Recherche en libre-service pour Gateway
Utilisez la fonctionnalité de recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Citrix Gateway. Lorsque les utilisateurs accèdent à leurs ressources réseau, telles que les serveurs de fichiers, les applications, les sites web via Citrix Gateway, des événements sont générés pour chaque connexion utilisateur. Quelques exemples d’événements utilisateur sont l’étape d’authentification, le type d’autorisation et le code de session VPN. Citrix Analytics for Security™ reçoit ces événements et les affiche sur la page de recherche en libre-service. Vous pouvez afficher les utilisateurs et leurs détails d’accès.
Pour plus d’informations sur les fonctionnalités de recherche, consultez Recherche en libre-service.
Sélectionner la source de données Gateway
Pour afficher les événements Gateway, sélectionnez Gateway dans la liste. Par défaut, la page en libre-service affiche les événements du dernier jour. Vous pouvez également sélectionner la période pour laquelle vous souhaitez afficher les événements.
Remarque
Vous pouvez également accéder à la page de recherche en libre-service pour Gateway à partir du tableau de bord Sécurité > Utilisateurs > Résumé de l’accès. Dans les scénarios de connexion réussie, vous pouvez accéder aux données par code d’état. Pour plus d’informations, consultez le tableau de bord Résumé de l’accès.
Utiliser les facettes pour filtrer les événements
Les facettes sont classées en fonction des événements reçus de votre source de données. Utilisez les facettes suivantes pour filtrer vos événements :
-
Étape d’authentification – Recherchez les événements en fonction des différentes étapes d’authentification client, telles que primaire, secondaire et tertiaire.
-
Type d’authentification – Recherchez les événements en fonction des types d’authentification client, tels que Local, RADIUS, LDAP, TACACS, authentification par certificat client, y compris l’authentification par carte à puce.
-
Agent de périphérique – Recherchez les événements en fonction des périphériques clients, tels que iPhone, iPad, Windows Mobile.
-
Type d’enregistrement – Recherchez les événements en fonction des types d’enregistrements VPN. Les types d’enregistrements VPN suivants sont disponibles :
Type d’enregistrement Description VPN_AI Filtre les événements utilisateur liés à l’authentification. VPN_IF Filtre les événements utilisateur liés au fichier ICA®. VPN_ST Filtre les événements utilisateur liés à la déconnexion de session. -
Navigateur – Recherchez les événements en fonction des navigateurs, tels que Internet Explorer, Chrome, Firefox, Safari.
-
Système d’exploitation – Recherchez les événements en fonction des systèmes d’exploitation clients, tels que Windows, Mac, Linux, Android, iOS.
-
Code d’état – Recherchez les événements en fonction des codes d’état VPN, tels que l’échec de la réponse de redirection SSL, l’échec de l’autorisation, l’échec de l’authentification unique.
-
État de la session – Recherchez les événements en fonction des états de session VPN, tels que l’état client, l’état d’autorisation, l’état SSO, la mise à jour de la bande passante de l’application.
-
Mode de session – Recherchez les événements en fonction des modes de session VPN, tels que Tunnel complet, Proxy ICA, Sans client.
-
Méthode d’authentification SSO – Recherchez les événements en fonction des différentes méthodes d’authentification unique, telles que de base, digest, NTLM, Kerberos, AG de base, SSO basé sur formulaire.
-
Mode de déconnexion – Recherchez les événements en fonction des modes de déconnexion VPN, tels que la déconnexion par erreur interne, la déconnexion par expiration de session, la déconnexion initiée par l’utilisateur, la session terminée par l’administrateur.
Spécifier la requête de recherche pour filtrer les événements
Placez votre curseur dans la zone de recherche pour afficher la liste des dimensions pour les événements Gateway. Utilisez les dimensions et les opérateurs pour spécifier votre requête et rechercher les événements requis.
Par exemple, vous souhaitez afficher les événements pour un utilisateur « ns133 » dont le code d’état VPN est « connexion réussie ».
-
Saisissez « user » dans la zone de recherche pour choisir la dimension associée.
-
Sélectionnez User-Name et saisissez la valeur « ns133 » à l’aide de l’opérateur d’égalité.
-
Sélectionnez l’opérateur AND, puis sélectionnez la dimension Code d’état. Saisissez la chaîne « Successful login » pour Code d’état à l’aide de l’opérateur d’égalité.
Pour identifier les valeurs de chaîne possibles pour Code d’état, développez la liste de filtres Code d’état et utilisez le nom du filtre comme chaîne dans votre requête de recherche.
-
Sélectionnez la période et cliquez sur Rechercher pour afficher les événements dans le tableau DONNÉES.
Valeurs prises en charge pour votre requête de recherche
Saisissez les valeurs suivantes pour les dimensions afin de définir votre requête de recherche.
Access-Insight-Flags
Indique les états de session VPN. Saisissez l’une des valeurs d’indicateur suivantes :
| État de session VPN | Valeur d’indicateur |
|---|---|
| Pré-authentification | 2 |
| Dernier ou état final de l’authentification nFactor (multi-facteurs) | 1 |
| Post-authentification | 4 |
Remarque
Cet indicateur s’applique uniquement aux états de session VPN précédents pour les événements d’authentification. Pour tous les autres événements, la valeur de l’indicateur est zéro.
Applications-Byte-Consumption
Pour la dimension Applications-Byte-Consumption, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : 40, 100
|
Nombre | Données (en octets) consommées par l’application que vous utilisez. |
Authentication-Servers-IP
Pour la dimension Authentication-Servers-IP, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xx.xx
|
Chaîne | Adresse IP du serveur d’authentification. |
Authentication-Stage
Pour la dimension Authentication-Stage, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Primary, Secondary, ou Tertiary
|
Chaîne | Différentes étapes de l’authentification client. |
Authentication-Type
Pour la dimension Authentication-Type, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
LDAP,SAML, Local, Radius, TACACS, SAMLIDP, ou OTP. |
Chaîne | Authentifiez vos utilisateurs via l’une des méthodes disponibles. |
Backend-Server-Name
Pour la dimension Backend-Server-Name, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xxx.xx
|
Chaîne | Adresse IP du serveur principal. |
Browser
Pour la dimension Browser, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
PN Agent, Edge, Firefox, Chrome, ou Safari. |
Chaîne | Navigateur utilisé. |
City
Pour la dimension City, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : Boston, Beijing
|
Chaîne | Ville d’où l’utilisateur s’est connecté. |
Client-IP
Pour la dimension Client-IP, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xxx.xx
|
Chaîne | Adresse IP du périphérique utilisateur. |
Client-IP-Type
Pour la dimension Client-IP-Type, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
| public, private | Chaîne | Indique si l’adresse IP de l’utilisateur est publique ou privée. |
Remarque
Les valeurs sont sensibles à la casse. Saisissez les valeurs en minuscules.
Client-Port
Pour la dimension Client-Port, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 45334
|
Nombre | Numéro de port du périphérique utilisateur. |
Country
Pour la dimension Country, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : United States, India
|
Chaîne | Pays d’où l’utilisateur s’est connecté. |
Remarque
Mettez la valeur entre guillemets si elle contient des espaces. Exemple : Country = « United States ».
Event-Type
Pour la dimension Event-Type, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
| Authentication, ICA file, Session logout | Chaîne | Type d’événements utilisateur. |
Gateway-FQDN
Pour la dimension Gateway-FQDN, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : Gateway-test
|
Chaîne | Nom de domaine de votre Citrix Gateway. |
Gateway-IP
Pour la dimension Gateway-IP, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xxx.xx
|
Chaîne | Adresse IP de votre Citrix Gateway. |
Gateway-Port
Pour la dimension Gateway-Port, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 443
|
Chaîne | Numéro de port de votre Citrix Gateway. |
Logout-Mode
Pour la dimension Logout-Mode, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Internal error", "Inactive time out", "User initiated logout", ou "Administrator killed session". |
Chaîne | Raison de l’expiration ou de la fin de la session VPN. |
Remarque
Mettez la valeur entre guillemets si elle contient des espaces. Exemple : Logout-Mode = « Internal error ».
NetScaler-IP
Pour la dimension NetScaler-IP, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xx.xx
|
Chaîne | Adresse IP de votre appliance Citrix ADC. |
OS
Pour la dimension OS, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : MAC_OS, WINDOWS
|
Chaîne | Système d’exploitation du périphérique utilisateur. |
Record Type
Pour la dimension Record Type, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
VPN_AI |
Chaîne | Indique les événements utilisateur liés à l’authentification. |
VPN_IF |
Chaîne | Indique les événements utilisateur liés au fichier ICA®. |
VPN_ST |
Chaîne | Indique les événements utilisateur liés à la déconnexion de session. |
SSO-Authentication-Method
Pour la dimension SSO-Authentication-Method, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASIC, NSAUTH_NEGOTIATE, NSAUTH_NTLM, ou NSAUTH_BASIC. |
Chaîne | Différentes méthodes d’authentification unique. |
Server-IP
Pour la dimension Server-IP, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xx.xxx.xx
|
Chaîne | Adresse IP du serveur principal. |
Server-Port
Pour la dimension Server-Port, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 47054
|
Nombre | Numéro de port du serveur principal. |
Session-State
Pour la dimension Session-State, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Set Client State", "Authorization State", "SSO State", et "Application Bandwidth Update"
|
Chaîne | L’état de la session VPN. |
Remarque
Mettez la valeur entre guillemets si elle contient des espaces. Exemple : Session-State = « Set Client State ».
Status-Code
Pour la dimension Status-Code, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached"
|
Chaîne | Le code d’état VPN. |
Remarque
Mettez la valeur entre guillemets si elle contient des espaces. Exemple : Status-Code = « Successful login ».
User-Agent
Pour la dimension User-Agent, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
IPHONE, IPAD, ou WINPHONE
|
Chaîne | L’agent ou le périphérique utilisé pour accéder au VPN. |
VPN-Session-ID
Pour la dimension VPN-Session-ID, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
Chaîne | ID de session attribué par le serveur pour la session VPN d’un utilisateur. |
VPN-Session-Mode
Pour la dimension VPN-Session-Mode, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Full Tunnel", "ICA Proxy", ou Clientless
|
Chaîne | Différents modes de session VPN d’un utilisateur. |
Remarque
Mettez la valeur entre guillemets si elle contient des espaces. Exemple : VPN-Session-Mode = « Full Tunnel ».