Self-Service-Suche für Gateway
Nutzen Sie die Self-Service-Suchfunktion, um Einblicke in die Benutzerereignisse zu erhalten, die von der Citrix Gateway-Datenquelle empfangen werden. Wenn Benutzer über Citrix Gateway auf ihre Netzwerkressourcen wie Dateiserver, Anwendungen und Websites zugreifen, werden für jede Benutzerverbindung Ereignisse generiert. Einige Beispiele für Benutzerereignisse sind Authentifizierungsphase, Autorisierungstyp und VPN-Sitzungscode. Citrix Analytics for Security™ empfängt diese Ereignisse und zeigt sie auf der Self-Service-Suchseite an. Sie können die Benutzer und deren Zugriffsdetails einsehen.
Weitere Informationen zu den Suchfunktionen finden Sie unter Self-Service-Suche.
Gateway-Datenquelle auswählen
Um die Gateway-Ereignisse anzuzeigen, wählen Sie Gateway aus der Liste aus. Standardmäßig zeigt die Self-Service-Seite die Ereignisse des letzten Tages an. Sie können auch den Zeitraum auswählen, für den Sie die Ereignisse anzeigen möchten.
Hinweis
Alternativ können Sie die Self-Service-Suchseite für Gateway über das Dashboard Security > Users > Access Summary aufrufen. Bei erfolgreichen Anmeldeszenarien können Sie die Daten nach dem Statuscode abrufen. Weitere Informationen finden Sie im Dashboard Access Summary.
Facetten zum Filtern von Ereignissen verwenden
Die Facetten sind basierend auf den von Ihrer Datenquelle empfangenen Ereignissen kategorisiert. Verwenden Sie die folgenden Facetten, um Ihre Ereignisse zu filtern:
-
Authentication Stage (Authentifizierungsphase) – Suchen Sie Ereignisse basierend auf verschiedenen Phasen der Client-Authentifizierung, wie primär, sekundär und tertiär.
-
Authentication Type (Authentifizierungstyp) – Suchen Sie Ereignisse basierend auf den Client-Authentifizierungstypen wie Lokal, RADIUS, LDAP, TACACS, Client-Zertifikatsauthentifizierung einschließlich Smartcard-Authentifizierung.
-
Device Agent (Geräteagent) – Suchen Sie Ereignisse basierend auf den Client-Geräten wie iPhone, iPad, Windows Mobile.
-
Record Type (Datensatztyp) – Suchen Sie Ereignisse basierend auf den Typen von VPN-Datensätzen. Folgende VPN-Datensatztypen sind verfügbar:
Datensatztyp Beschreibung VPN_AI Filtert Benutzerereignisse im Zusammenhang mit der Authentifizierung. VPN_IF Filtert Benutzerereignisse im Zusammenhang mit der ICA®-Datei. VPN_ST Filtert Benutzerereignisse im Zusammenhang mit der Sitzungsabmeldung. -
Browser – Suchen Sie Ereignisse basierend auf den Browsern wie Internet Explorer, Chrome, Firefox, Safari.
-
OS (Betriebssystem) – Suchen Sie Ereignisse basierend auf den Client-Betriebssystemen wie Windows, Mac, Linux, Android, iOS.
-
Status Code (Statuscode) – Suchen Sie Ereignisse basierend auf den VPN-Statuscodes wie SSL-Umleitungsantwortfehler, Autorisierungsfehler, Single Sign-On fehlgeschlagen.
-
Session State (Sitzungsstatus) – Suchen Sie Ereignisse basierend auf den VPN-Sitzungsstatus wie Client-Status, Autorisierungsstatus, SSO-Status, Anwendungsbandbreiten-Update.
-
Session Mode (Sitzungsmodus) – Suchen Sie Ereignisse basierend auf den VPN-Sitzungsmodi wie Full Tunnel, ICA Proxy, Clientless.
-
SSO Authentication Method (SSO-Authentifizierungsmethode) – Suchen Sie Ereignisse basierend auf verschiedenen Methoden der Single Sign-On-Authentifizierung wie Basic, Digest, NTLM, Kerberos, AG Basic, formularbasiertes SSO.
-
Logout Mode (Abmeldemodus) – Suchen Sie Ereignisse basierend auf den VPN-Abmeldemodi wie interner Fehler bei der Abmeldung, Sitzungs-Timeout bei der Abmeldung, vom Benutzer initiierte Abmeldung, vom Administrator beendete Sitzung.
Suchabfrage zum Filtern von Ereignissen angeben
Platzieren Sie Ihren Cursor im Suchfeld, um die Liste der Dimensionen für die Gateway-Ereignisse anzuzeigen. Verwenden Sie die Dimensionen und die Operatoren, um Ihre Abfrage anzugeben und nach den erforderlichen Ereignissen zu suchen.
Sie möchten beispielsweise die Ereignisse für einen Benutzer “ns133” anzeigen, bei dem der VPN-Statuscode “successful login” lautet.
-
Geben Sie “user” in das Suchfeld ein, um die zugehörige Dimension auszuwählen.
-
Wählen Sie User-Name und geben Sie den Wert “ns133” mit dem Gleichheitsoperator ein.
-
Wählen Sie den Operator AND und dann die Dimension Status Code aus. Geben Sie die Zeichenfolge “Successful login” für Status Code mit dem Gleichheitsoperator ein.
Um die möglichen Zeichenfolgenwerte für Status Code zu identifizieren, erweitern Sie die Filterliste Status Code und verwenden Sie den Filternamen als Zeichenfolge in Ihrer Suchabfrage.
-
Wählen Sie den Zeitraum aus und klicken Sie auf Search, um die Ereignisse in der Tabelle DATA anzuzeigen.
Unterstützte Werte für Ihre Suchabfrage
Geben Sie die folgenden Werte für die Dimensionen ein, um Ihre Suchabfrage zu definieren.
Access-Insight-Flags
Gibt die VPN-Sitzungsstatus an. Geben Sie einen der folgenden Flag-Werte ein:
| VPN-Sitzungsstatus | Flag-Wert |
|---|---|
| Vorauthentifizierung | 2 |
| Letzter oder finaler Status der nFactor (Multi-Faktor)-Authentifizierung | 1 |
| Nachauthentifizierung | 4 |
Hinweis
Dieses Flag ist nur für die vorangehenden VPN-Sitzungsstatus für die Authentifizierungsereignisse anwendbar. Für alle anderen Ereignisse ist der Flag-Wert Null.
Applications-Byte-Consumption
Geben Sie für die Dimension Applications-Byte-Consumption den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: 40, 100
|
Zahl | Von der verwendeten Anwendung verbrauchte Daten (in Bytes). |
Authentication-Servers-IP
Geben Sie für die Dimension Authentication-Servers-IP den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 10.xxx.xx.xx
|
Zeichenfolge | IP-Adresse des Authentifizierungsservers. |
Authentication-Stage
Geben Sie für die Dimension Authentication-Stage den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Primary, Secondary oder Tertiary
|
Zeichenfolge | Verschiedene Phasen der Client-Authentifizierung. |
Authentication-Type
Geben Sie für die Dimension Authentication-Type den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
LDAP,SAML, Local, Radius, TACACS, SAMLIDP oder OTP. |
Zeichenfolge | Authentifizieren Sie Ihre Benutzer über eine der verfügbaren Methoden. |
Backend-Server-Name
Geben Sie für die Dimension Backend-Server-Name den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 10.xxx.xxx.xx
|
Zeichenfolge | IP-Adresse des Backend-Servers. |
Browser
Geben Sie für die Dimension Browser den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
PN Agent, Edge, Firefox, Chrome oder Safari. |
Zeichenfolge | Verwendeter Browser. |
City
Geben Sie für die Dimension City den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: Boston, Beijing
|
Zeichenfolge | Stadt, von der aus sich der Benutzer angemeldet hat. |
Client-IP
Geben Sie für die Dimension Client-IP den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 10.xxx.xxx.xx
|
Zeichenfolge | IP-Adresse des Benutzergeräts. |
Client-IP-Type
Geben Sie für die Dimension Client-IP-Type den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
| public, private | Zeichenfolge | Gibt an, ob die IP-Adresse des Benutzers öffentlich oder privat ist. |
Hinweis
Die Werte sind Groß- und Kleinschreibungsempfindlich. Geben Sie die Werte in Kleinbuchstaben ein.
Client-Port
Geben Sie für die Dimension Client-Port den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 45334
|
Zahl | Portnummer des Benutzergeräts. |
Country
Geben Sie für die Dimension Country den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: United States, India
|
Zeichenfolge | Land, von dem aus sich der Benutzer angemeldet hat. |
Hinweis
Schließen Sie den Wert in Anführungszeichen ein, wenn der Wert Leerzeichen enthält. Beispiel: Country = “United States”.
Event-Type
Geben Sie für die Dimension Event-Type den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
| Authentication, ICA file, Session logout | Zeichenfolge | Typ der Benutzerereignisse. |
Gateway-FQDN
Geben Sie für die Dimension Gateway-FQDN den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: Gateway-test
|
Zeichenfolge | Domänenname Ihres Citrix Gateways. |
Gateway-IP
Geben Sie für die Dimension Gateway-IP den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 10.xxx.xxx.xx
|
Zeichenfolge | IP-Adresse Ihres Citrix Gateways. |
Gateway-Port
Geben Sie für die Dimension Gateway-Port den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 443
|
Zeichenfolge | Portnummer Ihres Citrix Gateways. |
Logout-Mode
Geben Sie für die Dimension Logout-Mode den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Internal error", "Inactive time out", "User initiated logout" oder "Administrator killed session". |
Zeichenfolge | Grund für Timeout oder Beendigung der VPN-Sitzung. |
Hinweis
Schließen Sie den Wert in Anführungszeichen ein, wenn der Wert Leerzeichen enthält. Beispiel: Logout-Mode =
"Internal error".
NetScaler-IP
Geben Sie für die Dimension NetScaler-IP den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 10.xxx.xx.xx
|
Zeichenfolge | IP-Adresse Ihrer Citrix ADC Appliance. |
OS
Geben Sie für die Dimension OS den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: MAC_OS, WINDOWS
|
Zeichenfolge | Betriebssystem des Benutzergeräts. |
Record Type
Geben Sie für die Dimension Record Type den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
VPN_AI |
Zeichenfolge | Gibt Benutzerereignisse im Zusammenhang mit der Authentifizierung an. |
VPN_IF |
Zeichenfolge | Gibt Benutzerereignisse im Zusammenhang mit der ICA-Datei an. |
VPN_ST |
Zeichenfolge | Gibt Benutzerereignisse im Zusammenhang mit der Sitzungsabmeldung an. |
SSO-Authentication-Method
Geben Sie für die Dimension SSO-Authentication-Method den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASIC, NSAUTH_NEGOTIATE, NSAUTH_NTLM oder NSAUTH_BASIC. |
Zeichenfolge | Verschiedene Methoden der Single Sign-On-Authentifizierung. |
Server-IP
Geben Sie für die Dimension Server-IP den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 10.xx.xxx.xx
|
Zeichenfolge | IP-Adresse des Backend-Servers. |
Server-Port
Geben Sie für die Dimension Server-Port den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel: 47054
|
Zahl | Portnummer des Backend-Servers. |
Session-State
Geben Sie für die Dimension Session-State den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Set Client State", "Authorization State", "SSO State" und "Application Bandwidth Update"
|
Zeichenfolge | Der VPN-Sitzungsstatus. |
Hinweis
Schließen Sie den Wert in Anführungszeichen ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-State =
"Set Client State".
Status-Code
Geben Sie für die Dimension Status-Code den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached"
|
Zeichenfolge | Der VPN-Statuscode. |
Hinweis
Schließen Sie den Wert in Anführungszeichen ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-Code =
"Successful login".
User-Agent
Geben Sie für die Dimension User-Agent den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
IPHONE, IPAD oder WINPHONE
|
Zeichenfolge | Der Agent oder das Gerät, das für den Zugriff auf das VPN verwendet wird. |
VPN-Session-ID
Geben Sie für die Dimension VPN-Session-ID den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
Zeichenfolge | Vom Server zugewiesene Sitzungs-ID für die VPN-Sitzung eines Benutzers. |
VPN-Session-Mode
Geben Sie für die Dimension VPN-Session-Mode den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Full Tunnel", "ICA Proxy" oder Clientless
|
Zeichenfolge | Verschiedene Modi der VPN-Sitzung eines Benutzers. |
Hinweis
Schließen Sie den Wert in Anführungszeichen ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-Code =
"Full Tunnel".