安全数据导出视图包含摘要选项卡，可帮助管理员解决其 SIEM 与 Citrix Analytics 的集成问题。摘要控制板通过有助于故障排除过程的检查点，让您可以查看数据的运行状况和流向。

摘要 选项卡构成了“数据导出”视图中自助故障排除工作流程的基础。它使用以下三张卡来描述您的 SIEM 设置：

Citrix Analytics 中的可用数据 卡显示了最终可为 Citrix Analytics for Security 提供的 SIEM 见解的数据源的数量。目前支持四个数据源进行数据导出：应用程序和桌面、Content Collaboration、网关和安全私有访问。即使这些数据源已加载，对于已关闭数据处理的数据源，数据导出也不会起作用。检测到此类数据源时，会显示相应的警告消息，例如上图所示的警告。

查看过去 7 天的事件 按钮会将管理员重定向到自助搜索视图，管理员可以通过该视图验证事件是否已流入 Citrix Analytics for Security。“载入数据源”按钮重定向到“数据源”视图，您可以在其中深入了解入职流程。

SIEM 消费的可用事件 卡显示预计流入您的 SIEM 环境的 Insight 和数据源事件的数量及其各个细分情况。扩展后，还可以进一步细分每种类型的导出数据事件。

“SIEM 的数据消耗”卡片描述了 Citrix Analytics 准备的数据流向您的 SIEM 环境的运行状况。数据消耗状态基于您的 Kafka 主题内的偏移量。如果可用，该卡还会显示上次检测到成功数据消耗的时间戳。数据消耗状态和时间戳每隔 10 分钟刷新一次。单击 此处 了解有关 Kafka 消费者群体/抵消量管理的更多信息。

数据消耗状态可以呈现四种状态：

没有数据导出历史记录：此状态由橙色圆点表示，表示 Citrix Analytics 准备的任何数据从未成功传送到您的 SIEM 环境。

这可能是由于-

数据源配置不正确/不完整。 Citrix Analytics 卡中的可用数据 可用于验证是否有足够的数据源，以及它们是否已开启数据处理以允许导出。

缺乏用户活动。 Citrix Analytics 卡中的可用数据中的“查看最近 7 天的事件”按钮可用于验证是否存在用户活动。此外， SIEM 消费的可用事件 卡可用于验证 Citrix Analytics 是否准备好流入您的 SIEM 的任何洞察或数据源事件。

SIEM 设置不正确/不完整。验证“配置”选项卡中的“帐户设置”阶段是否已成功完成。如果设置完成，则在帐户设置阶段会出现绿色勾号。

如果即使在成功设置帐户后状态仍未改变，请通过检查以下内容进一步排除故障：

防火墙问题或 SIEM 设置配置错误-请参阅 设置 SIEM 环境。

Kafka 帐户设置或您的 SIEM 环境存在凭证问题 — 请参阅 使用 Kafka 进行 SIEM 集成。

未检测到活跃消耗：此状态表示至少在过去 10 分钟内，数据未成功流入您的 SIEM 环境。该卡片还将显示上次成功移动数据的时间戳。与 没有数据导出历史记录一样，可以通过使用 Citrix Analytics 中的可用数据 和 SIEM 消费卡的可用事件进行故障排除。如果有足够的用户活动且可用事件数量增加，则最好将重点放在最后一次成功的时间戳上，以检查在所述时间戳之后是否发生了任何防火墙更改或密码轮换。

7 天前导出：此状态表示上次检测到您的 SIEM 上的活跃消费是在一周多以前。与上述两种状态类似，如果这是检测到的数据消耗状态，请使用 Citrix Analytics 中的可用数据和 SIEM 消费卡的可用事件对 SIEM 设置进行故障排除。

注意

Kafka 保留策略：Citrix Analytics Kafka 主题最多只能保留活动 7 天。为避免或防止潜在的数据丢失，建议将数据轮询间隔设置为不超过 7 天。

检测到有效消费：此状态表示已在您的 SIEM 上检测到主动消费。

摘要 选项卡辅以 数据导出快速指南 刀片，可简化 SIEM 设置的部署、管理和故障排除。除了提供有关“数据导出安全性”视图的全面指南外，快速指南还通过提供相关文档的链接，包括有关如何设置和管理 SIEM 环境的有用提示。

配置 选项卡在指导部署设置的同时，还可以帮助管理员在设置 SIEM 时提供有用的提示、警告消息和常见陷阱。在以下情况下会显示相应的警告：

Citrix Analytics 检测到尚未载入任何数据源。建议载入应用程序和桌面，以便根据用户活动收集遥测数据。在没有载入数据源的情况下，即使您的 SIEM 设置可能已成功完成，也不会观察到任何数据流。

如下图所示，在成功完成帐户设置之前，SIEM 环境设置和导出阶段的数据事件将被禁用。

数据导出已关闭。导出数据事件阶段的警告旨在提醒用户启用“数据导出”以使所有更改生效。

在导出数据事件阶段，如果禁用了特定数据源的数据导出，则任何数据源事件都不会流向 SIEM。必须通过配置和选择所需的数据源事件类型来启用此功能。此外，请确保启用相应数据源的数据处理，以确保数据到达 Citrix Analytics。