Configurer les stratégies
Utilisez la console de stratégie d’enregistrement de session pour créer des stratégies d’enregistrement, des stratégies de journalisation d’événements et des stratégies de visionnage d’enregistrement. Lors de la création de stratégies, vous pouvez spécifier des Delivery Controller à partir des environnements locaux et Citrix Cloud.
Important :
pour utiliser la console de stratégie d’enregistrement de session, vous devez avoir installé le Broker PowerShell Snap-in (Broker_PowerShellSnapIn_x64.msi) ou le SDK Citrix Virtual Apps and Desktops Remote PowerShell (CitrixPoshSdk.exe). Le programme d’installation n’installe pas automatiquement les composants logiciels enfichables. Recherchez le Broker PowerShell Snap-in sur l’ISO Citrix Virtual Apps and Desktops (\layout\image- full\x64\Citrix Desktop Delivery Controller). Recherchez le SDK Citrix Virtual Apps and Desktops Remote PowerShell (PS) sur le Site Web Citrix. Suivez les instructions pour installer le composant logiciel enfichable (snap-in) et le SDK manuellement. Si vous ne respectez pas cette consigne, cela peut entraîner une erreur.
Conseil :
Vous pouvez modifier le Registre de façon à éviter la perte de fichiers d’enregistrement au cas où votre serveur d’enregistrement de session pourrait échouer de façon inattendue. Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé l’agent d’enregistrement de session, ouvrez l’Éditeur du Registre et ajoutez une valeur DWORD
DefaultRecordActionOnError
=1
sousHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
.
Stratégies d’enregistrement
Vous pouvez activer les stratégies d’enregistrement définies par le système ou créer et activer vos propres stratégies personnalisées. Les stratégies d’enregistrement définies par le système appliquent une règle unique à tous les utilisateurs, à toutes les applications publiées et à tous les serveurs. Les stratégies d’enregistrement personnalisées précisent quels utilisateurs, quelles applications publiées et quels serveurs sont enregistrés.
La stratégie d’enregistrement active détermine quelles sessions sont enregistrées. Une seule stratégie d’enregistrement peut être active à la fois.
Stratégies d’enregistrement définies par le système
L’enregistrement de session fournit les stratégies d’enregistrement définies par le système suivantes :
- Ne pas enregistrer. Stratégie par défaut. Si vous ne précisez pas d’autre stratégie, aucune session n’est enregistrée.
- Enregistrer tout le monde avec notification. Si vous choisissez cette stratégie, toutes les sessions sont enregistrées. Une fenêtre contextuelle s’affiche pour notifier l’occurrence d’enregistrement.
- Enregistrer tout le monde sans notification. Si vous choisissez cette stratégie, toutes les sessions sont enregistrées. Une fenêtre contextuelle s’affiche pour notifier l’occurrence d’enregistrement.
Vous ne pouvez pas modifier ou supprimer les stratégies d’enregistrement définies par le système.
Créer une stratégie d’enregistrement personnalisée
Lorsque vous créez votre propre stratégie d’enregistrement, vous définissez des règles pour spécifier les sessions de quels utilisateurs ou groupes, quelles applications publiées ou quels bureaux publiés, quels groupes de mise à disposition ou quelles machines VDA et quelles adresses IP du client de l’application Citrix Workspace sont enregistrées. Un assistant intégré à la console de stratégie d’enregistrement de session vous aide à créer des règles. Pour obtenir la liste des applications publiées ou des bureaux publiés, ainsi que la liste des groupes de mise à disposition ou des machines VDA, vous devez disposer d’autorisations d’accès en lecture de l’administrateur du site. Configurez l’autorisation de lecture de l’administrateur sur le Delivery Controller du site.
Pour chaque règle que vous créez, vous spécifiez une action d’enregistrement et un critère de règle. L’action d’enregistrement s’applique aux sessions qui correspondent au critère de règle.
Pour chaque règle, choisissez une action d’enregistrement :
- Ne pas enregistrer. (Choisissez Désactiver l’enregistrement de session dans l’assistant Règles). Cette action d’enregistrement précise que les sessions correspondant aux critères de la règle ne sont pas enregistrées.
- Enregistrer avec notification. (Choisissez Activer l’enregistrement de session avec notification dans l’assistant Règles). Cette action d’enregistrement précise que les sessions correspondant aux critères de la règle sont enregistrées. Une fenêtre contextuelle s’affiche pour notifier l’occurrence d’enregistrement.
- Enregistrer sans notification. (Choisissez Activer l’enregistrement de session sans notification dans l’assistant Règles). Cette action d’enregistrement précise que les sessions correspondant aux critères de la règle sont enregistrées. Les utilisateurs ignorent que leurs activités sont enregistrées.
Pour chaque règle, choisissez au moins l’une des règles suivantes pour créer les critères de règle :
- Utilisateurs ou groupes. Crée une liste d’utilisateurs ou de groupes auxquels l’action de la règle s’applique. L’enregistrement de session vous permet d’utiliser les groupes Active Directory et de placer des utilisateurs sur liste blanche.
- Applications ou bureaux publiés. Crée une liste d’applications ou de bureaux publiés à laquelle l’action de la règle s’applique. Dans l’assistant Règles, choisissez le ou les sites Citrix Virtual Apps and Desktops sur lesquels les applications ou bureaux sont disponibles.
- Groupes de mise à disposition ou machines. Crée une liste de groupes de mise à disposition ou de machines auxquels l’action de la règle s’applique. Dans l’assistant Règles, choisissez l’emplacement des groupes de mise à disposition ou machines.
- Adresse IP ou plage d’adresses IP. Crée une liste d’adresses IP ou de plages d’adresses IP auxquelles l’action de la règle s’applique. Dans la boîte de dialogue Sélectionner IP et plage d’adresses IP, ajoutez une adresse IP ou une plage d’adresses IP valide pour lesquelles l’enregistrement est activé ou désactivé. Les adresses IP mentionnées ici sont les adresses IP des applications Citrix Workspace.
Remarque :
La console de stratégie d’enregistrement de session prend en charge la configuration de plusieurs critères au sein d’une règle unique. Lorsqu’une règle s’applique, les opérateurs logiques « ET » et « OU » sont utilisés pour calculer l’action finale. Généralement, l’opérateur « OU » est utilisé entre les éléments au sein d’un critère, et l’opérateur « ET » est quant à lui utilisé entre les critères distincts. Si le résultat est true, le moteur de stratégie d’enregistrement de session entreprend l’action de la règle. Sinon, il passe à la règle suivante et répète le processus.
Lorsque vous créez plus d’une règle dans une stratégie d’enregistrement, il est possible que certaines sessions correspondent aux critères de plusieurs de ces règles. Dans ces cas de figure, la règle ayant la plus haute priorité est celle appliquée aux sessions.
L’action d’enregistrement d’une règle en détermine la priorité :
- Les règles avec l’action Ne pas enregistrer ont la plus haute priorité.
- Les règles avec l’action Enregistrer avec notification ont la seconde plus haute priorité.
- Les règles avec l’action Enregistrer sans notification ont la priorité la plus faible.
Il se peut que certaines sessions ne correspondent à aucun critère de règle d’une stratégie d’enregistrement. Pour ces sessions, l’action de la règle de repli des stratégies s’applique. L’action de la règle de repli est toujours Ne pas enregistrer. Vous ne pouvez pas modifier ou supprimer la règle de repli.
Pour créer une stratégie d’enregistrement personnalisée :
- Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.
- Démarrez la console de stratégie d’enregistrement de session et sélectionnez Stratégies d’enregistrement dans le panneau gauche. Dans la barre de menu, choisissez Ajouter une nouvelle stratégie.
- Cliquez avec le bouton droit sur Nouvelle stratégie et sélectionnez Ajouter une règle.
- Sélectionnez une option d’enregistrement : dans l’assistant Règles, sélectionnez Désactiver l’enregistrement de session, Activer l’enregistrement de session avec notification (ou sans notification), puis cliquez sur Suivant.
- Sélectionnez les critères de la règle : vous pouvez choisir une ou plusieurs critères de règle :
Utilisateurs ou Groupes
Applications ou bureaux publiés
Groupes de mise à disposition ou Machines
Adresse IP ou Plage d’adresses IP -
Modifiez les critères de la règle : pour modifier, cliquez sur les valeurs soulignées. Les valeurs sont soulignées en fonction des critères que vous avez choisis dans l’étape précédente.
Remarque :
Si vous choisissez la valeur soulignée Applications ou bureaux publiés, l’adresse du site est l’adresse IP, une adresse URL ou un nom de machine si le Controller se trouve sur un réseau local. La liste Nom de l’application indique le nom d’affichage.
Lorsque vous choisissez Applications ou bureaux publiés ou Groupes de mise à disposition ou Machines, spécifiez le Delivery Controller avec lequel votre console de stratégie d’enregistrement de session va communiquer.
La console de stratégie d’enregistrement de session est le seul canal qui communique avec les Delivery Controller à partir d’environnements locaux ou Citrix Cloud.
Par exemple, lorsque vous choisissez Groupes de mise à disposition ou machines, cliquez sur le lien hypertexte correspondant à l’étape 3 de la capture d’écran précédente et cliquez sur Ajouter pour ajouter des requêtes au Controller.
Pour obtenir une description des cas d’utilisation qui couvrent les Delivery Controller Citrix Cloud et locaux, consultez le tableau suivant :
Cas d’utilisation Action requise Delivery Controller locaux - Installez Broker_PowerShellSnapin_x64.msi. 2. Désactivez la case à cocher Citrix Cloud Controller.
Delivery Controller Citrix Cloud - Installez le SDK Citrix Virtual Apps and Desktops Remote PowerShell. 2. Validez les informations d’identification du compte Citrix Cloud. 3. Sélectionnez la case à cocher Citrix Cloud Controller.
Passer d’un Delivery Controller local à un Delivery Controller Citrix Cloud - Désinstallez Broker_PowerShellSnapin_x64.msi et redémarrez l’ordinateur. 2. Installez le SDK Citrix Virtual Apps and Desktops Remote PowerShell. 3. Validez les informations d’identification du compte Citrix Cloud. 4. Sélectionnez la case à cocher Citrix Cloud Controller.
Passer d’un Delivery Controller Citrix Cloud à un Delivery Controller local - Désinstallez le SDK Remote PowerShell Citrix Virtual Apps and Desktops et redémarrez l’ordinateur. 2. Installez Broker_PowerShellSnapin_x64.msi. 3. Désactivez la case à cocher Citrix Cloud Controller.
Validation des informations d’identification de Citrix Cloud
Pour interroger les Delivery Controller hébergés dans Citrix Cloud, validez manuellement vos informations d’identification Citrix Cloud sur l’ordinateur sur lequel la console de stratégie d’enregistrement de session est installée. Le non-respect de ces conditions peut provoquer une erreur et votre console de stratégie d’enregistrement de session peut ne pas fonctionner comme prévu.
Pour effectuer la validation manuelle :
-
Connectez-vous à la console Citrix Cloud et recherchez Gestion des identités et des accès > Accès aux API. Créez un client sécurisé pour accéder aux API afin d’obtenir un profil d’authentification capable de contourner les invites d’authentification de Citrix Cloud. Téléchargez votre client sécurisé, renommez-le et enregistrez-le dans un emplacement sécurisé. Le nom de fichier est défini par défaut sur secureclient.csv.
-
Ouvrez une session PowerShell et exécutez la commande suivante pour que le profil d’authentification (obtenu à l’étape précédente) prenne effet.
asnp citrix.* Set-XDCredentials -CustomerId "citrixdemo" -SecureClientFile "c:\temp\secureclient.csv" -ProfileType CloudAPI –StoreAs "default" <!--NeedCopy-->
Définissez CustomerID et SecureClientFile si nécessaire. La commande précédente crée un profil d’authentification par défaut pour le client
citrixdemo
afin de contourner les invites d’authentification dans les sessions PowerShell en cours et à venir.
- Suivez les instructions de l’assistant pour terminer la configuration.
Remarque :Veuillez noter les limitations suivantes concernant les sessions d’application pré-lancées :
- Si la stratégie active tente d’effectuer une correspondance avec un nom d’application, la correspondance avec les applications lancées dans la session de pré-lancement n’est pas établie, ce qui entraîne l’échec de l’enregistrement de la session.
- Si la stratégie active enregistre chaque application, lorsqu’un utilisateur ouvre la session de l’application Citrix Workspace pour Windows (au même moment où la session de pré-lancement est ouverte), une notification d’enregistrement apparaît et la session de pré-lancement (vide) et toute application lancée ultérieurement dans cette session sont enregistrées.
Une solution consiste à publier les applications dans des groupes de mise à disposition séparés en fonction de leurs stratégies d’enregistrement. N’utilisez pas de nom d’application en tant que condition d’enregistrement. Cette approche garantit que les sessions pré-lancées peuvent être enregistrées. Toutefois, les notifications continuent à s’afficher.
Utiliser des groupes Active Directory
L’enregistrement de session vous permet d’utiliser les groupes Active Directory lorsque vous créez des stratégies. Utiliser les groupes Active Directory au lieu d’utilisateurs individuels simplifie la création et la gestion des règles et des stratégies. Par exemple, si les utilisateurs du service financier de votre société sont réunis dans un groupe Active Directory intitulé « Finance », vous pouvez créer une règle concernant tous les membres de ce groupe en sélectionnant le groupe Finance dans l’assistant de règles lors de la création de la règle.
Utilisateurs sur liste blanche
Vous pouvez créer des stratégies d’enregistrement de session qui font en sorte que certains utilisateurs de votre organisation ne sont jamais enregistrés. Cela s’appelle mettre ces utilisateurs sur liste blanche. La liste blanche est utile pour les utilisateurs qui gèrent des informations relatives à la confidentialité ou lorsque votre organisation ne souhaite pas enregistrer les sessions d’une certaine classe d’employés.
Par exemple, si tous les managers d’une entreprise sont membres d’un groupe Active Directory intitulé Cadres supérieurs, vous pouvez faire en sorte que les sessions de ces utilisateurs ne sont jamais enregistrées en créant une règle désactivant l’enregistrement de sessions pour le groupe Cadres supérieurs. Lorsque la stratégie contenant cette règle est active, aucune session des membres du groupe Cadres supérieurs n’est enregistrée. Les sessions des autres membres de votre organisation sont enregistrées en fonction d’autres règles de la stratégie active.
Configurer Citrix Director pour utiliser le serveur d’enregistrement de session
Vous pouvez utiliser la console Director pour créer et activer des stratégies d’enregistrement.
- Dans le cas d’une connexion HTTPS, installez le certificat destiné à approuver le serveur d’enregistrement de session dans les certificats racines de confiance du serveur Director.
- Pour configurer le serveur Director pour utiliser le serveur d’enregistrement de session, exécutez la commande : C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording
- Entrez l’adresse IP ou le nom de domaine complet du serveur d’enregistrement de session, le numéro de port et le type de connexion (HTTP/HTTPS) que l’agent d’enregistrement de session utilise pour se connecter au broker d’enregistrement de session sur le serveur Director.
Stratégies de journalisation d’événements
L’enregistrement de session prend en charge la configuration centralisée des stratégies de journalisation d’événements. Vous pouvez créer des stratégies dans la console de stratégie d’enregistrement de session pour consigner divers événements.
Remarque :
pour consigner l’insertion de périphériques de stockage de masse USB et le démarrage/la fin de l’application, utilisez Enregistrement de session version 1811 ou ultérieure.
Pour consigner les événements d’opération de fichier et les activités de navigation Web, utilisez Enregistrement de session version 1903 ou ultérieure. Pour consigner les activités du Presse-papiers, utilisez Enregistrement de session version 2012 ou ultérieure.
Stratégie de journalisation d’événements définie par le système
La stratégie de journalisation d’événements définie par le système est Ne pas journaliser. Elle est inactive par défaut. Lorsque cette stratégie est active, aucun événement n’est journalisé.
Vous ne pouvez pas modifier ou supprimer les stratégies de journalisation définies par le système.
Créer une stratégie de journalisation d’événements personnalisée
Lorsque vous créez votre propre stratégie de journalisation d’événements, vous définissez des règles pour spécifier les événements spécifiques de quels utilisateurs ou groupes, quelles applications publiées ou quels bureaux publiés, quels groupes de mise à disposition ou quelles machines VDA et quelles adresses IP du client de l’application Citrix Workspace sont journalisés lors de l’enregistrement de session. Un assistant intégré à la console de stratégie d’enregistrement de session vous aide à créer des règles. Pour obtenir la liste des applications publiées ou des bureaux publiés, ainsi que la liste des groupes de mise à disposition ou des machines VDA, vous devez disposer d’autorisations d’accès en lecture de l’administrateur du site. Configurez l’autorisation de lecture de l’administrateur sur le Delivery Controller du site.
Pour créer une stratégie de journalisation d’événements personnalisée :
-
Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.
-
Démarrez la console de stratégie d’enregistrement de session. Par défaut, il n’existe pas de stratégie de journalisation d’événements active.
-
Sélectionnez Stratégies de journalisation d’événements dans le panneau gauche. Dans la barre de menus, choisissez Ajouter une nouvelle stratégie pour créer une stratégie de journalisation d’événements.
-
(Facultatif) Cliquez avec le bouton droit de la souris sur la nouvelle stratégie de journalisation d’événements et renommez-la.
-
Cliquez avec le bouton droit sur la nouvelle stratégie de journalisation d’événements et sélectionnez Ajouter une règle.
-
Spécifiez un ou plusieurs événements cibles à surveiller en cochant la case en regard de chaque type d’événement.
-
Consigner les événements USB mappés par CDM : journalise l’insertion d’un périphérique de stockage de masse mappé (CDM) sur une machine cliente sur laquelle application Citrix Workspace pour Windows ou Mac est installé et marque l’événement dans l’enregistrement.
-
Consigner les événements USB redirigés génériques : consigne l’insertion d’un périphérique de stockage de masse redirigé générique sur un client sur lequel l’application Citrix Workspace pour Windows ou Mac est installée et marque l’événement dans l’enregistrement.
-
Consigner les événements de démarrage d’application : enregistre les événements de démarrage des applications cibles et marque l’événement dans l’enregistrement.
-
Consigner les événements de fin d’application : enregistre les événements de fin des applications cibles et marque l’événement dans l’enregistrement.
Remarque :
L’enregistrement de session ne peut pas consigner les événements de fin d’une application sans consigner les événements de démarrage. Par conséquent, dans l’assistant de règles, la case à cocher Consigner les événements de fin d’application est grisée si l’option Consigner les événements de démarrage d’application n’est pas sélectionnée.
-
Liste de surveillance des applications : lorsque vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application, utilisez la liste de surveillance des applications pour spécifier les applications cibles à surveiller et éviter qu’une quantité excessive d’événements ne sature les enregistrements.
Remarque :
- Pour capturer le démarrage et la fin d’une application, ajoutez le nom du processus de l’application dans la liste de surveillance des applications. Par exemple, pour capturer le démarrage de la fonction Connexion Bureau à distance, ajoutez le nom du processus
mstsc.exe
dans la liste de surveillance des applications. Lorsque vous ajoutez un processus à la liste de surveillance des applications, les applications lancées par le processus ajouté et ses processus enfants sont surveillées. Par défaut, Enregistrement de session ajoute les noms des processus,cmd.exe
,powershell.exe
etwsl.exe
, à la liste de surveillance des applications. Si vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application pour une stratégie de journalisation des événements, les démarrages et les fins des applications Invite de commandes, PowerShell et Sous-système Windows pour Linux (WSL) sont consignés, que vous ajoutiez ou non manuellement leurs noms de processus à la liste de surveillance des applications. Les noms de processus par défaut ne sont pas visibles dans la liste de surveillance des applications. - Séparez les noms de processus par un point-virgule (;).
- Seule la correspondance exacte est prise en charge. Les caractères génériques ne sont pas pris en charge.
- Les noms des processus que vous ajoutez ne sont pas sensibles à la casse.
- Pour éviter qu’une quantité excessive d’événements ne sature les enregistrements, n’ajoutez aucun nom de processus système (par exemple, explorer.exe) et de navigateurs Web au registre.
- Pour capturer le démarrage et la fin d’une application, ajoutez le nom du processus de l’application dans la liste de surveillance des applications. Par exemple, pour capturer le démarrage de la fonction Connexion Bureau à distance, ajoutez le nom du processus
-
Consigner les événements de fichiers sensibles : journalise les opérations sur les fichiers cibles dans l’enregistrement.
-
Liste de surveillance des fichiers : lorsque vous sélectionnez Consigner les événements de fichiers sensibles, utilisez la liste de surveillance des fichiers pour spécifier les fichiers cibles à surveiller. Vous pouvez spécifier les dossiers dans lesquels capturer tous les fichiers. Aucun fichier n’est spécifié par défaut, ce qui signifie qu’aucun fichier n’est capturé par défaut.
Remarque :
- Pour capturer les opérations de changement de nom, de création, de suppression ou de déplacement sur un fichier, ajoutez la chaîne de chemin du dossier de fichiers (et non le nom de fichier ou le chemin racine du dossier de fichiers) dans la liste de surveillance des fichiers. Par exemple, pour capturer les opérations de changement de nom, de création, de suppression et de déplacement sur le fichier
sharing.ppt
dansC:\User\File
, ajoutez la chaîne de cheminC:\User\File
dans la liste de surveillance des fichiers. - Les chemins de fichiers locaux et les chemins de dossiers partagés distants sont pris en charge. Par exemple, pour capturer les opérations sur le fichier RemoteDocument.txt dans le dossier
\\remote.address\Documents
, ajoutez la chaîne de chemin\\remote.address\Documents
dans la liste de surveillance des fichiers. - Séparez les chemins à surveiller par un point-virgule (;).
- Seules les correspondances exactes sont prises en charge. Les caractères génériques ne sont pas pris en charge.
- Les chaînes de chemin sont insensibles à la casse.
Limitations :
- La copie de fichiers ou de dossiers d’un dossier local surveillé vers un dossier local non surveillé ne peut pas être capturée.
- Lorsque la longueur du chemin d’accès d’un fichier ou d’un dossier, y compris le nom du fichier ou du dossier, dépasse la longueur maximale (260 caractères), les opérations sur le fichier ou le dossier ne peuvent pas être capturées.
- Faites attention à la taille de la base de données. Pour empêcher la capture d’un grand nombre d’événements, sauvegardez ou supprimez régulièrement la table « Événement ».
- Lorsqu’un grand nombre d’événements est capturé à des intervalles réguliers, le lecteur n’affiche qu’un seul élément d’événement et la base de données ne stocke qu’un seul élément d’événement pour chaque type d’événement afin d’éviter un engorgement du stockage.
- Pour capturer les opérations de changement de nom, de création, de suppression ou de déplacement sur un fichier, ajoutez la chaîne de chemin du dossier de fichiers (et non le nom de fichier ou le chemin racine du dossier de fichiers) dans la liste de surveillance des fichiers. Par exemple, pour capturer les opérations de changement de nom, de création, de suppression et de déplacement sur le fichier
-
Consigner les activités de navigation sur le Web : consigne les activités des utilisateurs sur les navigateurs pris en charge et identifie le nom du navigateur, l’URL et le titre de la page dans l’enregistrement.
Liste des navigateurs pris en charge :
Navigateur Version Chrome 69 et versions ultérieures Internet Explorer 11 Firefox 61 et versions ultérieures -
Consigner les activités de la fenêtre principale : consigne les activités de la fenêtre principale et ajoute une balise au nom, au titre et au numéro du processus dans l’enregistrement.
-
Enregistrer les activités du presse-papiers : consigne les opérations de copie de texte, d’images et de fichiers à l’aide du Presse-papiers. Le nom du processus et le chemin d’accès du fichier sont consignés pour une copie de fichier. Le titre et le nom du processus sont consignés pour une copie de texte. Le nom du processus est consigné pour une copie d’image.
-
-
Sélectionnez et modifiez les critères de règle.
De la même façon que vous avez créez une stratégie d’enregistrement personnalisée, sélectionnez un ou plusieurs critères de règle : Utilisateurs ou Groupes, Applications ou bureaux publiés, Groupes de mise à disposition ou Machines et Adresse IP ou Plage d’adresses IP. Pour plus d’informations, consultez les instructions de la section Créer une stratégie d’enregistrement personnalisée.
Remarque :
Il se peut que certaines sessions ne correspondent à aucun critère de règle d’une stratégie de journalisation d’événements. Pour ces sessions, l’action de la règle de repli associée à la journalisation d’événements s’applique ; celle-ci est toujours définie sur Ne pas journaliser. Vous ne pouvez pas modifier ou supprimer la règle de repli.
-
Suivez les instructions de l’assistant pour terminer l’installation.
-
Compatibilité avec les configurations de registre
Lorsque l’enregistrement de session est récemment installé ou mis à niveau, aucune stratégie de journalisation d’événements active n’est disponible par défaut. À l’heure actuelle, chaque agent d’enregistrement de session respecte les valeurs de registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents pour déterminer si des événements spécifiques doivent être journalisés. Pour obtenir une description des valeurs de registre, consultez le tableau suivant :
Valeur de registre | Description |
---|---|
EnableSessionEvents | 1 : active la journalisation d’événements de manière globale ; 0 : désactive la journalisation d’événements de manière globale (données de valeur par défaut). |
EnableCDMUSBDriveEvents | 1 : active la journalisation de l’insertion de périphériques de stockage de masse USB mappés CDM ; 0 : désactive la journalisation de l’insertion de périphériques de stockage de masse USB mappés CDM (données de valeur par défaut). |
EnableGenericUSBDriveEvents | 1 : active la journalisation de l’insertion de périphériques de stockage de masse USB génériques redirigés ; 0 : désactive la journalisation de l’insertion de périphériques de stockage de masse USB génériques redirigés (données de valeur par défaut). |
EnableAppLaunchEvents | 1: active la journalisation des démarrages d’applications uniquement ; 2: active la journalisation des démarrages et des fins d’applications ; 0: désactive la journalisation des démarrages et des fins d’applications (données de valeur par défaut) |
AppMonitorList | Spécifie les applications cibles à surveiller. Aucune application n’est spécifiée par défaut, ce qui signifie qu’aucune application n’est capturée par défaut. |
EnableFileOperationMonitorEvents | 1: active les opérations de journalisation de fichiers ; 0: désactive les opérations de journalisation de fichiers (données de valeur par défaut). |
FileOperationMonitorList | Spécifie les dossiers cibles à surveiller. Aucun dossier n’est spécifié par défaut, ce qui signifie qu’aucune opération de fichier n’est capturée par défaut. |
EnableWebBrowsingActivities | 1: active la journalisation des activités de navigation sur Internet ; 0: désactive la journalisation des activités de navigation sur Internet (données de valeur par défaut). |
Vous trouverez ci-dessous plusieurs scénarios compatibles :
-
Si l’enregistrement de session 1912 est récemment installé ou mis à niveau à partir d’une version précédente (antérieure à 1811) qui ne prend pas en charge la journalisation d’événements, les valeurs de registre associées sur chaque agent d’enregistrement de session sont les valeurs par défaut. Par défaut, il n’existe pas de stratégie de journalisation d’événements active ; aucun n’événement n’est donc journalisé.
-
Si l’enregistrement de session 1912 est mis à niveau à partir d’une version précédente (antérieure à 1811) qui prend en charge la journalisation d’événements mais dont la fonctionnalité est désactivée avant la mise à niveau, les valeurs de registre associées sur chaque agent d’enregistrement de session restent les valeurs par défaut. Par défaut, il n’existe pas de stratégie de journalisation d’événements active ; aucun n’événement n’est donc journalisé.
-
Si l’enregistrement de session 1912 est mis à niveau à partir d’une version précédente (antérieure à 1811) qui prend en charge la journalisation d’événements et dont la fonctionnalité est partiellement ou entièrement activée avant la mise à niveau, les valeurs de registre associées sur chaque agent d’enregistrement de session restent les valeurs par défaut. Par défaut, il n’existe pas de stratégie de journalisation d’événements active ; le comportement de la journalisation d’événements reste donc le même.
-
Si l’enregistrement de session 1912 est mis à niveau à partir de 1811, les stratégies de journalisation des événements configurées dans la console de stratégie restent en fonction.
Attention :
Lorsque vous activez la stratégie de journalisation d’événements définie par le système ou personnalisée dans la console de stratégie d’enregistrement de session, les paramètres de registre pertinents sur chaque agent d’enregistrement de session sont ignorés et vous ne pouvez plus utiliser les paramètres de registre pour la journalisation d’événements.
Stratégies de visionnage d’enregistrement
Le lecteur d’enregistrement de session prend en charge le contrôle d’accès basé sur les rôles. Vous pouvez créer des stratégies de visionnage d’enregistrement dans la console de stratégie d’enregistrement de session et ajouter plusieurs règles à chaque stratégie. Chaque règle détermine les utilisateurs ou groupes d’utilisateurs autorisés à visionner les enregistrements provenant d’autres utilisateurs et groupes d’utilisateur, d’applications et de bureaux publiés, de groupes de mise à disposition et de VDA que vous spécifiez.
Créer une stratégie de visionnage d’enregistrement personnalisée
Avant de pouvoir créer des stratégies de visionnage d’enregistrement, activez la fonctionnalité comme suit :
- Ouvrez une session sur la machine hébergeant le serveur d’enregistrement de session.
- À partir du menu Démarrer, choisissez Propriétés du lecteur d’enregistrement de session.
- Dans la fenêtre Propriétés du serveur d’enregistrement de session, cliquez sur l’onglet RBAC.
-
Cochez la case Autoriser la configuration de stratégies de visionnage d’enregistrement.
Pour créer une stratégie de visionnage d’enregistrement personnalisée :
Remarque : Différente des stratégies d’enregistrement et des stratégies de journalisation d’événements, une stratégie de visionnage d’enregistrement (y compris toutes les règles qui y ont été ajoutées) est active immédiatement lors de sa création. Vous n’avez pas besoin de l’activer.
-
Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.
-
Démarrez la console de stratégie d’enregistrement de session. Par défaut, il n’y a pas de stratégie de visionnage d’enregistrement.
Remarque : le menu Stratégies de visionnage d’enregistrement n’est disponible que si vous avez activé la fonctionnalité dans Propriétés du serveur d’enregistrement de session.
-
Sélectionnez Stratégies de visionnage d’enregistrement dans le volet gauche. Dans la barre de menu, choisissez Ajouter une nouvelle stratégie pour créer une stratégie de visionnage d’enregistrement.
-
(Facultatif) Cliquez avec le bouton droit de la souris sur la nouvelle stratégie et renommez-la.
-
Cliquez avec le bouton droit sur la nouvelle stratégie et sélectionnez Ajouter une règle.
-
Spécifiez les utilisateurs ou groupes d’utilisateurs autorisés à visionner les enregistrements provenant d’autres utilisateurs et groupes d’utilisateurs que vous spécifiez.
Remarque :
Dans chaque règle, vous ne pouvez sélectionner qu’un seul utilisateur ou groupe d’utilisateurs comme personne autorisée à visionner un enregistrement. Si vous sélectionnez plusieurs utilisateurs ou groupes d’utilisateurs, seule votre sélection la plus récente prend effet et apparaît dans la zone de texte.
Lorsque vous autorisez un utilisateur à visionner des enregistrements (rôle Observateur), assurez-vous d’avoir affecté ce dernier au rôle Lecteur. Un utilisateur qui n’est pas autorisé à lire des sessions enregistrées reçoit un message d’erreur lorsqu’il essaye de lire une session enregistrée. Pour de plus amples informations, consultez la section Autoriser les utilisateurs. - Sélectionnez et modifiez les critères de règle pour spécifier les enregistrements qui sont visibles par l’utilisateur autorisé spécifié précédemment :
- Utilisateurs ou groupes
- Applications ou bureaux publiés
- Groupes de mise à disposition ou machines
Remarque : si vous ne spécifiez pas les critères de règle, l’utilisateur autorisé spécifié précédemment ne peut visionner aucun enregistrement.
-
Suivez les instructions de l’assistant pour terminer l’installation.
-
Stratégies d’alerte par e-mail
Ce paramètre de stratégie vous permet d’envoyer des alertes par e-mail aux destinataires spécifiés lorsqu’un démarrage de session ou un événement consigné est détecté. Les alertes par e-mail concernent les sessions enregistrées et les événements consignés conformément aux stratégies de journalisation des événements et d’enregistrement actives.
Pour obtenir un exemple d’alerte par e-mail, consultez la capture d’écran suivante.
Conseil :
Cliquez sur l’URL de lecture pour ouvrir la page de lecture de la session enregistrée dans le lecteur Web. Cliquez ici pour ouvrir la page Tous les enregistrements dans le lecteur Web.
Vous pouvez activer la stratégie d’alerte par e-mail définie par le système ou créer et activer vos propres stratégies d’alerte par e-mail personnalisées. Lors de la création d’une stratégie personnalisée, vous pouvez ajouter plusieurs règles à chaque stratégie. Chaque règle détermine quels utilisateurs ou groupes, applications ou bureaux publiés, groupes de mise à disposition ou machines VDA, et quelles adresses IP du client de l’application Citrix Workspace peuvent déclencher les alertes par e-mail lorsque le démarrage de session est détecté.
Une seule stratégie d’alerte par e-mail peut être active à la fois.
Stratégie d’alerte par e-mail définie par le système
Enregistrement de session fournit une stratégie d’alerte par e-mail définie par le système :
- Ne pas avertir. Stratégie par défaut. Si vous ne spécifiez pas d’autre stratégie, aucune alerte par e-mail n’est envoyée.
Créer une stratégie d’alerte par e-mail personnalisée
Pour créer une stratégie d’alerte par e-mail personnalisée, procédez comme suit :
-
Configurez les paramètres de messagerie sortante dans Propriétés du serveur d’enregistrement de session.
Remarque :
si vous sélectionnez plus de deux options dans la section Titre de l’e-mail, une boîte de dialogue vous avertit que l’objet de l’e-mail peut être trop long. Une fois que vous avez sélectionné Autoriser l’envoi de notifications par e-mail et cliqué sur Appliquer, Enregistrement de session envoie un e-mail pour vérifier vos paramètres de messagerie. Si un paramètre est incorrect, par exemple un mot de passe ou un port incorrect, Enregistrement de session renvoie un message d’erreur avec les détails de l’erreur.
Vos paramètres de messagerie mettent environ cinq minutes à être appliqués. Pour que vos paramètres de messagerie prennent effet immédiatement ou pour résoudre le problème d’e-mails qui ne sont pas envoyés conformément aux paramètres, redémarrez le service Gestionnaire de stockage (CitrixSsRecStorageManager). Vous devez également redémarrer le service Gestionnaire de stockage si vous effectuez une mise à niveau vers la version actuelle à partir de la version 2006 et antérieure.
-
Créez une stratégie d’alerte par e-mail personnalisée dans la console de stratégie d’enregistrement de session.
-
Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.
-
Démarrez la console de stratégie d’enregistrement de session. Par défaut, il n’y a pas de stratégie d’alerte par e-mail active.
-
Sélectionnez Stratégies d’alerte par e-mail dans le panneau gauche. Dans la barre de menus, choisissez Ajouter une nouvelle stratégie pour créer une stratégie d’alerte par e-mail.
-
(Facultatif) Cliquez avec le bouton droit de la souris sur la nouvelle stratégie et renommez-la.
-
Cliquez avec le bouton droit sur la nouvelle stratégie et sélectionnez Ajouter une règle.
5a. Sélectionnez Un démarrage de session a été détecté ou Un événement de session a été détecté. Ajoutez des adresses e-mail pour les destinataires de l’alerte.
Si vous sélectionnez Un événement de session a été détecté, cliquez sur Déclencheurs d’événements actuels pour spécifier les événements consignés qui déclenchent des alertes par e-mail. Sélectionnez les types d’événements dans la liste déroulante et définissez des règles d’événement selon les deux dimensions pouvant être combinées à l’aide de l’opérateur AND logique. Vous pouvez configurer jusqu’à sept règles d’événement. Si vous sélectionnez un type d’événement mais que ses dimensions ne sont pas précisées, des alertes par e-mail sont envoyées lorsque des événements de ce type se produisent. Vous pouvez également définir vos déclencheurs d’événements dans la colonne Description ou laisser la colonne vide. La description que vous avez définie pour un déclencheur d’événement est fournie dans les e-mails d’alerte lorsque des événements de ce type sont consignés. Cliquez sur Confirmer lorsque vous avez terminé.
Remarque : Vous devez sélectionner les types d’événements que la stratégie de journalisation des événements active consigne.
Pour obtenir la liste complète des types d’événements pris en charge, reportez-vous au tableau suivant.
Type d’événement Dimension Option Démarrage de l’application Nom de l’application Ligne de commande complète Fin de l’application Nom de l’application Principaux Nom de l’application Titre de la fenêtre Navigation sur le Web Adresse URL Titre de l’onglet Nom du navigateur Création de fichier Chemin Taille du fichier (Mo) Changement de nom du fichier Chemin Nom Déplacement de fichier Chemin d’accès source Chemin de destination Taille du fichier (Mo) Suppression de fichier Chemin Taille du fichier (Mo) USB CDM Lettre de lecteur USB générique Nom de l’appareil Inactif Durée d’inactivité (heures) 5b. Ajoutez des adresses e-mail pour les destinataires de l’alerte.
5c. Cliquez sur Suivant pour sélectionner et modifier les critères de règle.
De la même façon que vous avez créez une stratégie d’enregistrement personnalisée, sélectionnez un ou plusieurs critères de règle : Utilisateurs ou Groupes, Applications ou bureaux publiés, Groupes de mise à disposition ou Machines et Adresse IP ou Plage d’adresses IP. Pour plus d’informations, consultez les instructions de la section Créer une stratégie d’enregistrement personnalisée.
Remarque :
lorsqu’une session ou un événement rencontre plusieurs règles dans une seule stratégie d’alerte par e-mail, la règle la plus ancienne prend effet.
5d. Suivez les instructions de l’assistant pour terminer l’installation.
-
Activez la nouvelle stratégie d’alerte par e-mail.
-
-
Modifiez le registre pour accéder au lecteur Web.
Pour que les URL de lecture de vos e-mails d’alerte fonctionnent comme prévu, accédez à la clé de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
et procédez comme suit :-
Définissez les données de valeur de LinkHost sur l’URL du domaine que vous utilisez pour accéder au lecteur Web. Par exemple, pour accéder à un lecteur Web sur
https://example.com/webplayer/#/player/
, définissez la valeur de LinkHost surhttps://example.com
. -
Ajoutez une nouvelle valeur, EmailThreshold, et définissez ses données sur un nombre compris entre 1 et 100. Les données de valeur déterminent le nombre maximal d’e-mails d’alerte qu’un compte d’envoi d’e-mails envoie en une seconde. Ce paramètre permet de ralentir le nombre d’e-mails envoyés et donc de réduire l’utilisation de l’UC. Si vous ne spécifiez pas de données de valeur ou si vous les définissez sur un nombre hors plage, les données de valeur sont ramenées à 25.
-
Remarque :
Votre serveur de messagerie peut traiter un compte d’envoi d’e-mails comme bot de spam et l’empêcher d’envoyer des e-mails. Pour autoriser un compte à envoyer des e-mails, un client de messagerie tel qu’Outlook peut vous demander de vérifier que le compte est utilisé par un utilisateur humain.
Il y a une limite pour l’envoi d’e-mails dans un délai donné. Par exemple, lorsque la limite journalière est atteinte, vous ne pouvez pas envoyer d’e-mails avant le début de la journée suivante. Dans ce cas, assurez-vous que la limite est supérieure au nombre de sessions enregistrées au cours de la période.
Activer une stratégie
- Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé la console de stratégie d’enregistrement de session.
- Démarrez la console de stratégie d’enregistrement de session.
- Si la fenêtre Se connecter au serveur d’enregistrement de session s’affiche, veillez à ce que le nom du serveur d’enregistrement de session, le protocole et le port sont corrects. Cliquez sur OK.
- Dans la console de stratégie d’enregistrement de session, développez Stratégies d’enregistrement ou Stratégies de journalisation d’événements au besoin.
- Sélectionnez la stratégie que vous souhaitez activer.
- Dans la barre de menu, choisissez Activer la stratégie.
Modifier une stratégie
- Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé la console de stratégie d’enregistrement de session.
- Démarrez la console de stratégie d’enregistrement de session.
- Si la fenêtre Se connecter au serveur d’enregistrement de session s’affiche, veillez à ce que le nom du serveur d’enregistrement de session, le protocole et le port sont corrects. Cliquez sur OK.
- Dans la console de stratégie d’enregistrement de session, développez Stratégies d’enregistrement ou Stratégies de journalisation d’événements au besoin.
- Sélectionnez la stratégie que vous souhaitez modifier. Les règles de cette stratégie s’affichent dans le volet droit.
- Pour ajouter, modifier ou supprimer une règle :
- Dans la barre de menu, choisissez Ajouter une nouvelle règle. Si cette stratégie est active, une fenêtre indépendante s’affiche pour demander confirmation de l’action entreprise. Utilisez l’assistant Règles pour créer une règle.
- Sélectionnez la règle que vous souhaitez modifier, cliquez avec le bouton droit de la souris et choisissez Propriétés. Utilisez l’assistant Règles pour modifier la règle.
- Sélectionnez la règle que vous souhaitez supprimer, cliquez avec le bouton droit de la souris et choisissez Supprimer la règle.
Supprimer une stratégie
Remarque :
Vous ne pouvez pas supprimer une stratégie définie par le système ou une stratégie active.
- Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé la console de stratégie d’enregistrement de session.
- Démarrez la console de stratégie d’enregistrement de session.
- Si la fenêtre Se connecter au serveur d’enregistrement de session s’affiche, veillez à ce que le nom du serveur d’enregistrement de session, le protocole et le port sont corrects. Cliquez sur OK.
- Dans la console de stratégie d’enregistrement de session, développez Stratégies d’enregistrement ou Stratégies de journalisation d’événements au besoin.
- Dans le panneau gauche, sélectionnez la stratégie que vous souhaitez supprimer. Si la stratégie est active, vous devez en activer une autre.
- Dans la barre de menu, choisissez Supprimer la stratégie.
- Sélectionnez Oui pour confirmer l’action.
Comportement de substitution - définitions
Lorsque vous activez une stratégie, la stratégie précédemment active reste en vigueur jusqu’à ce que la session en cours d’enregistrement se termine ou que le fichier de session enregistrée soit substitué. Les fichiers sont substitués lorsqu’ils atteignent la taille maximale. Pour plus d’informations sur la taille maximale des fichiers pour les enregistrements, consultez la section Définir la taille des fichiers pour les enregistrements.
Le tableau suivant illustre en détail les événements qui se produisent lorsque vous appliquez une nouvelle stratégie d’enregistrement pendant qu’une session est en cours d’enregistrement et qu’une substitution a lieu :
Stratégie d’enregistrement précédente | Nouvelle stratégie d’enregistrement | Stratégie d’enregistrement après substitution |
---|---|---|
Ne pas enregistrer | Toute autre stratégie | Pas de modification. La nouvelle stratégie ne prend effet que lorsque l’utilisateur ouvre une nouvelle session. |
Enregistrer sans notification | Ne pas enregistrer | L’enregistrement s’arrête. |
Enregistrer sans notification | Enregistrer avec notification | L’enregistrement continue et un message de notification s’affiche. |
Enregistrer avec notification | Ne pas enregistrer | L’enregistrement s’arrête. |
Enregistrer avec notification | Enregistrer sans notification | L’enregistrement continue. Aucun message ne s’affiche avant que l’utilisateur ouvre une nouvelle session. |