Self-Service-Suche nach Gateway
Verwenden Sie die Self-Service-Suchfunktion, um Einblicke in die Benutzerereignisse zu erhalten, die von der Citrix Gateway-Datenquelle Wenn Benutzer über Citrix Gateway auf ihre Netzwerkressourcen wie Dateiserver, Anwendungen und Websites zugreifen, werden Ereignisse für jede Benutzerverbindung generiert. Einige Beispiele für Benutzerereignisse sind wie Authentifizierungsphase, Autorisierungstyp und VPN-Sitzungscode. Citrix Analytics for Security empfängt diese Ereignisse und zeigt sie auf der Self-Service-Suchseite an. Sie können die Benutzer und ihre Zugriffsdetails anzeigen.
Weitere Informationen zu den Suchfunktionen finden Sie unter Self-Service-Suche.
Wählen Sie die Gateway-Datenquelle
Um die Gateway-Ereignisse anzuzeigen, wählen Sie Gateway aus der Liste aus. Standardmäßig zeigt die Self-Service-Seite die Ereignisse für den letzten Tag an. Sie können auch den Zeitraum auswählen, für den Sie die Ereignisse anzeigen möchten.
Hinweis
Alternativ können Sie über das Dashboard Sicherheit > Benutzer > Zugriffsübersicht auf die Seite Self-Service-Suche nach Gateway zugreifen . In erfolgreichen Anmeldeszenarien können Sie über den Statuscode auf die Daten zugreifen. Weitere Informationen finden Sie im Dashboard “Zugriffsübersicht”.
Verwenden Sie die Facetten, um Ereignisse zu filtern
Die Facetten werden basierend auf den Ereignissen kategorisiert, die von Ihrer Datenquelle empfangen wurden. Verwenden Sie die folgenden Facetten, um Ihre Events zu filtern:
-
Authentifizierungsphase- Suchen Sie nach Ereignissen basierend auf verschiedenen Phasen der Clientauthentifizierung, z. B. primär, sekundär und tertiär.
-
Authentifizierungstyp- Suchen Sie Ereignisse basierend auf den Clientauthentifizierungstypen wie Local, RADIUS, LDAP, TACACS, Clientzertifikatauthentifizierung einschließlich Smartcard-Authentifizierung.
-
Device Agent- Suchen Sie Ereignisse basierend auf den Client-Geräten wie iPhone, iPad, Windows Mobile.
-
Record Type- Suchen Sie Ereignisse basierend auf den Arten von VPN-Datensätzen. Folgende VPN-Datensatztypen stehen zur Verfügung:
Datensatztyp Beschreibung VPN_AI Filtert Benutzerereignisse im Zusammenhang mit Authentifizierung. VPN_IF Filtert Benutzerereignisse im Zusammenhang mit ICA-Datei. VPN_ST Filtert Benutzerereignisse im Zusammenhang mit der Sitzungsabmeldung. -
Browser- Suche Ereignisse basierend auf den Browsern wie Internet Explorer, Chrome, Firefox, Safari.
-
OS- Suche nach Ereignissen basierend auf den Client-Betriebssystemen wie Windows, Mac, Linux, Android, iOS.
-
Statuscode- Suchen Sie Ereignisse basierend auf den VPN-Statuscodes wie SSL-Umleitungsantwort, Autorisierungsfehler, einmaliges Anmelden fehlgeschlagen.
-
Sitzungsstatus- Suchen Sie Ereignisse basierend auf den VPN-Sitzungsstatus wie Clientstatus, Autorisierungsstatus, SSO-Status, Aktualisierung der Anwendungsbandbreite.
-
Sitzungsmodus- Suchen Sie Ereignisse basierend auf den VPN-Sitzungsmodi wie Full Tunnel, ICA-Proxy, Clientless.
-
SSO-Authentifizierungsmethode- Suche nach Ereignissen basierend auf verschiedenen Methoden der Single-Sign-On-Authentifizierung wie Basic, Digest, NTLM, Kerberos, AG basic, formularbasiertes SSO.
-
Abmeldemodus- Sucht Ereignisse basierend auf den VPN-Abmeldemodi wie interne Fehlerabmeldung, Sitzungstimeout-Abmeldung, vom Benutzer initiierte Abmeldung, Administratorsitzung.
Angeben der Suchabfrage zum Filtern von Ereignissen
Platzieren Sie den Cursor in das Suchfeld, um die Liste der Dimensionen für die Gateway-Ereignisse anzuzeigen. Verwenden Sie die Dimensionen und die Operatoren, um Ihre Abfrage anzugeben und nach den erforderlichen Ereignissen zu suchen.
Sie möchten beispielsweise die Ereignisse für einen Benutzer “ns133” anzeigen, bei dem der VPN-Statuscode “erfolgreiche Anmeldung” lautet.
-
Geben Sie “Benutzer” in das Suchfeld ein, um die zugehörige Dimension auszuwählen.
-
Wählen Sie Benutzername aus und geben Sie den Wert “ns133” mit dem Gleichheitsoperator ein.
-
Wählen Sie den Operator UND und wählen Sie dann die Dimension Statuscode aus. Geben Sie die Zeichenfolge “Erfolgreiche Anmeldung” für den Statuscode mit dem Gleichheitsoperator ein.
Um die möglichen Zeichenfolgenwerte für Statuscodezu identifizieren, erweitern Sie die Filterliste Statuscode und verwenden Sie den Filternamen als Zeichenfolge in Ihrer Suchanfrage.
-
Wählen Sie den Zeitraum aus, und klicken Sie auf Suchen, um die Ereignisse in der Tabelle DATA anzuzeigen.
Unterstützte Werte für Ihre Suchanfrage
Geben Sie die folgenden Werte für die Dimensionen ein, um Ihre Suchanfrage zu definieren.
Access-Insight-Flaggen
Zeigt die VPN-Sitzungsstatus an. Geben Sie einen der folgenden Flag-Werte ein:
| Status der VPN-Sitzung | Flag-Wert |
|---|---|
| Vor-Authentifizierung | 2 |
| Letzter oder letzter Status der nFactor (Multi-Faktor) -Authentifizierung | 1 |
| Authentifizierung posten | 4 |
Hinweis
Dieses Flag gilt nur für die vorhergehenden VPN-Sitzungsstatus für die Authentifizierungsereignisse. Für alle anderen Ereignisse ist der Flag-Wert Null.
Anwendungen-Byte-Verbrauch
Geben Sie für die Applications-Byte-Consumption Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: 40, 100
|
Zahl | Daten (in Byte), die von der Anwendung verbraucht werden, die Sie verwenden. |
Authentifizierungs-Server-IP
Geben Sie für die Authentication-Servers-IP Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:10.xxx.xx.xx
|
Zeichenfolge | IP-Adresse des Authentifizierungsservers. |
Authentifizierungs-Phase
Geben Sie für die Authentication-Stage Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
PrimarySecondary, oder Tertiary
|
Zeichenfolge | Verschiedene Phasen der Clientauthentifizierung. |
Authentifizierung-Typ
Geben Sie für die Authentication-Type Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
LDAP,SAML, Local, Radius, TACACS, SAMLIDP, oder OTP. |
Zeichenfolge | Authentifizieren Sie Ihre Benutzer mit einer der verfügbaren Methoden. |
Backend-Server-Name
Geben Sie für die Backend-Server-Name Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:10.xxx.xxx.xx
|
Zeichenfolge | IP-Adresse des Back-End-Servers. |
Browser
Geben Sie für die Browser Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
PN Agent, Edge, Firefox, Chrome, oder Safari. |
Zeichenfolge | Verwendeter Browser. |
Ort
Geben Sie für die City Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: Boston, Beijing
|
Zeichenfolge | Stadt, von wo aus sich der Benutzer angemeldet hat. |
Client-IP
Geben Sie für die Client-IP Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:10.xxx.xxx.xx
|
Zeichenfolge | IP-Adresse des Benutzergeräts. |
Client-IP-Typ
Geben Sie für die Client-IP-Type Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
| öffentlich, privat | Zeichenfolge | Gibt an, ob die IP-Adresse des Benutzers öffentlich oder privat ist. |
Hinweis
Bei den Werten wird Groß-/Kleinschreibung beachtet Geben Sie die Werte in Kleinbuchstaben ein.
Client-Port
Geben Sie für die Client-Port Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:45334
|
Zahl | Portnummer des Benutzergeräts. |
Land
Geben Sie für die Country Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: United States, India
|
Zeichenfolge | Land, aus dem sich der Benutzer angemeldet hat. |
Hinweis
Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Land = “Vereinigt Staaten”.
Event-Typ
Geben Sie für die Event-Type Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
| Authentifizierung, ICA-Datei, Sitzungsabmeldung | Zeichenfolge | Art der Benutzerereignisse. |
Gateway-FQDN
Geben Sie für die Gateway-FQDN Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:Gateway-test
|
Zeichenfolge | Domainname Ihres Citrix Gateway. |
Gateway-IP
Geben Sie für die Gateway-IP Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:10.xxx.xxx.xx
|
Zeichenfolge | IP-Adresse Ihres Citrix Gateway. |
Gateway-Port
Geben Sie für die Gateway-Port Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:443
|
Zeichenfolge | Portnummer Ihres Citrix Gateway. |
Abmelde-Modus
Geben Sie für die Logout-Mode Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Internal error", "Inactive time out", "User initiated logout", oder "Administrator killed session". |
Zeichenfolge | Grund für das Timeout oder die Beendigung der VPN-Sitzung. |
Hinweis
Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Logout-Modus =
"Internal error".
NetScaler-IP
Geben Sie für die NetScaler-IP Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:10.xxx.xx.xx
|
Zeichenfolge | IP-Adresse Ihrer Citrix ADC Appliance. |
Betriebssystem
Geben Sie für die OS Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiele: MAC_OS, WINDOWS
|
Zeichenfolge | Betriebssystem des Benutzergeräts. |
Datensatztyp
Geben Sie für die Record Type Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
VPN_AI |
Zeichenfolge | Zeigt Benutzerereignisse im Zusammenhang mit Authentifizierung an. |
VPN_IF |
Zeichenfolge | Zeigt Benutzerereignisse im Zusammenhang mit ICA-Datei an. |
VPN_ST |
Zeichenfolge | Zeigt Benutzerereignisse im Zusammenhang mit der Sitzungsabmeldung an. |
SSO-Authentifizierungsmethode
Geben Sie für die SSO-Authentication-Method Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASIC, NSAUTH_NEGOTIATE, NSAUTH_NTLM, oder NSAUTH_BASIC. |
Zeichenfolge | Verschiedene Methoden der Single Sign-On-Authentifizierung. |
Server-IP
Geben Sie für die Server-IP Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:10.xx.xxx.xx
|
Zeichenfolge | IP-Adresse des Back-End-Servers. |
Server-Port
Geben Sie für die Server-Port Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
Beispiel:47054
|
Zahl | Portnummer des Back-End-Servers. |
Sitzungs-Status
Geben Sie für die Session-State Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Set Client State", "Authorization State", "SSO State", und "Application Bandwidth Update"
|
Zeichenfolge | Der Status der VPN-Sitzung. |
Hinweis
Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-State =
"Set Client State".
Status-Code
Geben Sie für die Status-Code Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached"
|
Zeichenfolge | Der VPN-Statuscode. |
Hinweis
Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-Code =
"Successful login".
Benutzer-Agent
Geben Sie für die User-Agent Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
IPHONEIPAD, oder WINPHONE
|
Zeichenfolge | Der Agent oder das Gerät, mit dem auf das VPN zugegriffen wurde. |
VPN-Session-ID
Geben Sie für die VPN-Session-ID Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
Zeichenfolge | Sitzungs-ID, die vom Server für die VPN-Sitzung eines Benutzers zugewiesen wurde. |
VPN-Sitzungsmodus
Geben Sie für die VPN-Session-Mode Dimension den folgenden Wert ein:
| Wert | Typ | Beschreibung |
|---|---|---|
"Full Tunnel""ICA Proxy", oder Clientless
|
Zeichenfolge | Verschiedene Modi der VPN-Sitzung eines Benutzers. |
Hinweis
Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-Code =
"Full Tunnel".