本文介绍 Ping32 聚合搜索 的使用方法,以及 OCR 引擎的部署与对接配置。完成配置后,可实现对多类审计 […]
本文介绍 Ping32 聚合搜索 的使用方法,以及 OCR 引擎的部署与对接配置。完成配置后,可实现对多类审计数据的一站式检索,并支持对“智能截屏”内容进行 文字识别与检索,显著提升审计取证、事件定位与合规核查效率。
一、功能概述与适用场景
聚合搜索是面向审计与安全运营的统一检索入口,可对分散在不同模块中的审计数据进行集中查询、关联展示与快速过滤,典型用途包括:
- 安全事件定位:通过用户、终端、关键字、文件名等维度快速回溯行为链路
- 合规抽查与取证:对邮件、打印、外发、截屏等记录进行集中核验与导出
- 风险排查:在既定时间范围内按模块筛选、缩小范围,提升定位效率
聚合搜索覆盖的数据类型包括:
- 泄密追踪:终端名、操作用户、文件名、泄密途径等关键字段
- 智能截屏:支持按截图中文字检索(需部署 OCR 引擎并启用策略)
- 电子邮件:终端、操作用户、收发件人、标题、正文、附件等
- 打印记录:虚拟打印、物理打印、扫描打印等审计信息
二、聚合搜索使用说明
1. 进入 Ping32控制台 点击 开始 → 聚合搜索,进入搜索界面
2. 在搜索框中输入检索关键字(如用户名、终端名、文件名、关键短语等),查询对应审计记录
3. 高级筛选(建议作为标准操作),点击右上角筛选条件,建议优先限定以下范围以提升准确性与检索性能:
- 终端范围(指定组织/部门/终端集)
- 时间范围(按事件窗口选择,避免“全量时间”检索)
- 可按模块进行过滤,缩小结果集并提高定位效率
建议:在审计排查中,优先“时间范围 + 终端范围”限定,再补充关键字与模块筛选,可明显降低无关结果。
三、OCR 引擎部署说明
OCR 引擎用于将截图/图像/文档中的文字内容进行识别与结构化处理,从而支持在聚合搜索中进行全文或关键字检索。
部署建议:
建议安装在磁盘空间较大的分区(OCR 组件及识别缓存可能占用较多空间)。
OCR 识别过程会消耗一定 CPU 资源,建议在业务低峰期部署,并评估服务器资源余量。
部署步骤:
1. 安装 Ping32 OCR 引擎(请联系厂商或服务商获取最新安装包)
2. 进入目录:OneDLP\project,按要求替换对应文件(以交付包/版本说明为准)
3. 重启 NxImage 服务,使 OCR 组件加载生效,服务启动成功后,OCR 引擎部署完成。
四、配置 Ping32 与 OCR 引擎的连接参数
1. 完成 OCR 引擎部署后,需要在 Ping32 管理端启用并配置识别参数,使系统将识别能力纳入统一处理流程。
2. 点击 开始 → 系统设置 → 高级设置 → 文字识别 → 参数设置
3. 按要求勾选以下能力项:
- 图像识别(用于智能截屏等图像类内容)
- 文档识别(用于文档类内容的识别需求)
4. 保存配置
说明:以上配置用于启用系统层面的识别能力。若未启用,即使 OCR 引擎已安装,相关数据也不会进入识别与索引流程。
五、启用“智能截屏”文字索引(检索前置条件)
要在聚合搜索中检索智能截屏中的文字内容,还需在策略中开启 智能分析,以触发对后续截屏记录的识别与索引。
1. 点击 数据安全 → 策略 → 屏幕安全 → 智能截屏 → 参数设置 → 添加,开启 智能分析
2. 保存策略配置
说明:OCR 的检索能力依赖“识别 → 建索引 → 可检索”的链路。若未启用智能分析,截图记录仅作为图片留存,默认无法进行文字检索。
六、验证与注意事项
以 智能截屏 为例进行验证:在聚合搜索中输入截图中包含的文字内容进行检索,验证结果判断标准:若能检索到对应截屏记录:说明 OCR 部署、服务加载、系统配置与策略链路均已生效。
若无法检索到结果,请优先核查:
- NxImage 服务是否正常运行
- 文字识别参数是否启用(图像识别/文档识别)
- 智能截屏策略是否启用智能分析
- 检索条件是否过于宽泛或时间范围未覆盖目标记录
重要限制说明:
仅 OCR 部署并启用策略之后产生的智能截屏记录,默认支持文字识别与检索;
OCR 部署之前生成的历史截屏记录通常不会自动补建文字索引,因此默认无法通过文字检索命中;
完成以上配置后,即可在聚合搜索中对多类审计数据进行统一检索,并实现对智能截屏内容的 OCR 文字检索能力,为审计取证与事件响应提供更高效的定位手段。
