Produktdokumentation
Citrix Analytics for Security™
PDF anzeigen

Fehlerbehebung bei Datenexporten

September 16, 2025
Beitrag von: 
C C

Die Ansicht „Datenexporte für Sicherheit“ enthält eine Registerkarte Zusammenfassung, die Administratoren bei der Fehlerbehebung ihrer SIEM-Integration mit Citrix Analytics unterstützt. Das Zusammenfassungs-Dashboard bietet Einblick in den Zustand und den Datenfluss, indem es sie durch die Prüfpunkte führt, die den Fehlerbehebungsprozess unterstützen.

Fehlerbehebung bei Datenexporten

Registerkarte „Zusammenfassung“

Die Registerkarte Zusammenfassung bildet die Grundlage des Self-Service-Fehlerbehebungs-Workflows in der Ansicht „Datenexporte“. Sie beschreibt Ihre SIEM-Einrichtung anhand dieser drei Karten:

  • Verfügbare Daten in Citrix Analytics: Diese Karte zeigt den Status Ihrer Datenquellenkonfigurationen.
  • Verfügbare Ereignisse für den SIEM-Verbrauch: Diese Karte zeigt die Anzahl der Ereignisse an, die von Ihrer SIEM-Umgebung verbraucht werden können.
  • Datenverbrauch durch SIEM: Diese Karte zeigt den Status des Datenflusses in Ihrer SIEM-Umgebung an.

Verfügbare Daten in Citrix Analytics

Verfügbare Daten in Citrix Analytics

Die Karte Verfügbare Daten in Citrix Analytics zeigt die Anzahl der Datenquellen an, die zu SIEM-Erkenntnissen beitragen können und die in Citrix Analytics for Security integriert wurden. Derzeit werden drei Datenquellen für Datenexporte unterstützt – Apps und Desktops, Gateway und Secure Private Access. Auch wenn diese Datenquellen integriert wurden, funktioniert der Datenexport nicht für Datenquellen, deren Datenverarbeitung deaktiviert ist. Eine entsprechende Warnmeldung, wie die im obigen Bild dargestellte, wird angezeigt, wenn solche Datenquellen erkannt werden.

Die Schaltfläche Ereignisse der letzten 7 Tage anzeigen leitet den Administrator zur Self-Service-Suchansicht weiter, über die Administratoren überprüfen können, ob Ereignisse in Citrix Analytics for Security geflossen sind. Die Schaltfläche Datenquellen integrieren leitet zur Ansicht „Datenquellen“ weiter, wo Sie den Integrationsprozess ausführlich durchlaufen können.

Wenn keine Datenquellen integriert sind, wird eine entsprechende Warnmeldung angezeigt, wie im folgenden Screenshot dargestellt:

Warnmeldung für keine Datenquellen

Verfügbare Ereignisse für den SIEM-Verbrauch

Verfügbare Ereignisse für den SIEM-Verbrauch

Die Karte Verfügbare Ereignisse für den SIEM-Verbrauch zeigt die Anzahl der Insight- und Datenquellenereignisse sowie deren Aufschlüsselung an, die voraussichtlich in Ihre SIEM-Umgebung fließen werden. Beim Erweitern ist auch eine weitere Aufschlüsselung jedes Typs von Datenereignissen für den Export verfügbar.

Datenverbrauch durch SIEM

Die Karte Datenverbrauch durch SIEM zeigt den Zustand des Datenflusses an, der von Citrix Analytics in Ihre SIEM-Umgebung vorbereitet wird. Der Datenverbrauchsstatus basiert auf der Offset-Bewegung innerhalb Ihres Kafka-Themas. Sofern verfügbar, zeigt die Karte auch den Zeitstempel an, wann der letzte erfolgreiche Datenverbrauch erkannt wurde. Sowohl der Datenverbrauchsstatus als auch der Zeitstempel werden alle 10 Minuten aktualisiert. Klicken Sie hier, um mehr über Kafka Consumer Group/Offset-Management zu erfahren.

Der Datenverbrauchsstatus kann die folgenden Zustände annehmen:

  1. Inaktiver Verbrauch

    • Keine Historie des Datenexports: Dieser Zustand wird durch einen orangefarbenen Punkt dargestellt, der anzeigt, dass noch nie erfolgreich von Citrix Analytics vorbereitete Daten in Ihre SIEM-Umgebung geflossen sind.

      Keine Historie des Datenexports

      Dies kann folgende Ursachen haben:

      • Falsche/unvollständige Datenquellenkonfiguration. Die Karte Verfügbare Daten in Citrix Analytics kann verwendet werden, um zu überprüfen, ob genügend Datenquellen vorhanden sind und ob deren Datenverarbeitung für den Export aktiviert ist.

      • Mangelnde Benutzeraktivität. Die Schaltfläche Ereignisse der letzten 7 Tage anzeigen auf der Karte Verfügbare Daten in Citrix Analytics kann verwendet werden, um das Fehlen von Benutzeraktivitäten zu überprüfen. Darüber hinaus kann die Karte Verfügbare Ereignisse für den SIEM-Verbrauch verwendet werden, um zu überprüfen, ob Citrix Analytics Insight- oder Datenquellenereignisse für den Fluss in Ihr SIEM vorbereitet hat.

      • Falsche/unvollständige SIEM-Einrichtung. Überprüfen Sie, ob die Phase „Kontoeinrichtung“ auf der Registerkarte Konfiguration erfolgreich abgeschlossen wurde. Ein grünes Häkchen ist in der Phase „Kontoeinrichtung“ sichtbar, wenn die Einrichtung abgeschlossen ist.

        Wenn sich der Status auch nach einer erfolgreichen Kontoeinrichtung nicht ändert, beheben Sie das Problem weiter, indem Sie Folgendes überprüfen:

    • Kein aktiver Verbrauch erkannt: Dieser Zustand zeigt an, dass in den letzten 10 Minuten keine Daten erfolgreich in Ihre SIEM-Umgebung geflossen sind. Die Karte zeigt auch den Zeitstempel der letzten erfolgreichen Datenbewegung an. Wie bei Keine Historie des Datenexports können Sie dies beheben, indem Sie die Karten Verfügbare Daten in Citrix Analytics und Verfügbare Ereignisse für den SIEM-Verbrauch verwenden. Wenn genügend Benutzeraktivität vorhanden ist und die Anzahl der verfügbaren Ereignisse zunimmt, wäre es ratsam, sich auf den letzten erfolgreichen Zeitstempel zu konzentrieren, um zu überprüfen, ob nach diesem Zeitstempel Firewall-Änderungen oder Passwortrotationen stattgefunden haben.

      Kein aktiver Verbrauch erkannt

    • Vor über 7 Tagen exportiert: Dieser Zustand zeigt an, dass der aktive Verbrauch in Ihrem SIEM zuletzt vor über einer Woche erkannt wurde. Ähnlich wie bei den beiden oben genannten Zuständen verwenden Sie die Karten Verfügbare Daten in Citrix Analytics und Verfügbare Ereignisse für den SIEM-Verbrauch, um Ihre SIEM-Einrichtung zu beheben, wenn dies der erkannte Datenverbrauchsstatus ist.

      Vor über 7 Tagen exportiert

      Hinweis

      Kafka-Aufbewahrungsrichtlinie: Citrix Analytics Kafka-Themen behalten Ereignisse nur für maximal 7 Tage. Um potenziellen Datenverlust zu vermeiden oder zu verhindern, wird empfohlen, ein Datenabrufintervall einzurichten, das 7 Tage nicht überschreitet.

    Bei inaktivem Verbrauch können Sie die folgenden Warnmeldungen anzeigen, um Sie durch den Fehlerbehebungsprozess zu führen.

    Wie im Fall Keine Historie des Datenexports hervorgehoben, fließen keine Daten in die SIEM-Umgebung, wenn die SIEM-Einrichtung nicht abgeschlossen ist. Daher wird der Benutzer zur Registerkarte Konfiguration weitergeleitet, um die Kontoeinrichtung abzuschließen, wie im folgenden Screenshot gezeigt:

    Konfigurations-Registerkarte-Dateneinrichtung

    Wenn die SIEM-Einrichtung abgeschlossen ist, kann es dennoch vorkommen, dass Daten nicht aktiv fließen, wie im Zustand Kein aktiver Verbrauch erkannt oder Vor über 7 Tagen exportiert dargestellt. Daher wird der Benutzer aufgefordert, zum Abschnitt Testereignisgenerierung zu gehen, um die SIEM-Verbindung zu testen, wie in der folgenden Warnmeldung hervorgehoben.

    Warnung zur Testereignisgenerierung

  2. Aktiver Verbrauch

    • Aktiver Verbrauch erkannt: Dieser Zustand zeigt an, dass ein aktiver Verbrauch in Ihrem SIEM erkannt wurde.

      Aktiver Verbrauch erkannt

Kurzanleitung zum Datenexport

Die Registerkarte Zusammenfassung wird durch die Blade Kurzanleitung zum Datenexport ergänzt, um die Bereitstellung, Verwaltung und Fehlerbehebung Ihrer SIEM-Einrichtungen zu erleichtern. Neben einer umfassenden Anleitung zur Ansicht „Datenexport für Sicherheit“ enthält die Kurzanleitung auch nützliche Tipps zur Einrichtung und Verwaltung Ihrer SIEM-Umgebung, indem sie Links zu relevanter Dokumentation bereitstellt.

Kurzanleitung zum Datenexport1

Kurzanleitung zum Datenexport2

Kurzanleitung zum Datenexport3

Es gibt auch einen Abschnitt SIEM-Verbindung testen in der Blade „Kurzanleitung“, der den Benutzer zur Phase „SIEM-Verbindung testen“ innerhalb der Phase „SIEM-Umgebungseinrichtung“ weiterleitet. Dies ermöglicht dem Benutzer zu untersuchen, ob die SIEM-Integration selbst fehlerhaft ist, wodurch die Möglichkeit von Problemen bei der Verarbeitung der Ereignisse durch Citrix Analytics for Security ausgeschlossen wird. Der Benutzer kann dann die SIEM-Verbindung reparieren, um den Datenfluss zu ermöglichen.

SIEM-Verbindung testen1

Die Registerkarte Konfiguration hilft Administratoren bei der Bereitstellungseinrichtung auch mit nützlichen Tipps, Warnmeldungen und häufigen Fallstricken bei der Einrichtung ihres SIEM. Entsprechende Warnungen werden angezeigt, wenn:

  • Citrix Analytics erkennt, dass keine Datenquellen integriert wurden. Es wird empfohlen, Apps und Desktops zu integrieren, um Telemetriedaten basierend auf Benutzeraktivitäten zu sammeln. Ohne die integrierte Datenquelle wird kein Datenfluss beobachtet, selbst wenn Ihre SIEM-Einrichtung erfolgreich abgeschlossen wurde.

    Keine Datenquellen integriert

  • Wie im folgenden Bild dargestellt, sind die Phasen „SIEM-Umgebungseinrichtung“ und „Datenereignisse für den Export“ deaktiviert, bis die Kontoeinrichtung erfolgreich abgeschlossen ist.

    SIEM-Umgebungseinrichtung und Datenereignisse deaktivieren

  • Datenexporte wurden deaktiviert. Die Warnung in der Phase „Datenereignisse für den Export“ dient als Erinnerung, Datenexporte zu aktivieren, um Änderungen wirksam zu machen.

    Datenexporte deaktiviert

  • In der Phase „Datenereignisse für den Export“ fließen keine Datenquellenereignisse an das SIEM, wenn der Datenexport für eine bestimmte Datenquelle deaktiviert ist. Sie müssen dies aktivieren, indem Sie die gewünschten Typen von Datenquellenereignissen konfigurieren und auswählen. Stellen Sie außerdem sicher, dass die Datenverarbeitung für die jeweilige Datenquelle aktiviert ist, um sicherzustellen, dass Daten Citrix Analytics erreichen.

    In der Phase „Datenereignisse für den Export“

Testereignisgenerierung

Die Testereignisgenerierung wird als Teil der Phase SIEM-Umgebungseinrichtung bereitgestellt, um die Fehlerbehebung zu verbessern. Sobald ein Benutzer die SIEM-Einrichtung abgeschlossen hat, bietet die Testereignisgenerierung eine Möglichkeit, die SIEM-Verbindung schnell zu testen, indem ein Testereignis direkt in das Kafka-Thema für den SIEM-Datenexport des Kunden gesendet wird.

Sie ermöglicht es neuen Benutzern auch, ihre SIEM-Integration mit Citrix Analytics schnell zu testen, ohne explizit eine neue Datenquelle integrieren und anschließend Benutzeraktivitäten generieren zu müssen.

SIEM-Umgebung

Um diese Funktionalität zu testen, muss der Benutzer auf die Schaltfläche Testdaten senden klicken. Dadurch wird ein Dummy-Testereignis generiert und an das Kafka-Thema für den SIEM-Datenexport des Kunden gesendet. Dieser Testereignisgenerierungsprozess kann bis zu 1 Minute dauern, wie im folgenden Screenshot gezeigt:

SIEM-Verbindung testen

Wenn die Testereignisdaten erfolgreich in das Kafka-Thema des Kunden geschrieben werden, wird eine Erfolgsmeldung angezeigt, die darauf hinweist, dass die SIEM-Verbindung erfolgreich ist. Abhängig von Ihrer gewählten Umgebung (Splunk und Sentinel) können Administratoren die Abfrage kopieren und ihre SIEM-Umgebungen auf das Testereignis überprüfen.

Testdaten1

Testdaten2

Für Elasticsearch und andere Umgebungen wird die folgende Erfolgsmeldung angezeigt.

Testdaten3

Hinweis

Sobald ein Testereignis generiert wurde, ist die Schaltfläche Testdaten senden für die nächsten 24 Stunden deaktiviert, und die Benutzer sehen das folgende Popup, wenn sie mit der Maus über die Schaltfläche fahren. Nach 24 Stunden ab dem letzten erfolgreichen Zeitstempel wird die Schaltfläche für die Benutzer wieder aktiviert, um die Funktionalität erneut zu testen.

Popup im Erfolgsfall angezeigt

Wenn die Testereignisdaten nicht erfolgreich in das Kafka-Thema des Kunden geschrieben werden, wird eine Fehlermeldung angezeigt, wie im folgenden Screenshot dargestellt. Der Benutzer kann die Daten erneut senden, um die Verbindung zu testen.

SIEM-Fehlermeldung

SIEM-E-Mail-Benachrichtigung

Citrix Analytics sendet E-Mail-Benachrichtigungen, um Administratoren über Szenarien zu informieren, die zu einer Unterbrechung des Datenflusses in ihre SIEM-Umgebung führen könnten. Sie enthält situationsbezogene Informationen über Aktivitäten, die zu einem vorübergehenden/dauerhaften Verlust sicherheitsrelevanter Daten führen könnten. Sie hilft auch bei der Navigation durch den Self-Service-Fehlerbehebungsprozess für den SIEM-Datenexport.

Einige wichtige Eigenschaften dieser E-Mail-Benachrichtigungen, die Ihnen helfen, diese in Ihrem Posteingang zu finden:

  • Die E-Mail wird an Citrix Cloud™-Administratoren, vollständige Sicherheitsadministratoren, schreibgeschützte Sicherheitsadministratoren sowie schreibgeschützte Sicherheits- und Leistungsadministratoren verteilt.

  • Der Absender ist Citrix Cloud donotreplynotifications@citrix.com.

  • Die Betreffzeile lautet:

    • SIEM Data Export Alert - Password was reset für E-Mail-Benachrichtigungen zur Passwortzurücksetzung.
    • SIEM Data Export Alert - Data Flow Stopped für E-Mail-Benachrichtigungen zur Unterbrechung des Datenflusses.

Wie aktiviere ich E-Mail-Benachrichtigungen?

Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (vollständiger Sicherheitsadministrator, schreibgeschützter Sicherheitsadministrator, schreibgeschützter Sicherheits- und Leistungsadministrator) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen für Ihr Citrix Cloud-Konto immer aktiviert. Standardmäßig werden die wöchentlichen E-Mail-Benachrichtigungen an die Citrix Security Administrators – Standardliste gesendet. Sie können auch die Verteilerliste ändern, die diese Benachrichtigung erhält. Weitere Informationen finden Sie unter Admin-E-Mail-Einstellungen.

Wenn Sie ein Citrix Cloud-Administrator mit benutzerdefinierten Zugriffsberechtigungen (vollständiger Sicherheitsadministrator, schreibgeschützter Sicherheitsadministrator, schreibgeschützter Sicherheits- und Leistungsadministrator) zur Verwaltung von Security Analytics sind, sind die E-Mail-Benachrichtigungen für Ihr Citrix Cloud-Konto immer aktiviert.

Arten von SIEM-E-Mail-Benachrichtigungen

  1. SIEM-E-Mail-Benachrichtigung zur Passwortzurücksetzung

    Die E-Mail-Benachrichtigung zur SIEM-Passwortzurücksetzung wird empfangen, wenn das Kontopasswort über die Seite „Datenexporte“ zurückgesetzt wird. Das alleinige Zurücksetzen des SIEM-Passworts in der Citrix Analytics-Benutzeroberfläche kann zu einer Passwortinkonsistenz mit dem in Ihrem SIEM konfigurierten Passwort führen. Dies führt zu einer Unterbrechung des Datenflusses. Diese E-Mail-Benachrichtigung enthält die Uhrzeit, zu der das Passwort zurückgesetzt wurde. Wenn der Datenfluss stoppt, können Sie zur Registerkarte Zusammenfassung gehen, überprüfen, ob der Zeitstempel „zuletzt exportiert um“ nahe am Zeitstempel der Passwortzurücksetzung liegt, und so die notwendigen Passwortänderungen weiterleiten. Dies verkürzt den Debugging-Prozess und hilft Ihnen, den erfolgreichen Datenfluss in Ihre SIEM-Umgebung im Handumdrehen wiederherzustellen.

    SIEM-E-Mail-Benachrichtigung zur Passwortzurücksetzung

    SIEM-E-Mail-Benachrichtigung zur Passwortzurücksetzung1

  2. E-Mail-Benachrichtigung bei Datenflussunterbrechung für 24 Stunden

    Diese E-Mail-Benachrichtigung wird gesendet, wenn der Datenfluss vom Citrix Analytics-Dienst in Ihre SIEM-Umgebung länger als 24 Stunden unterbrochen ist. Die E-Mail enthält die Uhrzeit, zu der das letzte Ereignis exportiert wurde, zusammen mit hilfreichen schnellen Tipps zur Fehlerbehebung, die durchgeführt werden können, um den Datenfluss wiederherzustellen. Dies wäre der richtige Zeitpunkt, um den Datenfluss schnell wiederherzustellen, um keine sicherheitsrelevanten Daten zu verlieren.

  3. E-Mail-Benachrichtigung bei Datenflussunterbrechung für 7 Tage

    Diese E-Mail-Benachrichtigung wird gesendet, wenn der Datenfluss vom Citrix Analytics-Dienst in Ihre SIEM-Umgebung länger als 7 Tage unterbrochen ist. Da die Aufbewahrungsfrist des Kafka-Themas des Kunden 7 Tage beträgt, ist es entscheidend, die Tipps zur Fehlerbehebung zu befolgen und die auf der Seite Datenexporte verfügbare Kurzanleitung zu nutzen, um keine weiteren Daten zu verlieren, da diese E-Mail vor einer Situation des dauerhaften Verlusts sicherheitsrelevanter Informationen warnt.

  4. E-Mail-Benachrichtigung bei Datenflussunterbrechung für 30 Tage

    Diese E-Mail-Benachrichtigung wird gesendet, wenn der Datenfluss vom Citrix Analytics-Dienst in Ihre SIEM-Umgebung länger als 30 Tage unterbrochen ist. Zu diesem Zeitpunkt hat der Kunde bereits sicherheitsrelevante Daten verloren, und es ist unerlässlich, die Fehlerbehebungsfunktionen zu nutzen, um den Fluss so schnell wie möglich wiederherzustellen.

    E-Mail-Benachrichtigung bei Datenflussunterbrechung für 30 Tage

    E-Mail-Benachrichtigung bei Datenflussunterbrechung für 30 Tage1

    E-Mail-Benachrichtigung bei Datenflussunterbrechung für 30 Tage2

Fehlerbehebung bei Datenexporten
September 16, 2025
Beitrag von: 
C C
September 16, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.