自助搜索
什么是自助搜索
自助搜索功能使您能够查找和筛选从数据源接收的用户事件。您可以浏览底层用户事件及其属性。这些事件可帮助您识别任何数据问题并进行故障排除。搜索页面显示数据源的各个方面(维度)和量度。您可以定义搜索查询并应用筛选器来查看符合定义条件的事件。默认情况下,自助搜索页面显示最近一天的用户事件。
目前,自助搜索功能可用于以下数据源:
此外,您还可以对符合定义策略的事件执行自助搜索。有关详细信息,请参阅面向策略的自助搜索。
如何访问自助搜索
您可以使用以下选项访问自助搜索:
-
顶栏:单击顶栏中的 搜索 可查看所选数据源的所有用户事件。
-
用户个人资料页面上的风险时间表:单击 事件搜索 可查看相应用户的事件。
从顶部栏进行自助搜索
使用此选项可从用户界面中的任何位置转到自助搜索页面。
-
单击 搜索 以查看自助服务页面。
-
选择数据源和时间段以查看相应的事件。
从用户的风险时间表进行自助搜索
如果要查看与风险指示器关联的用户事件,请使用此选项。
当您从用户的时间轴中选择风险指示器时,风险指示器信息部分将显示在右侧窗格中。单击 事件搜索 可在自助搜索页面上浏览与用户和数据源关联的事件(为其触发风险指示器)。
有关用户风险时间表的更多信息,请参阅 风险时间表。
如何使用自助搜索
使用自助搜索页面上的以下功能:
-
用于输入查询和筛选事件的搜 索框。
-
用于选择时间 段的时间选择器。
-
查看事件图表的时间轴详细信息 。
-
用于查看事件的事件数据 。
-
导出为 CSV 格式 ,将搜索事件下载为 CSV 文件。
-
导出可视摘要 以下载搜索查询的可视摘要报告。
-
多列排序 ,按多列对事件进行排序。
使用 Facets 过滤事件
Facets 是构成事件的数据点的摘要。Facet 因数据源而异。例如,Secure Private Access 数据源的方面是信誉、操作、位置和类别组。而应用程序和桌面的方面是事件类型、域和平台。
选择要过滤搜索结果的平面。选定的小平面显示为筹码。
有关与每个数据源相对应的方面的详细信息,请参阅本文前面提到的数据源的自助搜索文章。
使用搜索框中的搜索查询过滤事件
将光标置于搜索框中时,搜索框会根据用户事件显示维度列表。这些维度因数据源而异。使用维度和有效 运算符 定义搜索条件并搜索所需的事件。
例如,在应用程序和桌面的自助搜索中,您将获得维度 Browser 的以下值。使用维度键入查询,选择时间段,然后单击 搜索。
当选择某些维度(例如 Event-Type 和 Clipboard-Operation 以及有效的运算符)时,维度的值会自动显示。您可以从建议的选项中选择一个值,也可以根据需要输入一个新值。
搜索查询中支持的运算符
在搜索查询中使用以下运算符来优化搜索结果。
| 操作员 | 说明 | 示例 | 输出 |
|---|---|---|---|
: |
为搜索维度分配一个值。 | 用户名:John | 显示用户 John 的事件。 |
= |
为搜索维度分配一个值。 | 用户名 = John | 显示用户 John 的事件。 |
~ |
搜索具有相似值的事件。 | 用户名 ~ test | 显示具有相似用户名的事件。 |
"" |
用空格分隔的值括起来。 | User-Name = “John Smith” | 显示用户约翰·史密斯的事件。 |
< >
|
搜索关系价值。 | 数据量 > 100 | 显示数据量大于 100 GB 的事件。 |
AND |
搜索指定条件为真的事件。 | User-Name : John AND Data Volume > 100 | 显示用户 John 的事件,其中数据量大于 100 GB。 |
!~ |
检查事件中指定的匹配模式。此 NOT LIKE 运算符返回事件字符串中任意位置不包含匹配模式的事件。 | User-Name !~ John | 显示除 John、John Smith 或包含匹配名称“John”的任何此类用户以外的用户的事件。 |
!= |
检查事件是否确切指定的字符串。此 NOT EQUAL 运算符返回事件字符串中任意位置不包含确切字符串的事件。 | Country != USA | 显示除美国以外国家/地区的事件。 |
* |
搜索与指定字符串匹配的事件。目前,只有以下运算符 :、= 和 != 才支持 * 运算符。搜索结果区分大小写。 |
User-Name = John* | 显示以 John 开头的所有用户名的事件。 |
| User-Name = *John* | 显示包含 John 的所有用户名的事件。 | ||
| User-Name = *Smith | 显示以 Smith 结尾的所有用户名的事件。 | ||
| 用户名:John* | 显示以 John 开头的所有用户名的事件。 | ||
| 用户名:*John* | 显示包含 John 的所有用户名的事件。 | ||
| 用户名:*Smith | 显示以 Smith 结尾的所有用户名的事件。 | ||
| User-Name != John* | 显示不以 John 开头的所有用户名的事件。 | ||
| User-Name != *Smith | 显示不以 Smith 结尾的所有用户名的事件。 | ||
IN |
为搜索维度分配多个值以获取与一个或多个值相关的事件。注意:目前,您可以将此运算符用于应用程序和桌面的以下维度:Device ID、Domain、Event-Type 和 User-Name。此运算符仅适用于字符串值。 |
User-Name IN (John, Kevin) | 查找与约翰或凯文相关的所有事件。 |
NOT IN |
为搜索维度分配多个值,然后查找不包含指定值的事件。注意:目前,您可以将此运算符用于应用程序和桌面的以下维度:Device ID、Domain、Event-Type 和 User-Name。此运算符仅适用于字符串值。 |
User-Name NOT IN (John, Kevin) | 查找除 John 和 Kevin 之外的所有用户的事件。 |
IS EMPTY |
检查维度的空值或空值。此运算符仅适用于字符串类型的维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型的维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
国家/地区 IS EMPTY | 查找国家名称不可用或为空(未指定)的事件。 |
IS NOT EMPTY |
检查维度的非空值或特定值。此运算符仅适用于字符串类型的维度,例如 App-Name、Browser 和 Country。它不适用于非字符串(数字)类型的维度,例如 Upload-File-Size、Download-File-Size 和 Client-IP。 |
国家/地区 IS NOT EMPTY | 查找可用或指定了国家/地区名称的事件。 |
注意
对于 NOT EQUAL 运算符,在为查询中的维度输入值时,请使用自助搜索页面上提供的数据源的精确值。尺寸值区分大小写。
有关如何为数据源指定搜索查询的详细信息,请参阅本文前面提到的有关数据源的自助搜索文章。
选择查看活动的时间
选择预设时间或输入自定义时间范围,然后单击 搜索 以查看事件。
查看时间轴详细信息
时间轴提供所选时间段内用户事件的图形表示。移动选择器栏以选择时间范围并查看与所选时间范围对应的事件。
图中显示了访问数据的时间轴详细信息。
查看活动
您可以查看有关用户事件的详细信息。在 DATA 表中,单击每列的箭头以查看用户事件详细信息。
图中显示了有关用户访问数据的详细信息。
添加或删除列
您可以在事件表中添加或删除列以显示或隐藏相应的数据点。请执行以下操作:
-
单击 添加或删除列。
-
从列表中选择或取消选择数据元素,然后单击“更新”。
如果从列表中取消选择一个数据点,则会从事件表中删除相应的列。但是,您可以通过展开用户的事件行来查看该数据点。例如,当您从列表中取消选择 TIME 数据点时,TIME 列将从事件表中移除。要查看时间记录,请展开用户的事件行。
将事件导出到 CSV 文件
将搜索结果导出为 CSV 文件并保存以供参考。单击 导出为 CSV 格式 以导出事件并下载生成的 CSV 文件。您可以使用导出为 CSV 格式功能导出 100K 行。
导出视觉摘要
您可以下载搜索查询的可视摘要报告,并与其他用户、管理员或管理团队共享副本。
单击 导出可视摘要 以 PDF 格式下载视觉摘要报告。该报告包含以下信息:
-
您为选定时间段内的事件指定的搜索查询。
-
在所选时间段内,您在事件上应用的方面(过滤器)。
-
可视摘要,例如时间轴图、条形图或选定时间段内搜索事件的图形。
对于数据源,只有在以条形图、时间线详细信息等视觉格式显示数据时,才能下载可视摘要报告。否则,此选项不可用。例如,您可以下载数据源的可视化摘要报表,例如应用程序和桌面、会话,您可以在其中查看时间轴详细信息和条形图的数据。对于用户和计算机等数据源,您只能看到表格格式的数据。因此,您无法下载任何视觉摘要报告。
多列排序
排序有助于组织数据并提供更好的可见性。在自助搜索页面上,您可以按一列或多列对用户事件进行排序。这些列表示各种数据元素的值,例如用户名、日期和时间以及 URL。这些数据元素因选定的数据源而异。
要执行多列排序,请执行以下操作:
-
单击“排序方式”。
-
从“排序方式”列表中选择一列。
-
选择排序顺序-升序(向上箭头)或降序(向下箭头)以对列中的事件进行排序。
-
单击 + 添加列。
-
从“然后依 据”列表中选择另一列。
-
选择排序顺序-升序(向上箭头)或降序(向下错误)以对列中的事件进行排序。
注意
您最多可以添加六列来执行排序。
-
单击应用。
-
如果不想应用上述设置,请单击“取消”。要删除所选列的值,请单击“全部清除”。
以下示例显示了对 Secure Private Access 事件的多列排序。事件按时间排序(从最新到最早的顺序),然后按 URL(按字母顺序)排序。
或者,您可以使用 Shift 键执行多列排序。按住 Shift 键并单击列标题以对用户事件进行排序。
如何保存自助搜索
作为管理员,您可以保存自助查询。此功能可节省重写经常用于分析或故障排除的查询的时间和精力。以下选项随查询一起保存:
- 应用的搜索筛选
- 选定的数据源和持续时间
执行以下操作以保存自助服务查询:
-
选择所需的数据源和持续时间。
-
在搜索栏中键入查询。
-
应用所需的过滤器。
-
单击“保存搜索”。
-
指定用于保存自定义查询的名称。
注意请
确保查询名称是唯一的。否则,查询不会保存。
-
如果要定期向自己和其他用户发送搜索查询报告的副本,请启用“计划电 子邮件报告”按钮。 有关详细信息,请参阅为搜索查询安排电子邮件。
-
单击保存。
要查看保存的搜索:
-
单击查看保存的搜索。
-
单击搜索查询的名称。
要删除已保存的搜索:
-
单击查看保存的搜索。
-
选择已保存的搜索查询。
-
单击 删除保存的搜索。
要修改已保存的搜索:
-
单击查看保存的搜索。
-
单击已保存的搜索查询的名称。
-
根据您的要求修改搜索查询或小平面选择。
-
单击 更新搜索 > 保存 以更新和保存使用相同的搜索查询名称保存修改后的搜索。
-
如果要使用新名称保存修改后的搜索,请单击向下箭头,然后单击 另存为新搜索 > 另存为。
如果用新名称替换搜索,则搜索将另存为新条目。如果在替换时保留现有搜索名称,则修改后的搜索数据将覆盖现有的搜索数据。
注意
- 只有查询所有者可以修改或删除其保存的搜索。
- 您可以复制保存的搜索链接地址以与其他用户共享。
为搜索查询安排电子邮件
通过设置电子邮件发送计划,您可以定期向自己和其他用户发送搜索查询报告的副本。
仅当搜索查询报告包含条形图、时间线详细信息等视觉格式的数据时,此选项才可用。否则,您无法安排电子邮件发送。例如,您可以为数据源(例如应用程序和桌面、会话)安排电子邮件,在这些数据源中,您可以将数据视为时间轴详细信息和条形图。对于用户和计算机等数据源,您只能看到表格格式的数据。因此,您无法安排电子邮件。
在保存搜索查询的同时安排电子邮件
保存搜索查询时,请按如下方式设置电子邮件发送计划:
-
在“保存搜索”对话框中,启用“计划电子邮件报告”按钮。
-
输入或粘贴收件人的电子邮件地址。
注意
不支持电子邮件组。
-
设置电子邮件发送的日期和时间。
-
选择配送频率-每天、每周或每月。
-
单击保存。
为已保存的搜索查询安排电子邮件
如果要为之前保存的搜索查询设置电子邮件发送计划,请执行以下操作:
-
单击查看保存的搜索。
-
转到您创建的搜索查询。单击 电子邮件此查询 图标。
注意
只有查询所有者可以安排其保存的搜索查询的电子邮件发送。
-
启用计 划电子邮件报告 按钮。
-
输入或粘贴收件人的电子邮件地址。
注意
不支持电子邮件组。
-
设置电子邮件发送的日期和时间。
-
选择配送频率-每天、每周或每月。
-
单击保存。
停止搜索查询的电子邮件发送计划
-
单击查看保存的搜索。
-
转到您创建的搜索查询。单击查 看电子邮件发送计划 图标。
注意
只有查询所有者可以停止其保存的搜索查询的电子邮件计划。
-
禁用计 划电子邮件报告 按钮。
-
单击保存。
邮件内容
收件人会收到来自“Citrix Cloud - 通知 donotreplynotifications@citrix.com”的有关搜索查询报告的电子邮件。该报告作为 PDF 文档附件。电子邮件将按您在 计划电子邮件报告 设置中定义的定期间隔发送。
搜索查询报告包含以下信息:
-
您为选定时段内的事件指定的搜索查询。
-
您在事件上应用的方面(过滤器)。
-
视觉摘要,例如时间线图、条形图或搜索事件的图表。
完全访问权限和只读访问权限管理员的权限
-
如果您是具有完全访问权限的 Citrix Cloud 管理员,则可以使用 搜索 页面上的所有可用功能。
-
如果您是具有只读访问权限的 Citrix Cloud 管理员,则只能在 搜索 页面上执行以下活动:
-
通过选择数据源和时间段来查看搜索结果。
-
输入搜索查询并查看搜索结果。
-
查看其他管理员保存的搜索结果。
-
导出可视摘要并将搜索结果下载为CSV文件。
-
有关管理员角色的信息,请参阅 管理 Citrix Analytics 的管理员角色。