Configurar directivas
Utilice la Consola de directivas de grabación de sesiones para crear directivas de grabación, directivas de detección de eventos, directivas de respuesta a eventos y directivas de visualización de grabaciones. Al crear las directivas, puede especificar Delivery Controllers tanto desde Citrix Cloud como desde entornos locales.
Importante:
Para usar la Consola de directivas de grabación de sesiones, debe tener instalado manualmente el complemento Broker PowerShell Snap-in (Broker_PowerShellSnapIn_x64.msi) o Citrix Virtual Apps and Desktops Remote PowerShell SDK (CitrixPoshSdk.exe). Busque el complemento Broker PowerShell en la ISO de Citrix Virtual Apps and Desktops (\layout\image- full\x64\Citrix Desktop Delivery Controller) o descargue el SDK de PowerShell remoto de Citrix Virtual Apps and Desktops desde la página de descargas de Citrix Virtual Apps and Desktops Service.
Sugerencia:
Puede modificar el Registro para evitar pérdidas de archivos de grabación en caso de que el servidor de Grabación de sesiones falle inesperadamente. Inicie sesión como administrador en la máquina donde instaló el agente de Grabación de sesiones, abra el Editor del Registro y agregue un valor DWORD
DefaultRecordActionOnError
=1
enHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
.
Directivas de grabación
Puede activar las directivas de grabación que define el sistema, o bien, puede crear y activar sus propias directivas de grabación personalizadas. Las directivas de grabación definidas por el sistema aplican una sola regla a todos los usuarios, aplicaciones publicadas y servidores. Las directivas de grabación personalizadas sirven para especificar a los usuarios, las aplicaciones publicadas y los servidores que se graban.
La directiva de grabación activa determina las sesiones que se graban. Solamente una directiva de grabación está activa en un momento dado.
Directivas de grabación definidas por el sistema
Grabación de sesiones ofrece las siguientes directivas de grabación definidas por el sistema:
-
No grabar. Esta es la directiva predeterminada. Si no especifica otra directiva, no se grabarán sesiones.
-
Grabar solo eventos (para todos y con notificación). Esta directiva solo graba los eventos especificados por la directiva de detección de eventos. No graba pantallas. Los usuarios reciben notificaciones sobre las grabaciones por adelantado.
-
Grabar solo eventos (para todos y sin notificación). Esta directiva solo graba los eventos especificados por la directiva de detección de eventos. No graba pantallas. Los usuarios no reciben notificaciones sobre las grabaciones.
-
Grabar sesiones al completo (para todos y con notificación). Esta directiva graba sesiones al completo (pantallas y eventos). Los usuarios reciben notificaciones sobre las grabaciones por adelantado.
-
Grabar sesiones al completo (para todos y sin notificación). Esta directiva graba sesiones al completo (pantallas y eventos). Los usuarios no reciben notificaciones sobre las grabaciones.
No se pueden modificar ni eliminar las directivas de grabación definidas por el sistema.
Crear una directiva de grabación personalizada
Cuando crea su propia directiva de grabación, crea reglas para especificar qué usuarios o grupos, aplicaciones publicadas o escritorios, grupos de entrega o máquinas VDA, y direcciones IP del cliente de la aplicación Citrix Workspace se graban. La Consola de directivas de grabación de sesiones cuenta con un asistente para ayudarle a crear reglas. Para obtener la lista de aplicaciones o escritorios publicados y la lista de grupos de entrega o máquinas VDA, debe tener el permiso de lectura como administrador del sitio. Configure el permiso de lectura del administrador en el Delivery Controller del sitio.
Para cada regla que se cree, hay que especificar una acción de grabación y los criterios de las reglas. La acción de grabación se aplica a las sesiones que cumplan con los criterios de las reglas.
Para cada regla seleccione una acción de grabación:
-
Habilitar la grabación de sesiones con notificación. Esta opción graba sesiones al completo (pantallas y eventos). Los usuarios reciben notificaciones sobre las grabaciones por adelantado.
-
Habilitar la grabación de sesiones sin notificación. Esta opción graba sesiones al completo (pantallas y eventos). Los usuarios no reciben notificaciones sobre las grabaciones.
-
Habilitar la grabación de sesiones solo con eventos con notificación. Esta opción graba, a lo largo de las sesiones, solamente los eventos especificados por la directiva de detección de eventos. No graba pantallas. Los usuarios reciben notificaciones sobre las grabaciones por adelantado.
-
Habilitar la grabación de sesiones solo con eventos sin notificación. Esta opción graba, a lo largo de las sesiones, solamente los eventos especificados por la directiva de detección de eventos. No graba pantallas. Los usuarios no reciben notificaciones sobre las grabaciones.
-
Inhabilitar la grabación de sesiones. Esta opción significa que no se grabará ninguna sesión.
Para cada regla, elija al menos una de las siguientes opciones para crear los criterios de las reglas:
- Usuarios o grupos. Crea una lista de usuarios o grupos a los que se aplica la acción de la regla. Grabación de sesiones permite usar grupos de Active Directory y poner a usuarios en una lista de permitidos.
- Aplicaciones publicadas o escritorio. Crea una lista de aplicaciones publicadas o escritorios publicados a los que se aplica la acción de la regla. En el asistente de reglas, elija el sitio o sitios de Citrix Virtual Apps and Desktops donde están disponibles los escritorios o las aplicaciones.
- Grupos de entrega o máquinas. Crea una lista de máquinas o grupos de entrega a los que se aplicará la acción de la regla. En el asistente de reglas, elija la ubicación donde residen las máquinas o los grupos de entrega.
-
Dirección IP o intervalo de IP. Crea una lista de direcciones IP o intervalos de direcciones IP a las que se aplica la acción de la regla. En la pantalla Seleccionar dirección IP y rango de IP, agregue una dirección IP o intervalo IP válido para los que la grabación estará habilitada o inhabilitada. Las direcciones IP mencionadas aquí son las direcciones IP de las aplicaciones de Citrix Workspace.
Nota:
La Consola de directivas de grabación de sesiones permite configurar varios criterios en una sola regla. Cuando se aplica una regla, se utilizan los operadores lógicos “AND” y “OR” para calcular la acción final. En términos generales, el operador “OR” se utiliza entre elementos de un criterio, y el operador “AND” se utiliza entre criterios independientes. Si el resultado es true, el motor de la directiva Grabación de sesiones toma la acción de la regla. De lo contrario, pasa a la siguiente regla y repite el proceso.
Cuando se crea más de una regla en la directiva de grabación, algunas sesiones pueden cumplir el criterio de más de una regla. En estos casos, la regla con la prioridad mayor es la que se aplica a las sesiones.
La acción de grabación de una regla determina su prioridad:
- Las reglas con la acción No grabar tienen la prioridad más alta.
- Las reglas con la acción Grabar con notificación tienen la segunda prioridad más alta.
- Las reglas con la acción Grabar sin notificación tienen la penúltima prioridad.
- Las reglas con la acción Habilitar la grabación de sesiones solo con eventos con notificación tienen la prioridad media.
- Las reglas con la acción Habilitar la grabación de sesiones solo con eventos sin notificación tienen la última prioridad.
Es posible que algunas sesiones no cumplan ningún criterio de reglas en una directiva de grabación. Para estas sesiones, se aplica la acción de la regla alternativa de las directivas. La acción de la regla alternativa siempre es No grabar. No se puede modificar ni eliminar la regla alternativa.
Para crear una directiva de grabación personalizada:
- Inicie la sesión como administrador de directivas autorizado en el servidor donde está instalada la Consola de directivas de grabación de sesiones.
- Inicie la Consola de directivas de grabación de sesiones y seleccione Directivas de grabación en el panel de la izquierda. En la barra de menú, elija Agregar nueva directiva.
- Haga clic con el botón secundario en la nueva directiva y seleccione Agregar regla.
-
En el asistente de reglas, seleccione una opción de grabación y, a continuación, haga clic en Siguiente.
-
Seleccione los criterios de las reglas. Puede elegir uno o varios criterios de las reglas:
Usuarios o grupos
Escritorios o aplicaciones publicadas
Grupos de entrega o máquinas
Dirección IP o intervalo de IP -
Para modificar los criterios de las reglas, haga clic en los valores subrayados. Los valores se subrayan en función de los criterios que eligió en el paso anterior.
Nota:
Tenga en cuenta que, si elige el valor subrayado de Aplicaciones publicadas o escritorio, la Dirección del sitio es la dirección IP, una URL o un nombre de máquina si el Controller está en una red local. La lista Nombre de aplicación muestra el nombre simplificado.
Al elegir Aplicaciones publicadas o escritorio o Grupos de entrega o máquinas, especifique el Delivery Controller con el que se comunicará la Consola de directivas de grabación de sesiones.
La Consola de directivas de grabación de sesiones es el único canal para comunicarse con los Delivery Controllers desde Citrix Cloud y entornos locales.
Por ejemplo, al elegir Grupos de entrega o máquinas, haga clic en el enlace correspondiente en el paso 3 de la captura de pantalla anterior y haga clic en Agregar para agregar consultas al Controlador.
Para obtener una descripción de los casos de uso que cubren los Controllers locales y los Delivery Controllers de Citrix Cloud, consulte la tabla siguiente:
Caso de uso Acción necesaria Delivery Controller local - Install Broker_PowerShellSnapIn_x64.msi. 2. Desmarque la casilla de verificación Citrix Cloud Controller.
Delivery Controller de Citrix Cloud - Instale Citrix Virtual Apps and Desktops Remote PowerShell SDK 2. Valide las credenciales de la cuenta de Citrix Cloud. 3. Marque la casilla de verificación Citrix Cloud Controller.
Cambiar de un Delivery Controller local a un Delivery Controller en Citrix Cloud - Desinstale Broker_PowerShellSnapIn_x64.msi y reinicie la máquina. 2. Instale Citrix Virtual Apps and Desktops Remote PowerShell SDK 3. Valide las credenciales de la cuenta de Citrix Cloud. 4. Marque la casilla de verificación Citrix Cloud Controller.
Cambiar de un Delivery Controller en Citrix Cloud a un Delivery Controller local - Desinstale Citrix Virtual Apps and Desktops Remote PowerShell SDK y reinicie la máquina. 2. Instale Broker_PowerShellSnapIn_x64.msi. 3. Desmarque la casilla de verificación Citrix Cloud Controller.
Validar las credenciales de Citrix Cloud
Para enviar consultas a Delivery Controllers alojados en Citrix Cloud, valide manualmente las credenciales de Citrix Cloud en el equipo donde está instalada la Consola de directivas de grabación de sesiones. El incumplimiento puede provocar un error y es posible que la Consola de directivas de grabación de sesiones no funcione correctamente.
Para llevar a cabo la validación manual:
-
Inicie sesión en la consola de Citrix Cloud y busque Administración de acceso e identidad > Acceso a API. Cree un cliente seguro de acceso a API para obtener un perfil de autenticación que pueda omitir las solicitudes de autenticación de Citrix Cloud. Descargue su cliente seguro, cámbiele el nombre y guárdelo en una ubicación segura. El nombre de archivo que se establece de forma predeterminada es secureclient.csv.
-
Abra una sesión de PowerShell y ejecute el siguiente comando para que el perfil de autenticación (obtenido en el paso anterior) surta efecto.
asnp citrix.* Set-XDCredentials -CustomerId "citrixdemo" -SecureClientFile "c:\temp\secureclient.csv" -ProfileType CloudAPI –StoreAs "default" <!--NeedCopy-->
Defina CustomerId y SecureClientFile según sea necesario. El comando anterior crea un perfil de autenticación predeterminado para que el cliente
citrixdemo
omita los mensajes de autenticación en las sesiones actuales y posteriores de PowerShell.
- Siga las instrucciones del asistente para completar la configuración.
Nota: Limitación relacionada con las sesiones de aplicación preiniciadas:
- Si la directiva activa intenta que el nombre de aplicación coincida, las aplicaciones iniciadas en la sesión preiniciada no coincidirán, lo que provoca que la sesión no se grabe.
- Si la directiva activa graba todas las aplicaciones, cuando el usuario inicie sesión en la aplicación Citrix Workspace para Windows (al mismo tiempo que se establece la sesión preiniciada), aparecerá una notificación de la grabación y se grabará la sesión preiniciada (vacía), así como las aplicaciones que se inicien más tarde en esa sesión.
Como solución temporal, publique las aplicaciones en grupos de entrega diferentes, distribuidas según la directiva de grabación. No use el nombre de la aplicación como condición de grabación. De esta manera, se garantiza que se grabarán las sesiones preiniciadas. Sin embargo, las notificaciones seguirán apareciendo.
Usar grupos de Active Directory
La función Grabación de sesiones permite el uso de grupos de Active Directory al crear directivas. El uso de grupos de Active Directory en lugar de usuarios individuales simplifica la creación y la gestión de las reglas y directivas. Por ejemplo, si los usuarios del departamento financiero de la empresa se encuentran en un grupo de Active Directory denominado Finanzas, puede crear una regla que se aplique a todos los miembros de este grupo al seleccionar el grupo Finanzas en el Asistente de reglas cuando cree dicha regla.
Incluir usuarios en la lista de usuarios permitidos
Se pueden crear directivas de grabación de sesiones que aseguren que las sesiones de algunos usuarios de la empresa nunca se graben. A estos se les llama usuarios de la lista de permitidos. Poner a un usuario en la lista de permitidos es útil para los usuarios que manejan información relacionada con la privacidad o cuando su organización no quiere registrar las sesiones de cierta clase de empleados.
Por ejemplo, si todos los jefes en la empresa son miembros del grupo de Active Directory denominado Ejecutivos, puede hacer que las sesiones de estos usuarios nunca se grabarán con la creación de una regla que desactive el grabado de sesiones para el grupo Ejecutivos. Mientras la directiva que contiene esta regla esté activa, ninguna sesión de los miembros del grupo Ejecutivo se grabará. Las sesiones de los demás miembros de la empresa se graban según las otras reglas de la directiva activa.
Configurar Director para usar el servidor de Grabación de sesiones
Puede utilizar la consola de Director para crear y activar las directivas de grabación.
- Para una conexión HTTPS, instale el certificado para confiar en el servidor de Grabación de sesiones en los Certificados raíz de confianza del servidor de Director.
- Si quiere configurar el servidor de Director para usar el servidor de Grabación de sesiones, ejecute el comando: C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording.
- Escriba la dirección IP o el nombre FQDN del Servidor de grabación de sesiones, el número de puerto y el tipo de conexión (HTTP o HTTPS) que usa el Agente de grabación de sesiones para conectarse al intermediario de Grabación de sesiones en el servidor de Director.
Directivas de detección de eventos
Grabación de sesiones admite la configuración centralizada de las directivas de detección de eventos. Puede crear directivas en la Consola de directivas de grabación de sesiones para registrar varios eventos.
Nota:
Para registrar la inserción de dispositivos de almacenamiento masivo USB y los inicios y finalizaciones de las aplicaciones, utilice la versión 1811 o posterior de la Grabación de sesiones.
Para registrar eventos de operaciones con archivos y actividades de exploración web, utilice la versión 1903 o posterior de la Grabación de sesiones. Para registrar las actividades del portapapeles, utilice la Grabación de sesiones 2012 o una versión posterior.
Directiva de detección de eventos definida por el sistema
La directiva de detección de eventos definida por el sistema es No detectar. Está inactiva de forma predeterminada. Cuando está activa, no se registran eventos.
No se puede modificar ni eliminar la directiva de detección de eventos definida por el sistema.
Crear una directiva de detección de eventos personalizada
Cuando crea su propia directiva de detección de eventos, crea reglas para especificar a usuarios o grupos, aplicaciones o escritorios publicados, grupos de entrega o máquinas VDA, así como direcciones IP del cliente de la aplicación Citrix Workspace cuyos eventos específicos se registran durante la grabación de sesiones. La Consola de directivas de grabación de sesiones cuenta con un asistente para ayudarle a crear reglas. Para obtener la lista de aplicaciones o escritorios publicados y la lista de grupos de entrega o máquinas VDA, debe tener el permiso de lectura como administrador del sitio. Configure el permiso de lectura del administrador en el Delivery Controller del sitio.
Para crear una directiva de detección de eventos personalizada:
-
Inicie la sesión como administrador de directivas autorizado en el servidor donde está instalada la Consola de directivas de grabación de sesiones.
-
Inicie la Consola de directivas de grabación de sesiones. De forma predeterminada, no existe ninguna directiva de detección de eventos activa.
-
Seleccione Directivas de detección de eventos en el panel de la izquierda. En la barra de menú, elija Agregar nueva directiva para crear una directiva de detección de eventos.
-
(Opcional) Haga clic con el botón secundario en la nueva directiva de detección de eventos y cámbiele el nombre.
-
Haga clic con el botón secundario en la nueva directiva de detección de eventos y seleccione Agregar regla.
-
Especifique uno o varios eventos de destino a supervisar. Para ello, marque la casilla situada junto a cada tipo de evento.
-
Registrar eventos USB asignados por CDM: Registra la inserción de un dispositivo de almacenamiento masivo por CDM (asignación de unidades del cliente) en un dispositivo cliente donde está instalada la aplicación Citrix Workspace para Windows o Mac. Además, etiqueta el evento en la grabación.
-
Registrar eventos genéricos de USB redirigidos: Registra la inserción de un dispositivo de almacenamiento masivo genérico redirigido en un dispositivo cliente donde está instalada la aplicación Citrix Workspace para Windows o Mac. Además, etiqueta el evento en la grabación.
-
Registrar eventos de inicio de aplicaciones: Registra los inicios de las aplicaciones de destino y etiqueta el evento en la grabación.
-
Registrar eventos de cierre de aplicaciones: Registra los cierres de las aplicaciones de destino y etiqueta el evento en la grabación.
Nota:
Tenga en cuenta que la Grabación de sesiones no puede registrar el cierre de una aplicación sin registrar el inicio. Por lo tanto, en el asistente de reglas, la casilla Registrar eventos de cierre de aplicaciones está atenuada antes de que se marque Registrar eventos de inicio de aplicaciones.
-
Lista de supervisión de aplicaciones: Cuando marque Registrar eventos de inicio de aplicaciones y Registrar eventos de cierre de aplicaciones, utilice la Lista de supervisión de aplicaciones para especificar las aplicaciones de destino a supervisar y evitar que una cantidad excesiva de eventos sature las grabaciones.
Nota:
- Para registrar el inicio y el cierre de una aplicación, agregue el nombre del proceso de la aplicación a la Lista de supervisión de aplicaciones. Por ejemplo, para capturar el inicio de Conexión a Escritorio remoto, agregue el nombre del proceso
mstsc.exe
a la Lista de supervisión de aplicaciones. Al agregar un proceso a la Lista de supervisión de aplicaciones, se supervisan todas las aplicaciones controladas por el proceso agregado y sus procesos secundarios. De forma predeterminada, Grabación de sesiones agrega los nombres de procesocmd.exe
,powershell.exe
ywsl.exe
a la Lista de supervisión de aplicaciones. Si selecciona Registrar eventos de inicio de aplicaciones y Registrar eventos de cierre de aplicaciones en una directiva de detección de eventos, los inicios y finalizaciones de las aplicaciones Símbolo del sistema, PowerShell y subsistema de Windows para Linux (WSL) se registran independientemente de si agrega manualmente sus nombres de proceso a la Lista de supervisión de aplicaciones. Los nombres de proceso predeterminados no están visibles en la Lista de supervisión de aplicaciones. - Separe los nombres de proceso con un punto y coma (;).
- Solo se admite la coincidencia exacta. No se admiten comodines.
- No se distingue entre mayúsculas y minúsculas en los nombres de proceso que agregue.
- Para evitar que una cantidad excesiva de eventos sature las grabaciones, no agregue ningún nombre de proceso del sistema (por ejemplo, explorer.exe) ni buscadores web al registro.
- Para registrar el inicio y el cierre de una aplicación, agregue el nombre del proceso de la aplicación a la Lista de supervisión de aplicaciones. Por ejemplo, para capturar el inicio de Conexión a Escritorio remoto, agregue el nombre del proceso
-
Registrar operaciones de archivos: Registra operaciones de los archivos de destino especificados en Lista de supervisión de archivos y registra las transferencias de archivos entre hosts de sesión (VDA) y dispositivos cliente (incluidas las unidades de cliente asignadas y los dispositivos de almacenamiento masivo redirigidos genéricos). Al seleccionar esta opción, se desencadena el registro de transferencias de archivos, independientemente de si especifica o no la Lista de supervisión de archivos.
-
Eventos de archivo presentados en el reproductor web
-
Eventos de archivo presentados en el reproductor de Grabación de sesiones
-
-
Lista de supervisión de archivos: Al seleccionar Registrar operaciones de archivos, utilice la Lista de supervisión de archivos para especificar los archivos de destino que se van a supervisar. Puede especificar carpetas para capturar todos los archivos dentro de ellas. De manera predeterminada, no hay ninguna carpeta especificada, lo que significa que no se captura el inicio de ningún archivo.
Nota:
- Para capturar operaciones de cambio de nombre, creación, eliminación o transferencia en un archivo, agregue la cadena de la ruta de acceso de la carpeta del archivo (no el nombre del archivo o la ruta raíz de la carpeta del archivo) a la Lista de supervisión de archivos. Por ejemplo, para capturar operaciones de cambio de nombre, creación, eliminación y transferencia en el archivo
sharing.ppt
enC:\User\File
, agregue la cadena de rutaC:\User\File
a la Lista de supervisión de archivos. - Se admiten tanto las rutas de acceso de archivos locales como las rutas de carpetas compartidas remotas. Por ejemplo, para capturar operaciones en el archivo RemoteDocument.txt de la carpeta
\\remote.address\Documents
, agregue la cadena de ruta\\remote.address\Documents
a la Lista de supervisión de archivos. - Separe las rutas supervisadas con un punto y coma (;).
- Solo se admiten coincidencias exactas. No se admiten comodines.
- No se distingue entre mayúsculas y minúsculas en las cadenas de ruta.
Limitaciones:
- No se puede capturar la copia de archivos o carpetas desde una carpeta supervisada a una carpeta no supervisada.
- Cuando la longitud de una ruta del archivo o la carpeta, incluido el nombre del archivo o la carpeta, supera la longitud máxima (260 caracteres), las operaciones en el archivo o carpeta no se pueden capturar.
- Fíjese en el tamaño de la base de datos. Para evitar que se capture un gran número de eventos, realice una copia de seguridad o elimine la tabla “Evento” con regularidad.
- Cuando se capturan grandes cantidades de eventos en intervalos de tiempo, se muestra el Reproductor y la base de datos almacena solo un elemento por cada tipo de evento para evitar la expansión desmesurada del almacenamiento.
- Para capturar operaciones de cambio de nombre, creación, eliminación o transferencia en un archivo, agregue la cadena de la ruta de acceso de la carpeta del archivo (no el nombre del archivo o la ruta raíz de la carpeta del archivo) a la Lista de supervisión de archivos. Por ejemplo, para capturar operaciones de cambio de nombre, creación, eliminación y transferencia en el archivo
-
Registrar actividades de navegación en la web: Registra las actividades del usuario en los exploradores admitidos y etiqueta el nombre del explorador, la URL y el título de la página en la grabación.
Lista de exploradores admitidos:
Explorador web Versión Chrome 69 y versiones posteriores Internet Explorer 11 Firefox 61 y versiones posteriores -
Registrar eventos de la ventana principal: Registra los eventos de la ventana principal y etiqueta el nombre del proceso, el título y el número del proceso en la grabación.
-
Registrar actividades del portapapeles: Captura en registro las operaciones de copia de texto, imágenes y archivos mediante el portapapeles. En el caso de una copia de archivo, se registra el nombre del proceso y la ruta del archivo. En el caso de una copia de texto, se registra el nombre del proceso y el título. En el caso de una copia de imagen, se registra el nombre del proceso.
-
Registrar modificaciones del Registro: Registra las modificaciones que ocurren en el Registro de Windows durante las sesiones grabadas. Las modificaciones detectadas en el Registro incluyen agregar una clave o un valor, cambiar el nombre de una clave o un valor, cambiar un valor existente y eliminar una clave o un valor.
-
Lista de supervisión del Registro: Cuando seleccione Registrar modificaciones del Registro, escriba las rutas absolutas de los registros de destino que quiere supervisar y separe las rutas con un punto y coma (;). Inicie una ruta con HKEY_USERS, HKEY_LOCAL_MACHINE o HKEY_CLASSES_ROOT. Por ejemplo, puede escribir
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows;HKEY_CLASSES_ROOT\GuestStateVDev
. Si deja esta lista sin especificar, no se captura ninguna modificación del Registro.
-
-
Seleccione y modifique los criterios de las reglas.
Al igual que en la creación de una directiva de grabación personalizada, puede elegir uno o varios criterios de las reglas: Usuarios o grupos, Aplicaciones publicadas o escritorio, Grupos de entrega o máquinas y Dirección IP o intervalo de IP. Para obtener más información, consulte las instrucciones de la sección Crear una directiva de grabación personalizada.
Nota:
Es posible que algunas sesiones no cumplan ningún criterio de reglas en una directiva de detección de eventos. Para estas sesiones, se aplica la acción de la regla de reserva, que siempre es No detectar. No se puede modificar ni eliminar la regla alternativa.
-
Siga las instrucciones del asistente para completar la configuración.
-
Una vez que se haya iniciado una sesión que coincide con una directiva de detección de eventos, el ID de sesión y sus valores del Registro de eventos aparecen en el agente de Grabación de sesiones. Por ejemplo:
Compatibilidad con configuraciones del Registro
Cuando Grabación de sesiones se acaba de instalar o actualizar, no hay ninguna directiva de detección de eventos activa disponible de forma predeterminada. En ese momento, cada Agente de grabación de sesiones respeta los valores de Registro ubicados en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents para determinar si registrar eventos específicos. Para ver una descripción de los valores del Registro, consulte la tabla siguiente:
Valor del Registro | Descripción |
---|---|
EnableSessionEvents | 1: Habilita la detección de eventos globalmente; 0: Inhabilita la detección de eventos globalmente (datos del valor predeterminado). |
EnableCDMUSBDriveEvents | 1: Habilita la detección de la inserción de dispositivos USB de almacenamiento masivo asignados a unidades del cliente; 0: Inhabilita la detección de la inserción de dispositivos USB de almacenamiento masivo asignados a unidades del cliente (datos del valor predeterminado). |
EnableGenericUSBDriveEvents | 1: Habilita la detección de la inserción de dispositivos de almacenamiento masivo USB genéricos redirigidos; 0: Inhabilita la detección de la inserción de dispositivos de almacenamiento masivo USB genéricos redirigidos (datos del valor predeterminado). |
EnableAppLaunchEvents | 1: Habilita la detección de solo los inicios de aplicación; 2: Habilita la detección de los inicios y los cierres de aplicación; 0: Inhabilita la detección de inicios y cierres de aplicación (datos del valor predeterminado). |
AppMonitorList | Especifica las aplicaciones a supervisar. De manera predeterminada, no hay ninguna aplicación especificada, lo que significa que no se capturan datos sobre ninguna aplicación. |
EnableFileOperationMonitorEvents | 1: Habilita operaciones de detección de archivos; 0: Inhabilita operaciones de detección de archivos (datos del valor predeterminado). |
FileOperationMonitorList | Especifica las carpetas de destino que se supervisarán De manera predeterminada, no hay ninguna carpeta especificada, lo que significa que no se captura ninguna operación de archivo. |
EnableWebBrowsingActivities | 1: Habilita la detección de actividades de navegación web; 0: Inhabilita la detección de actividades de navegación web (datos del valor predeterminado). |
Estos son algunos de los casos compatibles:
-
Grabación de sesiones acaba de instalarse o actualizarse desde una versión anterior a 1811 que no permite la detección (registro) de eventos. Los valores del Registro relacionados que constan en cada Agente de grabación de sesiones son los predeterminados. Como no hay ninguna directiva de detección de eventos activa de forma predeterminada, no se registra ningún evento.
-
Si su versión de Grabación de sesiones se actualiza desde una versión anterior a 1811 que permite la detección de eventos, pero tiene la función inhabilitada antes de la actualización, los valores del Registro relacionados que constan en cada Agente de grabación de sesiones siguen siendo los predeterminados. Como no hay ninguna directiva de detección de eventos activa de forma predeterminada, no se registra ningún evento.
-
Si su versión de Grabación de sesiones se actualiza desde una versión anterior a 1811 que admite la detección de eventos y tiene la función habilitada parcial o totalmente antes de la actualización, los valores del Registro relacionados en cada Agente de grabación de sesiones siguen siendo los mismos. Dado que no hay ninguna directiva de detección de eventos activa de forma predeterminada, el comportamiento de la detección de eventos sigue siendo el mismo.
-
Si su versión de Grabación de sesiones se actualiza desde 1811, las directivas de detección (registro) de eventos configuradas en la Consola de directivas siguen usándose.
Precaución:
Al activar una directiva de detección de eventos definida por el sistema o personalizada en la Consola de directivas de grabación de sesiones, se omiten los parámetros pertinentes de Registro en cada Agente de grabación de sesiones. Además, ya no se pueden utilizar los parámetros de Registro para la detección de eventos.
Directivas de visualización de grabaciones
El reproductor de grabación de sesiones admite el control de acceso basado en roles. Puede crear directivas de visualización de grabaciones en la Consola de directivas de grabación de sesiones y agregar varias reglas a cada directiva. Cada regla determina qué usuario o grupo de usuarios pueden ver las grabaciones procedentes de otros usuarios y grupos de usuarios, aplicaciones y escritorios publicados, y grupos de entrega y VDA que usted especifique.
Crear una directiva de visualización de grabaciones personalizada
Antes de crear directivas de visualización de grabaciones, habilite la función de este modo:
- Inicie sesión en la máquina donde se encuentra el servidor de Grabación de sesiones.
- En el menú Inicio, elija Propiedades del servidor de Grabación de sesiones.
- En Propiedades del servidor de Grabación de sesiones, haga clic en la ficha RBAC.
-
Active la casilla de verificación Permite configurar directivas de visualización de grabaciones.
Para crear una directiva de visualización de grabaciones personalizada:
Nota: A diferencia de las directivas de grabación y las directivas de detección de eventos, una directiva de visualización de grabaciones (incluidas todas las reglas que contiene) se activa inmediatamente después de crearla. No tiene que activarla.
-
Inicie la sesión como administrador de directivas autorizado en el servidor donde está instalada la Consola de directivas de grabación de sesiones.
-
Inicie la Consola de directivas de grabación de sesiones. De forma predeterminada, no existe ninguna directiva de visualización de grabaciones.
Nota: El menú Directivas de visualización de grabaciones no está disponible, a menos que haya habilitado la función en Propiedades del Servidor de grabación de sesiones.
-
Seleccione Directivas de visualización de grabaciones en el panel de la izquierda. En la barra de menú, elija Agregar nueva directiva para crear una directiva de visualización de grabaciones.
-
(Opcional) Haga clic con el botón secundario en la nueva directiva y cámbiele el nombre.
-
Haga clic con el botón secundario en la nueva directiva y seleccione Agregar regla.
-
Haga clic en Agregar.
-
En el cuadro de diálogo Seleccionar usuarios o grupos, seleccione un usuario o un grupo de usuarios como los que verán las grabaciones.
Nota:
En cada regla, solo puede seleccionar un usuario o grupo de usuarios para que vean la grabación. Si selecciona varios usuarios o grupos de usuarios, solo surte efecto la selección más reciente, que aparecerá en el cuadro de texto.
Cuando especifique quién puede ver una grabación, compruebe que lo ha asignado al rol Reproductor. Un usuario sin permiso para reproducir sesiones grabadas recibe el siguiente mensaje de error al intentar reproducir una sesión grabada: Para obtener más información, consulte Autorizar usuarios. -
Haga clic en Aceptar y Siguiente. Aparece el cuadro de diálogo para configurar los criterios de las reglas.
- Seleccione y modifique los criterios de las reglas para especificar las grabaciones que puede ver el usuario especificado anteriormente:
- Usuarios o grupos
- Aplicaciones publicadas o escritorio
- Grupos de entrega o máquinas
Nota: Si no especifica los criterios de las reglas, el usuario especificado anteriormente no tendrá grabaciones que ver.
-
Siga las instrucciones del asistente para completar la configuración.
Por ejemplo:
Directivas de respuesta a eventos
Esta configuración de directiva le permite enviar alertas por correo electrónico, iniciar la grabación de pantalla inmediatamente o realizar ambas acciones en respuesta a eventos registrados en las sesiones grabadas. Si la directiva de grabaciones activa graba solamente eventos específicos sin capturar ninguna pantalla, puede configurar un desencadenador de eventos para iniciar la grabación de la pantalla inmediatamente cuando se produzca un evento específico. Esto se denomina grabación de pantalla dinámica desencadenada por eventos.
La única directiva de respuesta a eventos definida por el sistema es No responder. Puede crear directivas de respuesta a eventos personalizadas según sea necesario. Solo puede haber una directiva de respuesta a eventos activa.
La siguiente captura de pantalla le sirve de ejemplo de alerta de correo electrónico:
Sugerencia:
Al hacer clic en la URL de reproducción, se abre la página de reproducción de la sesión grabada en el reproductor web. Al hacer clic aquí, se abre la página Todas las grabaciones en el reproductor web.
Directiva de respuesta a eventos definida por el sistema
Grabación de sesiones proporciona una directiva de respuesta de eventos definida por el sistema:
- No responder. La directiva de respuesta a eventos predeterminada. Si no especifica otra directiva de respuesta a eventos, no se proporcionan alertas por correo electrónico ni la grabación de pantalla dinámica en respuesta a eventos registrados en las grabaciones.
Crear una directiva de respuesta a eventos personalizada
-
Inicie la sesión como administrador de directivas autorizado en el servidor donde está instalada la Consola de directivas de grabación de sesiones.
-
Inicie la Consola de directivas de grabación de sesiones. De forma predeterminada, no existe ninguna directiva de respuesta a eventos activa.
-
Seleccione Directiva de respuesta a eventos en el panel de la izquierda. En la barra de menú, elija Agregar nueva directiva.
-
(Opcional) Haga clic con el botón secundario en la nueva directiva de respuesta a eventos y cámbiele el nombre.
-
Haga clic con el botón secundario en la nueva directiva de respuesta a eventos y seleccione Agregar regla.
-
Seleccione Enviar alerta por correo electrónico al detectar el inicio de una sesión o Usar desencadenantes de eventos para especificar cómo responder al detectar un evento de sesión.
-
(Opcional) Establezca los destinatarios de correo electrónico y las propiedades del remitente de los correos electrónicos.
-
Escriba las direcciones de correo electrónico de los destinatarios de las alertas en el asistente Reglas.
-
Configure los parámetros del correo electrónico saliente en las Propiedades del servidor de Grabación de sesiones.
Nota:
Si selecciona más de dos opciones en la sección Título del correo electrónico, aparecerá un cuadro de diálogo de advertencia donde se indica que puede que el asunto del correo electrónico sea demasiado largo. Después de seleccionar Permitir el envío de notificaciones por correo electrónico y hacer clic en Aplicar, Grabación de sesiones envía un correo electrónico para verificar los parámetros del correo electrónico. Si algún parámetro no es correcto (por ejemplo, una contraseña o un puerto incorrectos), Grabación de sesiones devuelve un mensaje con los detalles del error.
Se necesitan unos cinco minutos para que los cambios en los parámetros del correo electrónico surtan efecto. Para que los cambios en los parámetros del correo electrónico surtan efecto inmediatamente o para solucionar el problema de que los correos electrónicos no se envían por parámetros incorrectos, reinicie el servicio Administrador de almacenamiento (CitrixSsRecStorageManager). Además, reinicie el servicio Storage Manager (Administrador de almacenamiento de grabación de sesiones) si actualiza a la versión actual desde la versión 2006 o anterior.
-
Modifique el Registro para acceder al reproductor web.
Para que las direcciones URL de reproducción incluidas en los mensajes de correo electrónico de las alertas funcionen como es debido, busque la clave de Registro en
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
y lleve a cabo lo siguiente:-
Establezca el valor de LinkHost en la URL del dominio que se utiliza para acceder al reproductor web. Por ejemplo, para acceder a un reproductor web en
https://example.com/webplayer/#/player/
, establezca el valor de LinkHost enhttps://example.com
. -
Agregue un nuevo valor, EmailThreshold, y establezca su valor en un número de 1 a 100. Este valor determina la cantidad máxima de mensajes de alerta que puede enviar una cuenta de correo electrónico en un segundo. Esta configuración ayuda a reducir la cantidad de correos electrónicos que se envían y, por lo tanto, reduce el consumo de la CPU. Si no especifica ningún valor o lo establece en un número fuera del rango, el valor se establece en 25.
Nota:
-
Puede que el servidor de correo electrónico trate a la cuenta de envío de correo electrónico como un robot de spam y, por lo tanto, impida que envíe correo electrónico. Para permitir que una cuenta envíe correos electrónicos, puede que un cliente de correo electrónico como Outlook le solicite que compruebe que es un ser humano quien utiliza la cuenta.
-
Existe un límite de correos electrónicos que se pueden enviar durante un período de tiempo determinado. Por ejemplo, cuando se alcanza el límite diario, no se pueden enviar más correos electrónicos hasta el comienzo del día siguiente. En este caso, compruebe que el límite sea superior a la cantidad de sesiones grabadas durante el período de tiempo.
-
-
-
(Opcional) Configure los desencadenantes de eventos.
Después de seleccionar Usar desencadenantes de eventos para especificar cómo responder al detectar un evento de sesión, el botón Configurar desencadenantes de eventos se vuelve disponible. Haga clic en él para especificar los eventos registrados que pueden desencadenar alertas por correo electrónico, la grabación dinámica de la pantalla o ambas.
Nota:
Debe seleccionar los tipos de eventos que registra la directiva de detección de eventos activa. Haga clic en Confirmar cuando haya terminado.
En la lista desplegable, seleccione los tipos de evento. A continuación, defina las reglas de evento con la ayuda de las dos dimensiones que se combinan con el operador lógico AND. Puede configurar un máximo de siete reglas de evento. También puede definir los desencadenantes de eventos en la columna Descripción o dejar la columna vacía. La descripción definida de un desencadenante de eventos se proporciona en los correos electrónicos de alerta si seleccionó Enviar correo electrónico y se registran eventos de ese tipo. Si seleccionó Iniciar grabación de pantalla, la grabación dinámica de la pantalla se inicia automáticamente cuando se producen ciertos eventos durante una grabación de solo eventos. Establezca el intervalo de tiempo de la grabación de pantalla dinámica. Si deja el intervalo de tiempo sin especificar, la grabación de la pantalla continúa hasta que finaliza la sesión grabada.
Para obtener una lista completa de los tipos de eventos disponibles, consulte la tabla siguiente.
Tipo de evento Dimensión Opción Inicio de aplicación Nombre de la aplicación Línea de comandos completa Cierre de aplicación Nombre de la aplicación Principales Nombre de la aplicación Título de Windows Navegación en la web URL Título de la ficha Nombre del explorador web Creación de archivo Ruta Tamaño de archivo (MB) Cambio de nombre de archivo Ruta Nombre Movimiento de archivo Ruta de origen Ruta de destino Tamaño de archivo (MB) Eliminación de archivo Ruta Tamaño de archivo (MB) USB CDM Letra de la unidad USB genérico Nombre del dispositivo Inactivo Duración de la inactividad (horas) -
Haga clic en Siguiente para seleccionar y modificar los criterios de las reglas.
Al igual que en la creación de una directiva de grabación personalizada, puede elegir uno o varios criterios de las reglas: Usuarios o grupos, Aplicaciones publicadas o escritorio, Grupos de entrega o máquinas y Dirección IP o intervalo de IP. Para obtener más información, consulte las instrucciones de la sección Crear una directiva de grabación personalizada.
Nota:
Cuando una sesión o un evento cumplen más de una regla de una sola directiva de respuesta a eventos, se utiliza la regla más antigua.
- Siga las instrucciones del asistente para completar la configuración.
- Active la nueva directiva de respuesta a eventos.
Activar una directiva
- Inicie sesión como administrador en la máquina donde instaló la Consola de directivas de grabación de sesiones.
- Inicie la Consola de directivas de grabación de sesiones.
- Si aparece la ventana emergente Conectar con servidor de grabación de sesiones, compruebe que el nombre del Servidor de grabación de sesiones, el protocolo y el puerto son correctos. Haga clic en Aceptar.
- En la Consola de directivas de grabación de sesiones, expanda Directivas de grabación o Directivas de registro de eventos, según convenga.
- Seleccione la directiva que quiere activar.
- En la barra de menú, elija Activar directiva.
Modificar una directiva
- Inicie sesión como administrador en la máquina donde instaló la Consola de directivas de grabación de sesiones.
- Inicie la Consola de directivas de grabación de sesiones.
- Si aparece la ventana emergente Conectar con servidor de grabación de sesiones, compruebe que el nombre del Servidor de grabación de sesiones, el protocolo y el puerto son correctos. Haga clic en Aceptar.
- En la Consola de directivas de grabación de sesiones, expanda Directivas de grabación o Directivas de registro de eventos, según convenga.
- Seleccione la directiva que quiere modificar. Las reglas para esta directiva aparecen en el panel derecho.
- Para agregar, modificar o eliminar una regla:
- En la barra de menú, elija Agregar nueva regla. Si la directiva está activa, aparece una ventana emergente solicitando que se confirme la acción. Utilice el Asistente de reglas para crear una regla.
- Seleccione la regla que quiere modificar, haga clic con el botón secundario y elija Propiedades. Use el asistente de reglas para modificar la regla.
- Seleccione la regla que quiere eliminar, haga clic con el botón secundario y elija Eliminar regla.
Eliminar una directiva
Nota:
No se puede eliminar una directiva del sistema o una directiva que está activa.
- Inicie sesión como administrador en la máquina donde instaló la Consola de directivas de grabación de sesiones.
- Inicie la Consola de directivas de grabación de sesiones.
- Si aparece la ventana emergente Conectar con servidor de grabación de sesiones, compruebe que el nombre del Servidor de grabación de sesiones, el protocolo y el puerto son correctos. Haga clic en Aceptar.
- En la Consola de directivas de grabación de sesiones, expanda Directivas de grabación o Directivas de registro de eventos, según convenga.
- En el panel de la izquierda, seleccione la directiva a eliminar. Si la directiva está activa, debe activar otra directiva.
- En la barra de menú, elija Eliminar directiva.
- Seleccione Sí para confirmar la acción.
Comportamiento de la función Renovar
Cuando se activa una directiva, la directiva anteriormente activa permanece en efecto hasta que finaliza la sesión que se está grabando o se renueve el archivo de la grabación. Los archivos se renuevan cuando llegan al límite de tamaño máximo. Para obtener información acerca del tamaño máximo de archivo para las grabaciones, consulte Especificar el tamaño del archivo para las grabaciones.
En la siguiente tabla se indica detalladamente lo que sucede cuando se aplica una nueva directiva mientras se graba una sesión y se da una renovación:
Si la directiva de grabación anterior era | Y la nueva directiva de grabación es | Después de una renovación, la directiva de grabación será |
---|---|---|
No grabar | Cualquier otra directiva | Sin cambios. La nueva directiva entra en efecto solamente cuando el usuario inicia una nueva sesión. |
Grabar sin notificación | No grabar | La grabación se detiene. |
Grabar sin notificación | Grabar con notificación | La grabación continúa y aparece un mensaje de notificación. |
Grabar con notificación | No grabar | La grabación se detiene. |
Grabar con notificación | Grabar sin notificación | La grabación continúa. La próxima vez que el usuario inicia una sesión no aparece ningún mensaje. |