainEvent-TypeUser-Name。此运算符仅适用于字符串值。 User-Name NOT IN (John, Kevin) 查找除 John 和 Kevin 之外的所有用户的事件。
IS EMPTY 检查维度的空值或空值。此运算符仅适用于字符串类型的维度,例如 App-NameBrowserCountry。它不适用于非字符串(数字)类型的维度,例如 Upload-File-SizeDownload-File-SizeClient-IP 国家/地区 IS EMPTY 查找国家名称不可用或为空(未指定)的事件。
IS NOT EMPTY 检查维度的非空值或特定值。此运算符仅适用于字符串类型的维度,例如 App-NameBrowserCountry。它不适用于非字符串(数字)类型的维度,例如 Upload-File-SizeDownload-File-SizeClient-IP 国家/地区 IS NOT EMPTY 查找可用或指定了国家/地区名称的事件。
OR 搜索其中一个或两个条件均为 true 时的值。 (User-Name = John* OR User-Name = *Smith) AND Event-Type =“Session.Logon” 显示所有以 John 开头或以 Smith 结尾的用户名的 Session.Logon 事件。

注意

对于 NOT EQUAL 运算符,在为查询中的维度输入值时,请使用自助搜索页面上提供的数据源的精确值。尺寸值区分大小写。

有关如何为数据源指定搜索查询的详细信息,请参阅本文前面提到的有关数据源的自助搜索文章。

选择查看活动的时间

选择预设时间或输入自定义时间范围,然后单击 搜索 以查看事件。

时间选择

查看时间轴详细信息

时间轴提供所选时间段内用户事件的图形表示。移动选择器栏以选择时间范围并查看与所选时间范围对应的事件。

图中显示了访问数据的时间轴详细信息。

时间轴详情

查看活动

您可以查看有关用户事件的详细信息。在 DATA 表中,单击每列的箭头以查看用户事件详细信息。

图中显示了有关用户访问数据的详细信息。

Events

添加或删除列

您可以在事件表中添加或删除列以显示或隐藏相应的数据点。请执行以下操作:

  1. 单击 添加或删除列

    更新事件

  2. 从列表中选择或取消选择数据元素,然后单击“更新”。

    更新列

如果从列表中取消选择一个数据点,则会从事件表中删除相应的列。但是,您可以通过展开用户的事件行来查看该数据点。例如,当您从列表中取消选择 TIME 数据点时,TIME 列将从事件表中移除。要查看时间记录,请展开用户的事件行。

隐藏的属性

将事件导出到 CSV 文件

将搜索结果导出为 CSV 文件并保存以供参考。单击 导出为 CSV 格式 以导出事件并下载生成的 CSV 文件。您可以使用导出为 CSV 格式功能导出 100K 行。

CSV 导出

导出视觉摘要

您可以下载搜索查询的可视摘要报告,并与其他用户、管理员或管理团队共享副本。

单击 导出可视摘要 以 PDF 格式下载视觉摘要报告。该报告包含以下信息:

  • 您为选定时间段内的事件指定的搜索查询。

  • 在所选时间段内,您在事件上应用的方面(过滤器)。

  • 可视摘要,例如时间轴图、条形图或选定时间段内搜索事件的图形。

对于数据源,只有在以条形图、时间线详细信息等视觉格式显示数据时,才能下载可视摘要报告。否则,此选项不可用。例如,您可以下载数据源的可视化摘要报表,例如应用程序和桌面、会话,您可以在其中查看时间轴详细信息和条形图的数据。对于用户和计算机等数据源,您只能看到表格格式的数据。因此,您无法下载任何视觉摘要报告。

导出视觉摘要

多列排序

排序有助于组织数据并提供更好的可见性。在自助搜索页面上,您可以按一列或多列对用户事件进行排序。这些列表示各种数据元素的值,例如用户名、日期和时间以及 URL。这些数据元素因选定的数据源而异。

要执行多列排序,请执行以下操作:

  1. 单击“排序方式”。

    Sort-by

  2. 从“排序方式”列表中选择一列。

  3. 选择排序顺序-升序(向上箭头)或降序(向下箭头)以对列中的事件进行排序。

  4. 单击 + 添加列

  5. 从“然后依 据”列表中选择另一列。

  6. 选择排序顺序-升序(向上箭头)或降序(向下错误)以对列中的事件进行排序。

    注意

    您最多可以添加六列来执行排序。

  7. 单击应用

  8. 如果不想应用上述设置,请单击“取消”。要删除所选列的值,请单击“全部清除”。

以下示例显示了对 Secure Private Access 事件的多列排序。事件按时间排序(从最新到最早的顺序),然后按 URL(按字母顺序)排序。

多列排序

或者,您可以使用 Shift 键执行多列排序。按住 Shift 键并单击列标题以对用户事件进行排序。

如何保存自助搜索

作为管理员,您可以保存自助查询。此功能可节省重写经常用于分析或故障排除的查询的时间和精力。以下选项随查询一起保存:

  • 应用的搜索筛选
  • 选定的数据源和持续时间

执行以下操作以保存自助服务查询:

  1. 选择所需的数据源和持续时间。

  2. 在搜索栏中键入查询。

  3. 应用所需的过滤器。

  4. 单击“保存搜索”。

  5. 指定用于保存自定义查询的名称。

    注意请

    确保查询名称是唯一的。否则,查询不会保存。

  6. 如果要定期向自己和其他用户发送搜索查询报告的副本,请启用“计划电 子邮件报告”按钮。 有关详细信息,请参阅为搜索查询安排电子邮件

  7. 单击保存

要查看保存的搜索

  1. 单击查看保存的搜索

  2. 单击搜索查询的名称。

要删除已保存的搜索

  1. 单击查看保存的搜索

  2. 选择已保存的搜索查询。

  3. 单击 删除保存的搜索

删除保存的搜索

要修改已保存的搜索

  1. 单击查看保存的搜索

  2. 单击已保存的搜索查询的名称。

  3. 根据您的要求修改搜索查询或小平面选择。

  4. 单击 更新搜索 > 保存 以更新和保存使用相同的搜索查询名称保存修改后的搜索。

  5. 如果要使用新名称保存修改后的搜索,请单击向下箭头,然后单击 另存为新搜索 > 另存为

如果用新名称替换搜索,则搜索将另存为新条目。如果在替换时保留现有搜索名称,则修改后的搜索数据将覆盖现有的搜索数据。

注意

  • 只有查询所有者可以修改或删除其保存的搜索。
  • 您可以复制保存的搜索链接地址以与其他用户共享。

为搜索查询安排电子邮件

通过设置电子邮件发送计划,您可以定期向自己和其他用户发送搜索查询报告的副本。

仅当搜索查询报告包含条形图、时间线详细信息等视觉格式的数据时,此选项才可用。否则,您无法安排电子邮件发送。例如,您可以为数据源(例如应用程序和桌面、会话)安排电子邮件,在这些数据源中,您可以将数据视为时间轴详细信息和条形图。对于用户和计算机等数据源,您只能看到表格格式的数据。因此,您无法安排电子邮件。

在保存搜索查询的同时安排电子邮件

保存搜索查询时,请按如下方式设置电子邮件发送计划:

  1. 在“保存搜索”对话框中,启用“计划电子邮件报告”按钮。

    安排邮件

  2. 输入或粘贴收件人的电子邮件地址。

    注意

    不支持电子邮件组。

  3. 设置电子邮件发送的日期和时间。

  4. 选择配送频率-每天、每周或每月。

  5. 单击保存

为已保存的搜索查询安排电子邮件

如果要为之前保存的搜索查询设置电子邮件发送计划,请执行以下操作:

  1. 单击查看保存的搜索

  2. 转到您创建的搜索查询。单击 电子邮件此查询 图标。

    注意

    只有查询所有者可以安排其保存的搜索查询的电子邮件发送。

    邮件查询

  3. 启用计 划电子邮件报告 按钮。

  4. 输入或粘贴收件人的电子邮件地址。

    注意

    不支持电子邮件组。

  5. 设置电子邮件发送的日期和时间。

  6. 选择配送频率-每天、每周或每月。

  7. 单击保存

停止搜索查询的电子邮件发送计划

  1. 单击查看保存的搜索

  2. 转到您创建的搜索查询。单击查 看电子邮件发送计划 图标。

    注意

    只有查询所有者可以停止其保存的搜索查询的电子邮件计划。

    停止电子邮件计

  3. 禁用计 划电子邮件报告 按钮。

  4. 单击保存

邮件内容

收件人会收到来自“Citrix Cloud - 通知 donotreplynotifications@citrix.com”的有关搜索查询报告的电子邮件。该报告作为 PDF 文档附件。电子邮件将按您在 计划电子邮件报告 设置中定义的定期间隔发送。

搜索查询报告包含以下信息:

  • 您为选定时段内的事件指定的搜索查询。

  • 您在事件上应用的方面(过滤器)。

  • 视觉摘要,例如时间线图、条形图或搜索事件的图表。

完全访问权限和只读访问权限管理员的权限

  • 如果您是具有完全访问权限的 Citrix Cloud 管理员,则可以使用 搜索 页面上的所有可用功能。

  • 如果您是具有只读访问权限的 Citrix Cloud 管理员,则只能在 搜索 页面上执行以下活动:

    • 通过选择数据源和时间段来查看搜索结果。

    • 输入搜索查询并查看搜索结果。

    • 查看其他管理员保存的搜索结果。

    • 导出可视摘要并将搜索结果下载为CSV文件。

有关管理员角色的信息,请参阅 管理 Citrix Analytics 的管理员角色

自助搜索