自助搜索

什么是自助搜索?

自助搜索功能使您能够查找和筛选从数据源接收的用户事件。您可以探索底层用户事件及其属性。这些事件可以帮助您识别任何数据问题并进行故障排除。搜索页面显示数据源的各个方面(维度)和衡量指标。您可以定义搜索查询并应用筛选器来查看与您定义的条件匹配的事件。默认情况下,自助搜索页面显示过去一个月的用户事件。

目前,自助搜索功能可用于以下数据源:

此外,您可以对满足定义策略的事件执行自助搜索。有关详细信息,请参阅面向策略的自助搜索

如何访问自助搜索

您可以使用以下选项访问自助搜索:

  • 顶部栏:单击顶部栏中的搜索以查看所选数据源的所有用户事件。

  • 用户配置文件页面上的风险时间线:单击事件搜索以查看相应用户的事件。

从顶栏进行自助搜索

使用此选项可从用户界面中的任何位置转到自助搜索页面。

  1. 单击搜索以查看自助服务页面。

    顶栏搜索

  2. 选择数据源和时间段以查看相应的事件。

    顶栏搜索页面

从用户风险时间表进行自助搜索

如果要查看与风险指示器关联的用户事件,请使用此选项。

当您从用户的时间轴中选择风险指示器时,风险指示器信息部分将显示在右侧窗格中。单击事件搜索以在自助搜索页面上浏览与用户关联的事件和数据源(针对其触发风险指示器)。

风险时间表搜索

有关用户风险时间表的详细信息,请参阅风险时间表

如何使用自助搜索

使用自助搜索页面上的以下功能:

搜索概述页面

使用 Facets 过滤事件

Facets 是构成事件的数据点的摘要。各个方面因数据源而异。例如,访问控制数据源的各个方面包括信誉、操作、位置和类别组。而 Virtual Apps 程序和桌面的方面是事件类型、域和平台。

选择要过滤搜索结果的平面。自助搜索页面将所选方面显示为芯片。有关与每个数据源相对应的方面的详细信息,请参阅本文前面提到的数据源的自助搜索文章。

使用搜索框中的搜索查询过滤事件

将光标置于搜索框中时,搜索框会根据用户事件显示维度列表。这些维度因数据源而异。使用维度和有效 运营商 来定义搜索条件并搜索所需事件。

例如,在访问的自助搜索中,您可以获得访问事件的以下维度。使用维键入查询,选择时间段,然后单击 搜索

搜索查询

搜索查询中支持的运算符

在搜索查询中使用以下运算符来优化搜索结果。

接线员 说明 示例 输出
为搜索查询分配值 用户名:John 显示用户 John 的事件
= 为搜索查询分配值 用户名 = John 显示用户 John 的事件
~ 搜索类似的值 用户名 ~ test 显示具有相似用户名的事件
”” 用空格分隔的值括起来 User-Name = “John Smith” 为用户显示事件约翰·史密斯
<, > 搜索关系价值 数据量 > 100 显示数据量大于 100 GB 的事件
AND 两个条件均为真的搜索值 User-Name : John AND Data Volume > 100 显示数据量大于 100 GB 的用户 John 的事件
* 搜索与字符匹配零次或多次的值 User-Name = John* 显示以 John 开头的所有用户名的事件
    User-Name = *John* 显示包含 John 的所有用户名的事件
    User-Name = *Smith 显示以 Smith 结尾的所有用户名的事件
!= 搜索条件不真的值 Country != USA 显示美国以外国家/地区的事件

不等于 (!=) 运算符对以下维度有效:

数据源 尺寸
访问控制 国家、城市、操作、URL、URL 类别、声誉、浏览器、操作系统、设备
Content Collaboration 国家、城市、客户操作系统
网关 身份验证阶段,客户端 IP
Virtual Apps and Desktops 国家、城市、应用名称、剪贴板操作、浏览器、操作系统

注意

对于 NOT AQUAL 运算符,在查询中输入维的值时,请使用数据源的自助搜索页面上可用的确切值。维度值区分大小写。

有关如何为数据源指定搜索查询的详细信息,请参阅本文前面提到的数据源的自助搜索文章。

选择查看活动的时间

选择预设时间或输入自定义时间范围,然后单击搜索以查看事件。

时间选择

查看时间线详细信息

时间轴提供选定时间段内用户事件的图形表示。移动选择器栏以选择时间范围并查看与所选时间范围对应的事件。

图中显示了访问数据的时间线详细信息。

时间轴详情

查看活动

您可以查看有关用户事件的详细信息。在 数据 表中,单击每列的箭头以查看用户事件详细信息。

图中显示了有关用户访问数据的详细信息。

事件

添加或删除列

您可以在事件表中添加或删除列以显示或隐藏相应的数据点。请执行以下操作:

  1. 单击 添加或删除列

    更新活动

  2. 从列表中选择或取消选择数据元素,然后单击 更新

    更新列

如果从列表中取消选择数据点,则会从事件表中删除相应的列。但是,您可以通过展开用户的事件行来查看该数据点。例如,当您从列表中取消选择 T IM E 数据点时, 时间 列将从事件表中删除。要查看时间记录,请展开用户的事件行。

隐藏的属性

将事件导出到 CSV 文件

将搜索结果导出为 CSV 文件并将其保存以供参考。单击导出到 CSV 格式以导出事件并下载生成的 CSV 文件。

CSV 导出

多列排序

排序有助于组织数据并提供更好的可见性。在自助搜索页面上,您可以按一列或多列对用户事件进行排序。这些列表示各种数据元素的值,例如用户名、日期和时间以及 URL。这些数据元素根据所选数据源的不同而有所不同。

要执行多列排序,请执行以下操作:

  1. 单击 “ 排序依据”。

    按排序

  2. 从 “ 排序依据 ” 列表中选择一列。

  3. 选择排序顺序-升序(向上箭头)或降序(向下箭头)以对列中的事件进行排序。

  4. 单击 + 添加列

  5. 从 T en B Y 列表中选择另一列。

  6. 选择排序顺序-升序(向上箭头)或降序(向下错误)以对列中的事件进行排序。

    注意

    您最多可以添加六列来执行排序。

  7. 单击应用

  8. 如果不想应用上述设置,请单击 取消。要删除选定列的值,请单击 “ 全部清除”。

以下示例显示了访问控制事件的多列排序。事件按时间排序(按最新到最早的顺序),然后按 URL 排序(按字母顺序排序)。

多列排序

或者,您可以使用 Shift 键执行多列排序。按住 Shift 键并单击列标题以对用户事件进行排序。

如何保存自助搜索

作为管理员,您可以保存自助查询。此功能可节省重写常用于分析或故障排除的查询所需的时间和精力。以下选项与查询一起保存:

  • 应用搜索过滤器
  • 选定的数据源和持续时间

执行以下操作以保存自助查询:

  1. 选择所需的数据源和持续时间。

  2. 在搜索栏中键入查询。

  3. 应用所需的过滤器。

  4. 单击 “ 保存搜索”。

  5. 指定用于保存自定义查询的名称。

    注意:

    确保查询名称是唯一的。否则,查询不会保存。

  6. 单击保存

要查看保存的搜索

  1. 单击查看保存的搜索

  2. 选择搜索查询。

在此示例中,自助查询是 User-Name = testuser。此外,应用的过滤器(例如 事件类型平台 )将与查询一起保存。

保存自助搜索

要删除已保存的搜索

  1. 单击查看保存的搜索

  2. 选择您保存的搜索查询。

  3. 单击 删除保存的搜索

删除保存的搜索

要修改已保存的搜索

  1. 单击查看保存的搜索

  2. 单击已保存的搜索查询的名称。

  3. 根据您的要求修改搜索查询或小平面选择。

  4. 单击 保存搜索 > 替换

如果用新名称替换搜索,则搜索将另存为新条目。如果在替换时保留现有搜索名称,则修改后的搜索数据将覆盖现有搜索数据。

注意

  • 只有查询所有者才能修改或删除其保存的搜索。
  • 您可以复制保存的搜索链接地址以与其他用户共享。
自助搜索