Sitzungsaufzeichnung 2104

Protokollieren von Ereignissen

Die Sitzungsaufzeichnung kann Ereignisse protokollieren und Ereignisse in Aufzeichnungen für die spätere Suche und Wiedergabe markieren. So können Sie nach interessanten Ereignissen aus einer großen Anzahl von Aufzeichnungen suchen und die Ereignisse während der Wiedergabe im Sitzungsaufzeichnungsplayer finden.

Systemdefinierte Ereignisse

Folgende systemdefinierte Ereignisse können in der Sitzungsaufzeichnung protokolliert werden:

  • Anschluss von USB-Massenspeichergeräten

  • Starten und Beenden von Anwendungen

  • Umbenennen, Erstellen, Löschen und Verschieben von Dateien

  • Webbrowsingaktivitäten

  • Aktivitäten im obersten Fenster

  • Zwischenablageaktivitäten

Anschluss von USB-Massenspeichergeräten

Die Sitzungsaufzeichnung kann das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten oder generisch umgeleiteten USB-Massenspeichergeräts an einen Client protokollieren, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist. Die Sitzungsaufzeichnung kennzeichnet diese Ereignisse in der Aufzeichnung.

Hinweis:

Derzeit kann nur das Anschließen von USB-Massenspeichergeräten (USB-Klasse 08) protokolliert werden. Aktualisieren Sie die Verwaltungskomponenten der Sitzungsaufzeichnung und den Sitzungsaufzeichnungsagent auf Version 1811 oder höher, damit das Feature wie erwartet funktioniert. Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.

Starten und Beenden von Anwendungen

Hinweis:

Dieses Feature erfordert Sitzungsaufzeichnung Version 1811 oder höher. Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.

Die Sitzungsaufzeichnung unterstützt das Protokollieren von Starten und Beenden der Anwendung. Wenn Sie einen Prozess in der App-Überwachungsliste hinzufügen, werden Apps überwacht, die vom hinzugefügten Prozess und seinen untergeordneten Prozessen gesteuert werden. Untergeordnete Prozesse eines Prozesses, der vor dem Ausführen der Sitzungsaufzeichnung gestartet wurde, können ebenfalls erfasst werden.

Die Sitzungsaufzeichnung fügt standardmäßig die Prozessnamen cmd.exe, powershell.exe und wsl.exe zur App-Überwachungsliste hinzu. Wenn Sie App-Startereignisse protokollieren und App-Endereignisse protokollieren für eine Ereignisprotokollierungsrichtlinie auswählen, werden Starts und Beenden der Apps Eingabeaufforderung, PowerShell und Windows-Subsystem für Linux (WSL) unabhängig davon protokolliert, ob Sie die zugehörigen Prozessnamen manuell zur App-Überwachungsliste hinzugefügt haben. Die Standardprozessnamen sind in der App-Überwachungsliste nicht sichtbar.

Darüber hinaus bietet die Sitzungsaufzeichnung eine Befehlszeile für jedes protokollierte App-Startereignis.

Abbildung: App-Start- und Ende-Ereignisse

Umbenennen, Erstellen, Löschen und Verschieben von Dateien

Die Sitzungsaufzeichnung kann Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben von Dateien oder Unterordnern in Zielordnern protokollieren und die Ereignisse in der Aufzeichnung markieren. Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.

Hinweis:

Dieses Feature erfordert Sitzungsaufzeichnung Version 1903 oder höher.

Webbrowsingaktivitäten

Sie können Benutzeraktivitäten in unterstützten Browsern protokollieren und die Ereignisse in der Aufzeichnung markieren. Der Browsername, die URL und der Seitentitel werden protokolliert. Ein Beispiel sehen Sie im folgenden Screenshot.

Abbildung der Webbrowsingaktivität

Wenn Sie den Cursor von einer Webseite wegbewegen, die den Fokus hat, wird Ihr Browsing auf dieser Webseite markiert, ohne den Browsernamen anzuzeigen. Dieses Feature kann verwendet werden, um zu schätzen, wie lange ein Benutzer auf einer Webseite verbleibt. Ein Beispiel sehen Sie im folgenden Screenshot.

Bild des Cursors weg von einer Webseite, die den Fokus hat

Liste der unterstützten Browser:

Browser Version
Chrome 69 und höher
Internet Explorer 11
Firefox 61 und höher

Hinweis:

Dieses Feature erfordert Sitzungsaufzeichnung Version 1906 oder höher. Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.

Aktivitäten im obersten Fenster

Die Sitzungsaufzeichnung kann die Aktivitäten im obersten Fenster protokollieren und die Ereignisse in der Aufzeichnung kennzeichnen. Der Prozessname, der Titel und die Prozessnummer werden protokolliert.

Protokollierung der Aktivitäten im obersten Fenster

Zwischenablageaktivitäten

Die Sitzungsaufzeichnung kann protokollieren, wenn Text, Bilder und Dateien mithilfe der Zwischenablage kopiert werden. Beim Kopieren einer Datei werden Prozessname und Dateipfad protokolliert. Beim Kopieren eines Texts werden Prozessname und Titel protokolliert. Beim Kopieren eines Bilds wird der Prozessname protokolliert.

Hinweis: Der Inhalt kopierter Texte wird standardmäßig nicht protokolliert. Um Textinhalte zu protokollieren, rufen Sie den Sitzungsaufzeichnungsagenten auf und legen HKEY_LOCAL_MACHINE\SOFTWARE\ Citrix\SmartAuditor\Agent\CaptureClipboardContent auf 1 fest (der Standardwert ist 0).

Abbildung: Ereignisse zu Zwischenablageaktivitäten

Benutzerdefinierte Ereignisse

Mit der IUserApi-COM-Schnittstelle im Sitzungsaufzeichnungsagenten können Anwendungen von Drittanbietern anwendungsspezifische Ereignisdaten zu aufgezeichneten Sitzungen hinzufügen. Je nach Ereignisanpassung können vertrauliche Informationen dann in der Sitzungsaufzeichnung blockiert und Ereignisse zur Sitzungspause und Sitzungsfortsetzung entsprechend protokolliert werden.

Blockieren vertraulicher Informationen

Bei der Bildschirmaufzeichnung können Sie bestimmte Zeitabschnitte überspringen und vertrauliche Informationen, die in dieser Zeit angezeigt werden, bei der anschließenden Sitzungswiedergabe blockieren. Für diese Funktion benötigen Sie die Sitzungsaufzeichnung 2012 und höher.

Abbildung: Bildschirm mit blockiertem Inhalt

Führen Sie die folgenden Schritte aus, um die Funktion zu nutzen:

  1. Aktivieren Sie unter Sitzungsaufzeichnungsagent - Eigenschaften das Kontrollkästchen Anwendungen von Dritten können benutzerdefinierte Daten auf dieser VDA-Maschine aufzeichnen und klicken Sie auf Übernehmen.

    Abbildung: Anpassen von Ereignissen zulassen

  2. Gewähren Sie Benutzern die Berechtigung zum Aufrufen der Sitzungsaufzeichnungs-Ereignis-API (IUserApi-COM-Schnittstelle).

    Die Zugriffssteuerung der Ereignis-API-COM-Schnittstelle wurde der Sitzungsaufzeichnung in Version 7.15 hinzugefügt. Nur autorisierte Benutzer können mit dieser Funktionalität Ereignismetadaten in eine Aufzeichnung einfügen.

    Lokalen Administratoren wird diese Berechtigung standardmäßig erteilt. Um anderen Benutzern diese Berechtigung zu erteilen, verwenden Sie das Windows DCOM-Konfigurationstool:

    1. Öffnen Sie das Windows DCOM-Konfigurationstool im Sitzungsaufzeichnungsagenten durch Ausführen von dcomcnfg.exe.

      Abbildung: Windows DCOM-Konfigurationstool

    2. Klicken Sie mit der rechten Maustaste auf Citrix Sitzungsaufzeichnungsagent und wählen Sie Eigenschaften.

      Abbildung: Auswahl der Eigenschaften des Sitzungsaufzeichnungsagenten

    3. Wählen Sie die Registerkarte Sicherheit und klicken Sie auf Bearbeiten, um Benutzer mit der Berechtigung Lokale Aktivierung im Abschnitt Start- und Aktivierungsberechtigungen hinzuzufügen.

      Abbildung: Hinzufügen von Benutzern mit der Berechtigung "Lokale Aktivierung"

      Abbildung: Hinzufügen von Benutzern mit der Berechtigung "Lokale Aktivierung"

    Hinweis:

    Die DCOM-Konfiguration wird sofort wirksam. Es ist nicht notwendig, Dienste oder die Maschine neu zu starten.

  3. Starten Sie eine virtuelle Citrix-Sitzung.

  4. Starten Sie PowerShell und ändern Sie das aktuelle Laufwerk in den Ordner <Sitzungsaufzeichnungsagent-Installationspfad>\Bin, um das Modul SRUserEventHelperSnapin.dll zu importieren.

  5. Führen Sie die Cmdlets Session-Pause und Session-Resume aus, um Parameter festzulegen, mit denen vertrauliche Informationen blockiert werden.

    Parameter Beschreibung Erforderlich oder optional
    -APP Der App-Name, der das Cmdlet aufruft. Erforderlich
    -Reason Der Grund, warum der Inhalt blockiert wird. Wenn Sie diesen Parameter nicht festlegen, wird die Standardeinstellung angezeigt: Inhalt blockiert und Vorhandener sensibler Inhalt wird blockiert. Wenn Sie diesen Parameter festlegen, wird der von Ihnen angegebene Grund angezeigt, wenn Sie bei der Sitzungswiedergabe zum blockierten Zeitabschnitt navigieren. Optional

    Sie können beispielsweise Session-Pause ausführen, wie im folgenden Beispiel:

    Abbildung: Session-Pause ausgeführt

Suchen nach und Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Suchen nach Aufzeichnungen mit markierten Ereignissen

Im Sitzungsaufzeichnungsplayer können Sie erweiterte Suchen nach Aufzeichnungen mit markierten Ereignissen durchführen.

  1. Klicken Sie im Sitzungsaufzeichnungsplayer auf der Symbolleiste auf Erweiterte Suche oder wählen Sie auf der Symbolleiste Extras > Erweiterte Suche.
  2. Legen Sie die Suchkriterien im Dialogfeld Erweiterte Suche fest.

Auf der Registerkarte Ereignisse können Sie markierte Ereignisse in Sitzungen nach Ereignistext und nach Ereignistyp oder beiden suchen. Sie können die Filter Ereignisse, Allgemein, Datum/Uhrzeit und Andere in Kombination verwenden, um nach Aufzeichnungen zu suchen, die Ihren Kriterien entsprechen.

Erweiterte Ereignissuche

Hinweis:

  • Die Liste Ereignistyp zeigt alle Ereignistypen an, die von der Citrix Sitzungsaufzeichnung protokolliert wurden. Sie können für die Suche einen beliebigen Ereignistyp auswählen. Wenn Sie Jedes von Citrix definierte Ereignis auswählen, wird nach allen Aufzeichnungen mit Ereignissen gesucht, die von der Citrix Sitzungsaufzeichnung protokolliert wurden.
  • Der Filter Ereignistext unterstützt teilweise Übereinstimmungen. Platzhalter werden nicht unterstützt.
  • Bei dem Filter Ereignistext spielt die Groß-/Kleinschreibung keine Rolle.
  • Für den Ereignistyp werden die Wörter App Start, App End, Client drive mapping und File Rename nicht berücksichtigt, wenn Sie nach Ereignistext suchen. Daher wird keine Entsprechung gefunden, wenn Sie App Start, App End, Client drive mapping oder File Rename in das Feld Ereignistext eingeben.

Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Wenn Sie eine Aufzeichnung mit Ereignissen wiedergeben sind die Ereignisse im Bereich Ereignisse und Textmarken sichtbar und werden im unteren Teil des Sitzungsaufzeichnungsplayers als gelbe Punkte angezeigt:

Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Sie können mit Ereignissen durch eine aufgezeichnete Sitzung navigieren oder zu den Punkten springen, an denen die Ereignisse markiert sind.

Protokollieren von Ereignissen