面向策略的自助搜索

Citrix Analytics 允许您在用户策略上创建操作和执行异常或可疑事件账户。当用户事件满足您定义的策略时,这些操作会自动应用于用户帐户,以隔离威胁并防止将来发生异常事件。使用自助搜索,您可以查看符合您定义策略的用户事件,并查看对这些异常事件应用的操作。

有关搜索功能的详细信息,请参阅[自助搜索(/zh-cn/citrix-analytics/self-service-search.html)。

选择策略数据集

要查看与已定义策略相关的事件,请在搜索框中从列表中选择 策略 。选择要查看事件的时间段,然后单击搜索

策略选择

默认情况下,自助服务页面显示过去一个月的事件。此页面还为您提供了几个方面和一个搜索框,用于筛选和聚焦所需事件。

策略页面

注意

您还可以从安全 > 用户 > 策略和操作控制板访问“面向策略的自助搜索”页面。在控制板上选择策略以查看与策略相关的用户事件。有关详细信息,请参阅策略和操作控制板。

选择要筛选事件的面

方面列表显示对用户事件应用的操作。从方面列表中选择应用的操作,并根据应用的操作查看事件。有关配置策略时可应用的操作的详细信息,请参阅什么是行动?

策略筛选器

例如,您希望查看 Analytics 已应用 停止会话录制 操作的事件。选择“ 停止会话录制 ”方面和要查看事件的时间段。单击“ 搜索 ”以查看事件。

策略示例

指定搜索查询以筛选事件

将光标置于搜索框中,以查看与策略相关的事件的维度列表。使用维度指定查询并搜索所需事件。

策略层面

您还可以在搜索查询中使用运算符来扩展搜索条件并获取所需结果。有关有效运算符的详细信息,请参阅使用搜索框中的搜索查询来筛选事件

例如,您希望查看用户“user8”的异常事件,其中应用于这些事件的动作是“禁用用户”。

  1. 在搜索框中输入“user”以获取相关尺寸。

    策略查询 1

  2. 选择用 户名 并使用相等运算符输入值“user8”。

    策略查询 2

  3. 选择 AND 算符,然后选择 应用的操 作维度。使用相等运算符输入字符串“禁用 用户”应 用的操作。

    注意

    如果字符串值包含两个或多个单词,则必须用运算符“”括起来。例如,“禁用用户”,“停止会话录制”。

    策略查询 3

    若要标识“ 应用操作”的可能字符串值,请展开方面列表,并在搜索查询中使用筛选器名称作为字符串。

    策略方面的价值观

  4. 选择时间段,然后单击“ 搜索 ”以查看 数据 表上的事件。