自助搜索 Content Collaboration
使用自助搜索可深入了解从 Content Collaboration 数据源接收的用户事件。当用户使用 Content Collaboration 服务时,会生成登录、删除、下载和上传等事件。Citrix Analytics for Security 接收这些事件并将其显示在自助搜索页面上。您可以跟踪用户及其事件。
有关搜索功能的详细信息,请参阅 自助搜索。
选择 Content Collaboration 数据源
要查看 Content Collaboration 事件,请从列表中选择 C ontent Collaboration 。默认情况下,自助服务页面显示最近一天的事件。您还可以选择要查看事件的时间段。
选择要过滤事件的平面
使用与 Content Collaboration 事件关联的以下方面。
-
下载文件大小-表示从 Content Collaboration 下载的文件的大小。
-
事件类型-指示用户事件的类型,例如文件上传、文件下载、共享链接创建、会话登录、文件夹创建和共享链接删除。
指定搜索查询以筛选事件
将光标置于搜索框中可查看 Content Collaboration 事件的维度列表。使用维度和 运算符 指定查询并搜索所需的事件。
例如,您想要搜索源自印度且文件大小大于 900,000 字节的事件。如图所示,指定以下查询。
-
在搜索框中输入“Co”以获取相关建议。
-
选择 国家/地区 ,然后使用等于运算符输入值“印度”。
-
选择 AND 运算符,然后选择“文 件大小”维度。选择 ** 运算符,然后输入文件大小值(以字节为单位)。
-
选择时间段,然后单击“搜索”以查看 数据 表上的事件。
审核日志
审核日志提供了有关 Content Collaboration 管理员对用户帐户应用的权限和操作的见解。使用这些数据,您可以验证 Content Collaboration 管理员是否对用户帐户采取了有效的操作。
您可以在自助搜索中查看以下审核日志。
注意
要在 Citrix Analytics 上接收这些日志,您必须将 Citrix Content Collaboration 服务与 Citrix Workspace 集成。
| 事件 | 属性 |
|---|---|
| 通讯组创建 | 组 ID、群组共享、客户端操作系统、客户端 IP、组名称、所有者 ID、用户电子邮件 |
| 通讯组删除 | 组 ID、组名 |
| 通讯组更新 | 群组 ID,已共享 |
| DLP 更新、DLP 政策更新 | 已启用 DLP、客户端操作系统、客户端 IP、保存的格式、匿名用户启用下载、为客户端用户启用下载、为员工用户启用下载、为客户端用户启用共享、为员工用户启用共享 |
| 登录和安全策略更新 | 受信任的域、用户名、客户端操作系统、客户端 IP、事件后注销用户、最大失败登录、锁定持续时间、为用户启用双重身份验证、为员工启用双重身份验证、启用双重身份验证、用户电子邮件 |
| 报告创建、报告更新、报告删除 | 创建日期、结束日期、报告标题、循环频率、包含的子文件夹、循环、计划报告、上次运行日期、报告类型、保存的格式、保存的文件夹、开始日期 |
| SSO 设置更新 | 事件配置文件 Cookie、客户端操作系统、客户端 IP、IP 限制、激活的 SSO、登录 URL、注销 URL、IdP 类型、SP 启动的身份验证上下文、SP 启动的身份验证方法、用户电子邮件、SP 启动的重定向方法、启用的 Web 身份验证 |
恶意软件日
当 Content Collaboration 用户上传的文件感染了恶意软件时,将触发恶意软件事件 File.VirusInfected。以下日志特定于恶意软件事件。
| 事件 | 属性 |
|---|---|
File.VirusInfected |
文件创建者名称、文件所有者姓名、文件创建者电子邮件地址、文件所有者电子邮件地址、文件大小、共享文件夹名称、文件路径、文件创建日期、文件哈希、文件 ID、病毒名 |
搜索查询支持的尺寸
下表介绍了您可以在自助搜索事件中查看的维度。您可以使用这些维度来定义搜索查询。
|维度 | 说明 | 值类型 | 示例 |
|——|——-|———|———-|
| Account-ID | 表示用户的帐户 ID。 | 字符串 | adb8477a-6bf1-2108-fa4b-55dea0b8c44c |
| Active-Account| 指示用户帐户是否处于活动状态。 | 布尔值 | “True”或“False” |
| Active-Profile-Cookies | 指示 Content Collaboration 事件客户端(如移动客户端、同步引擎和 Outlook 插件)是否使用高级设置。在某些 IdP 配置中自动进行选择时,可能需要使用此参数。 | 字符串 |
| Alias-ID | 表示用户的别名 ID。 | 字符串 | testuser1 |
| Bytes-Total | 表示所下载文件的总大小 (KB)。如果同时下载多个文件(批量下载),则总字节数表示所有下载文件的总大小。 | 数量 | 105 |
| City | 表示用户登录 Content Collaboration 服务的所在城市。 | 字符串 | 芝加哥 |
| Client-IP | 表示用户网络的 IP 地址。 | 字符串 | 172.xxx.xxx.xx |
| Client-OS | 表示用户设备的操作系统。 | 字符串 | Windows 10 |
| Company-Name | 指示用户帐户的公司名称。 | 字符串 | Citrix |
| Copy ID | 指示Content Collaboration 中文件复制操作的标识。 | 字符串 | eif8c79f-fa87-0440-87b2-a0994eb029 |
| Country | 表示用户登录 Content Collaboration 服务所在的国家/地区。 | 字符串 | 美国 |
| Create-Date | 指示创建报告的日期和时间。 | 字符串 | 2021-05-25T13:54:36.167 |
| Created-By | 指示创建报告的用户。 | 字符串 | user1 |
| Creation-Date | 指示事件发生的日期。 | 字符串 | 2021-08-20T14:44:46.6161227+00:00 |
| Creator-ID | 指示创建报告的用户的 ID。 | 字符串 | 77f300f8-8d89-4891-bb58 |
| Delete-Single-Version | 指示是否删除单个文件版本。 | 布尔值 | “True”或“False” |
| Destination-File-Path | 指示移动或复制文件的目标路径。 | 字符串 | /0106-copy/123.xlsx |
| Destination-Parent-Folder-ID| 指示复制或移动文件的目标位置中父文件夹的 ID。| 字符串 | fo674450-087d-42a0-8d26-de8838a04dae |
| Destination-Path-ID| 指示复制或移动文件的目标路径的 ID。 | 字符串 | /accountID/folderID/folderID/itemID |
| Destination-Zone-ID | 指示复制或移动文件的目标路径的区域 ID。 | 字符串 | zp16ffd530-c756-44ca-9f59-7ed3376e37 |
| Device-ID | 指示与双重身份验证事件关联的设备的 ID。 | 字符串 | 450-087d-42a0-8d26-de88 |
| Disable-User-Account | 指示用户帐户是否被禁用。 | 布尔值 | “True”或“False” |
|Download-Enabled-for-Anonymous-User|指示匿名用户是否可以根据数据丢失防护 (DLP) 扫描的结果从存储区域下载文件。 | 布尔值| “True”或“False”|
|Download-Enabled-for-Client-User | 指示第三方客户端用户是否可以根据数据丢失防护 (DLP) 扫描的结果从存储区域下载文件。 | 布尔值 | “True”或“False” |
|Download-Enabled-for-Employee-User| 指示员工用户是否可以根据数据丢失防护 (DLP) 扫描的结果从存储区域下载文件。 |布尔值 | “True”或“False”|
| Download-File-Size | 表示用户下载的文件的大小(以 KB 为单位) | 数量 | 10.8 KB |
| Enabled-Web-Authentication | 指示是将 SAML IdP 配置为基于 Web 的身份验证,并且用户帐户正在使用适用于 Windows 的 ShareFile Sync、适用于 Mac 的 ShareFile Sync 还是 ShareFile Outlook 插件。 | 字符串 | “True”或“False” |
| Enabled-Two-Factor-Auth | 指示是为员工用户还是为客户端用户启用双重身份验证功能。 | 字符串 | “True”或“False” |
| Enabled-Two-Factor-Auth-for-Employees | 指示是否为员工用户启用了双重身份验证。 | 字符串 | “True”或“False” |
| Enabled-Two-Factor-Auth-for-Users | 指示是否为客户端用户启用了双重身份验证。 | 字符串 | “True”或“False” |
| End-Date| 表示未为您的 Content Collaboration 帐户生成报告的日期。|“2021-05-23T04:00:00+00:00” |
| Event-ID | 表示与用户事件关联的唯一标识。| String | 77f300f8-8d89-4891-bb58-53b05c44766d |
| Event-Type | 表示用户活动的类型,例如文件上载、文件下载、共享链接创建、会话登录、文件夹创建和共享链接删除。| String | File.Upload, Session.Login, Share.Create |
| Event-User-ID | 表示触发事件的用户的 ID。| String | 8d89-4891-bb58-53b05 |
| Expiration-Date | 表示事件的到期日期。| String | 2022-01-10T13:35:22.313236Z |
| File-Creation-Date | 表示受感染文件的创建日期。| String | 2021-05-25T13:54:36.16 |
| File-Creator-Email-Address | 表示最初创建感染了恶意软件的文件的用户的电子邮件 ID。| String | user1@citrix.com |
| File-Creator-Name | 表示最初创建感染了恶意软件的文件的用户名。| String | User1 |
| File-Download-ID | 表示文件下载事件的 ID| String | dta152b49ddc7542a0a9fe2e |
| File-Format | 表示共享文件的格式或已下载。| String | .csv, .png, .jpeg, .txt |
| File-Hash| 表示已上载文件的 MD5 哈希值。 | String | 88e300f8-8d89-4891-bb58 |
| File-ID | 表示受感染文件的唯一 ID。 | String | fib0257-1bd802-0707-44c12 |
| File-Name | 指示用户共享、上传或下载的文件的名称。 | String | Usage Report 2021 |
| File-Owner-Name | 表示受感染文件的当前所有者。 | String | User2 |
| File-Owner-Email-Address | 表示受感染文件的当前所有者的电子邮件 ID。 | String | user2@citrix.com |
| File-Path | 表示受感染文件在 Content Collaboration 中的路径 | String | /testfolder/test-file.pdf |
| File-Size | 表示受感染文件的大小(以字节为单位)。| Number | 10 B |
| First-Name |表示创建用户帐户时指定的用户。 | String | Joe |
| Folder-ID | 表示在Content Collaboration 中创建的文件夹的 ID。| String | 8d89-4891-bb58-53b05c |
| Folder-Name | 表示正在存档、创建、删除的文件夹的名称或已更新。 | String | test-folder |
| Folder-Path | 表示创建文件夹的路径。 | String | /analytics/security/sharefile/2022/new folder |
| Frequency| 表示为 Content Collaboration 帐户生成报告的重复频率。 | String | “Daily”, “Weekly”, or “Monthly” |
|Group-ID| 表示通讯组的 ID。| String |g0183f52-f219-4816-9b8e-9584e504a083 |
|Group-Name| 表示通讯组的名称。 | String| Test group 1 |
| IdP-Type | 指示为用户配置的身份提供程序的类型。 | String | |
| IP | 表示用户的 IP 地址。 | String | 172.xx.xxx.xxx |
| IP-Restrictions | 表示限制用户登录其 Content Collaboration 帐户的 IP 地址| | |
| Inactive-Logout-Duration | 表示处于不活动状态的持续时间,超过此时间后,不活动用户将从其帐户中注销。持续时间以分钟为单位。默认情况下,此持续时间设置为 1 小时(60 分钟)。| Number | 60 |
| Include-Sub Folders| 指示是否为选定的文件夹及其子文件夹创建报表。 |Boolean | “True” or “False” |
| Infected-File-Hash | 表示受感染文件的哈希值。 | String | 88e300f8-8d89-4891-bb58 |
|Is-Active| 指示是否为使用您的 IdP 的非管理员员工启用单点登录。|Boolean | “True” or “False” |
| Is-Employee | 指示用户是否是您组织的员工。| String | “True” or “False” |
| Is-Enabled | 指示是否为您的Content Collaboration 帐户启用了数据丢失防护。 | Boolean| “True” or “False” |
|Is-Recurring| 指示报表是否在固定时间间隔后生成。 | Boolean | “True” or “False”|
|Is-Scheduled|指示是否计划报告。|Boolean |“True” or “False” |
| Is-Shared | 指示是否为所有员工启用通讯组共享。 | String | “True” or “False” |
| Last-Name | 表示在创建用户帐户时指定的用户的姓氏。 | String | Smith |
|Last-Run-Date| 表示上次生成报告的时间。| String | “0001-01-01T00:00:00”|
| Lock-ID | 表示文件锁定事件的 ID。| String | cb36113c468a8c29c48 |
| Lock-Type | 表示文件锁定的类型。| String | Coauth Lock: 多个用户可以通过指定的方式使用锁定文件。|
| | | |Hard Lock: Exclusive lock |
| Locked-Out-Duration | 表示当用户登录失败并超过允许的最大登录尝试次数时,用户被锁定在其帐户之外的持续时间。持续时间以秒为单位。 | Number | 120 |
| Login-URL | I表示用户的 IdP 断言使用者服务的 URL。| String | https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=fa7a185d-d748-459|
| Logout-URL | I表示当用户注销其单点登录会话时 Content Collaboration 使用的 URL。 String | https://secure.sharefiletest.com |
| Maximum-Failed-Attempts| I表示允许用户在特定时间段内被锁定在帐户之外之前尝试输入无效密码的最大次数。| Number | 5 |
| Maximum-Download-per-User | I 表示允许每位用户从共享链接中执行的最大下载次数。|1, 2, 3 |
| Notify Sender | 指示是否将文件共享通知发送给发件人。 | Boolean | “True” or “False” |
| OAuth-Client-ID | 表示使用授权服务器的用户的唯一 ID。 | String |Dzi4UPUAg5l8beKjioecdchmHUTWWln9 |
| Operation-Name | 指示对 Content Collaboration 执行的操作类型。 | String | Create, Delete, Upload, Download, Share, Login, Copy, Update |
| Owner-ID | 表示通讯组的所有者 ID。| String | 10812e09-ab02-4115-8405-8uas5e71258f |
|Parent-Folder-ID | 表示复制或移动文件的源位置中的父文件夹的 ID | String | fo674450-087d-42a0-8d26-de8838a04dae|
| Path ID | 表示从中复制或移动文件的源路径的 ID。| String |/accountID/folderID/folderID/itemID |
|Permanently-Delete | 指示是否永久删除文件。 | Boolean | “True” or “False” |
| Primary-Email | 表示触发事件的用户的电子邮件 | String | testuser@citrix.com |
| Recipient-ID | 表示第一个触发事件的用户的 ID共享活动中的收件人用户。| String | 10812e09-ab02-4115-8405|
|Report-Type| 表示创建的报表类型。下面是报告类型及其对应的 ID。 | Number | 0, 2, 10 |
| |0- A访问报告| | |
| |1- A活动报告| | |
| |2- S存储报告| | |
| |3- M消息报告| | |
| |4- B带宽详细报告| | |
| |5- B带宽摘要报告| | |
| |6- E加密电子邮件报告| | |
| |7- S存储摘要报告| | |
| |8- U用户摘要报告| | |
| |9- A访问变更报告| | |
| |10- S共享发送报告| | |
| |11- S共享请求报告| | |
| Require-Login | I指示访问共享链接是否需要用户登录。 Boolean | True 或 False |
| Require-User-Info | 指示访问共享链接是否需要用户信息。| Boolean | True 或 False |
| Resource-ID | 表示资源的 ID。 | String | 6bf1-2108-fa4b-55dea0b |
| Resource-Type | 表示要对其执行操作的资源。|String | File, Users, Session, Account |
| Shared-Folder-Name | 表示上载受感染文件的共享文件夹。 | String | test folder |
| SP-Initiated Auth Context | 表示身份验证上下文的比较级别。使用“精确”比较时,IdP 需要与选定的身份验证方法匹配。或者在使用“最小值”比较时使用更高的相对强度方法。| String |“最小值”或“精确”|
| SP-Initiated-Auth-Method | 表示身份验证上下文的方法。根据选择,它可以是未指定、用户名和密码、受密码保护的传输、传输层安全客户端、X.509 证书、集成 Windows 身份验证或 Kerberos。 | String | urn:oasis:names:tc:SAML:2.0:ac:classes:Password |
| SP-Initiated-Redirect-Method | I表示方法SP 根据Content Collaboration 提供的证书大小启动重定向。 String | “Default”, “HTTP” or “POST” |
|Save-Format|表示已保存报告的格式。 |String |“Excel” or “CSV”|
| Save-To-Folder| 指示是否应将报表保存在特定文件夹中。 | Boolean | “True” or “False” |
| Server-Name | 表示从中下载或共享文件的服务器。| String | Citrix-SZC |
| Share-Type | 表示共享链接的类型。类型可以是“发送”或“请求”。发送共享用于向指定用户发送文件和文件夹。请求共享用于允许用户将文件上传到共享所有者指定的位置。| 0: Request, 1: Send | 0, 1 |
| Shared-Folder-Name | 表示共享文件夹的名称。| String | test folder |
|Sharing-Enabled-for-Client User|指示第三方客户端用户是否可以从中共享文件基于数据丢失防护 (DLP) 扫描结果的存储区域。 | Boolean | “True” or “False”|
|Sharing-Enabled-for-Employee-User |根据数据丢失防护 (DLP) 扫描的结果,指示员工用户是否可以共享存储区域中的文件。|Boolean | “True” or “False”|
|Start-Date |表示为Content Collaboration 帐户生成报告的起始日期。 |String |“2021-05-23T04:00:00+00:00” |
| Storage-Center-Server|表示从中下载文件的客户端服务器的主机名。 |String |sf-downloadstreamer-sharefile-us.test.com |
| Stream-ID | 表示项目流的 ID。项目表示文件系统对象的单个版本。该流标识同一文件系统对象的所有版本。例如,当用户上传或修改现有文件时,将使用相同的 Stream ID 创建一个新项目。所有项目枚举仅返回给定流的最新版本。 | String | st279e5d-cahg-4f8-824f-34a3704840c |
| Support-File-Versioning | I指示是否有多个版本的文件已上传。| Boolean | “True” or “False” |
| Template-Based-Folder | I指示文件夹是否基于预定义的文件夹模板创建。| Boolean | True 或 False |
|Title |表示为您的Content Collaboration 帐户生成的报告的标题。 |String | Test report|
|Trusted-Domains |表示允许进行 iframe 嵌入和跨域资源共享的域。 |String |citrix.com |
| Upload-File-Size | 表示用户上传的文件的大小(以千字节为单位)。 | Number | 10 KB |
| Upload-ID | 表示文件上载操作的 ID。 | String | st279e5d-cahg-4f8-824f-34a3704840c |
| User-Email | 表示电子邮件与 Citrix Analytics 帐户关联的地址。| String | testuser@citrix.com |
| User-ID |表示共享文件的用户的 ID。 | String | test user |
| User-Name | 表示触发事件的用户的姓名。 | String | kevin.smith@citrix.com |
| View-only | 指示下载文件是否处于只读模式。| Boolean | “True” or “False” |
| Virus-Name | 表示感染该文件的恶意软件的名称。| String | {HEX}EICAR.TEST.3.UNOFFICIAL |
| Watermark | 表示是否下载文件包含水印。 | Boolean | “True” or “False” |
| Zone-ID | 表示文件夹所在的存储区域的 ID | String | zpB65440AE-4FBC-4405-BE2F-2B9CDE962C82 |