Journaliser les événements
L’enregistrement de session peut enregistrer des événements et les marquer dans des enregistrements en vue de faciliter leur recherche et lecture ultérieurement. Vous pouvez rechercher des événements d’intérêt au sein d’un grand nombre d’enregistrements et localiser les événements pendant la lecture dans le lecteur d’enregistrement de session.
Événements définis par le système
L’enregistrement de session peut journaliser les événements définis par le système suivants :
-
Insertion des périphériques de stockage de masse USB
-
Démarrages et fins d’applications
-
Opérations de changement de nom, de création, de suppression et de déplacement de fichiers dans les sessions et les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés).
-
Activités de navigation sur Internet
-
Activités de la fenêtre principale
-
Activités du presse-papiers
Insertion des périphériques de stockage de masse USB
L’enregistrement de session peut consigner l’insertion d’un périphérique de stockage de masse USB redirigé générique ou mappé (CDM) sur un client sur lequel l’application Citrix Workspace pour Windows ou Mac est installée. Enregistrement de session marque ces événements dans l’enregistrement.
Remarque :
Pour utiliser un périphérique de stockage de masse USB inséré et consigner les événements d’insertion, définissez la stratégie Redirection de périphérique USB client sur Autorisé dans Citrix Studio.
Actuellement, seule l’insertion de périphériques de stockage de masse USB (Classe USB 08) peut être consignée. Pour plus d’informations, consultez la section Stratégies de détection d’événements.
Démarrages et fins d’applications
L’enregistrement de session prend en charge la journalisation des démarrages et des arrêts d’applications Lorsque vous ajoutez un processus à la liste de surveillance des applications, les applications lancées par le processus ajouté et ses processus enfants sont surveillées. Les processus enfants d’un processus parent qui démarre avant l’exécution de l’enregistrement de session peuvent également être capturés.
Par défaut, Enregistrement de session ajoute les noms des processus, cmd.exe
, powershell.exe
et wsl.exe
, à la liste de surveillance des applications. Si vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application pour une stratégie de journalisation des événements, les démarrages et les fins des applications Invite de commandes, PowerShell et Sous-système Windows pour Linux (WSL) sont consignés, que vous ajoutiez ou non manuellement leurs noms de processus à la liste de surveillance des applications. Les noms de processus par défaut ne sont pas visibles dans la liste de surveillance des applications.
En outre, Enregistrement de session fournit une ligne de commande complète pour chaque événement de démarrage d’application consigné.
Opérations de changement de nom, de création, de suppression et de déplacement de fichiers dans les sessions et les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes
L’enregistrement de session peut consigner les opérations de changement de nom, de création, de suppression et de déplacement sur les fichiers et dossiers cibles que vous spécifiez dans la Liste de surveillance des fichiers. L’enregistrement de session peut également consigner les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés). La sélection de l’option Consigner les événements de fichiers sensibles déclenche la journalisation des transferts de fichiers, que vous spécifiiez ou non la Liste de surveillance des fichiers. Pour plus d’informations, consultez la section Stratégies de détection d’événements.
Remarque :
Pour activer le glisser-déplacer de fichier et capturer les événements de glisser-déplacer, définissez la stratégie Glisser-déposer sur Activé dans Citrix Studio.
Activités de navigation sur Internet
Vous pouvez enregistrer les activités des utilisateurs sur les navigateurs pris en charge et marquer les événements dans l’enregistrement. Le nom du navigateur, l’URL et le titre de la page sont enregistrés. Pour obtenir un exemple, consultez la capture d’écran suivante.
Lorsque vous éloignez votre curseur d’une page Web qui a le focus, votre navigation sur cette page Web est marquée sans afficher le nom du navigateur. Cette fonctionnalité peut être utilisée pour estimer combien de temps un utilisateur reste sur une page Web. Pour obtenir un exemple, consultez la capture d’écran suivante.
Liste des navigateurs pris en charge :
Navigateur | Version |
---|---|
Chrome | 69 et versions ultérieures |
Internet Explorer | 11 |
Firefox | 61 et versions ultérieures |
Activités de la fenêtre principale
L’enregistrement de session peut consigner les activités de la fenêtre principale et ajouter une balise aux événements de l’enregistrement. Le nom, le titre et le numéro du processus sont consignés.
Activités du presse-papiers
L’enregistrement de session peut consigner les opérations de copie de texte, d’images et de fichiers à l’aide du presse-papiers. Le nom du processus et le chemin d’accès du fichier sont consignés pour une copie de fichier. Le titre et le nom du processus sont consignés pour une copie de texte. Le nom du processus est consigné pour une copie d’image.
Remarque : Le contenu du texte copié n’est pas consigné par défaut. Pour consigner le contenu du texte, accédez à l’Agent d’enregistrement de session et définissez HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\SmartAuditor\Agent\CaptureClipboardContent
sur 1
(la valeur par défaut est 0
).
Événements personnalisés
L’agent d’enregistrement de session fournit l’interface COM IUserAPI que les applications tierces peuvent utiliser pour ajouter des données d’événement spécifiques à l’application dans les sessions enregistrées. En fonction de la personnalisation de l’événement, l’enregistrement de session peut bloquer les informations sensibles et consigner les événements de pause et de reprise de session en conséquence.
Blocage d’informations sensibles
L’enregistrement de session vous permet d’ignorer certaines périodes lors de l’enregistrement de l’écran et de bloquer les informations sensibles pendant ces périodes au cours de la lecture de session. Pour utiliser cette fonctionnalité, utilisez Enregistrement de session 2012 et versions ultérieures.
Pour utiliser cette fonctionnalité, procédez comme suit :
-
Dans Propriétés de l’Agent d’enregistrement de session, activez la case à cocher Autoriser les applications tierces à enregistrer des données personnalisées sur cette machine VDA et cliquez sur Appliquer.
-
Accordez aux utilisateurs l’autorisation d’appeler l’API d’événements de l’enregistrement de session (interface COM IUserAPI).
L’enregistrement de session a ajouté le contrôle d’accès à l’interface COM API d’événement dans la version 7.15. Seuls les utilisateurs autorisés peuvent invoquer la fonctionnalité pour insérer des métadonnées d’événement dans un enregistrement.
Les administrateurs locaux bénéficient de cette autorisation par défaut. Pour accorder cette autorisation à d’autres utilisateurs, utilisez l’outil de configuration Windows DCOM :
-
Ouvrez l’outil de configuration Windows DCOM sur l’agent d’enregistrement de session en exécutant
dcomcnfg.exe
. -
Cliquez avec le bouton droit sur Agent d’enregistrement de session Citrix et choisissez Propriétés.
-
Sélectionnez l’onglet Sécurité, cliquez sur Modifier pour ajouter des utilisateurs disposant de l’autorisation Activation locale dans la section Autorisations d’exécution et d’activation.
Remarque :
la configuration DCOM prend effet immédiatement. Il n’est pas nécessaire de redémarrer les services ou la machine.
-
-
Démarrez une session virtuelle Citrix.
-
Démarrez PowerShell et modifiez le lecteur actuel vers le dossier <chemin d’installation de l’Agent d’enregistrement de session>\Bin pour importer le module SRUserEventHelperSnapin.dll.
-
Exécutez les applets de commande
Session-Pause
etSession-Resume
pour définir les paramètres de déclenchement du blocage des informations sensibles.Paramètre Description Requis ou facultatif -APP
Nom de l’application qui appelle l’applet de commande. Requis -Reason
Raison pour laquelle le contenu est bloqué. Si vous laissez ce paramètre non spécifié, la valeur par défaut s’affiche, indiquant Contenu bloqué et Du contenu sensible a été détecté et bloqué.. Si vous définissez ce paramètre, la raison que vous spécifiez s’affiche lorsque vous accédez à la période bloquée pendant la lecture de session. Facultatif Par exemple, vous pouvez exécuter
Session-Pause
de la manière suivante :
Rechercher et visualiser des enregistrements avec des événements marqués
Rechercher des enregistrements avec des événements marqués
Le lecteur d’enregistrement de session vous permet d’effectuer des recherches avancées sur des enregistrements avec événements marqués.
- Dans le lecteur d’enregistrement de session, cliquez sur Recherche avancée dans la barre d’outils ou choisissez Outils > Recherche avancée.
- Définissez vos critères de recherche dans la boîte de dialogue Recherche avancée.
L’onglet Événements vous permet de rechercher des événements marqués dans les sessions par texte d’événement, type d’événement ou les deux. Vous pouvez combiner les filtres Événements, Commun, Date/Heure et Autre pour rechercher des enregistrements répondant à vos critères.
Remarque :
- La liste Type d’événement détaille tous les types d’événements qui ont été consignés par l’enregistrement de session Citrix. Vous pouvez sélectionner n’importe quel type d’événement à rechercher. La sélection de Tout événement défini par Citrix équivaut à rechercher tous les enregistrements avec tout type d’événement consigné par l’enregistrement de session Citrix.
- Le filtre Texte de l’événement prend en charge la correspondance partielle. Les caractères génériques ne sont pas pris en charge.
- Le filtre Texte de l’événement n’est pas sensible à la casse lors de la correspondance.
- Pour les types d’événements, les mots
App Start
,App End
,Client drive mapping
etFile Rename
ne donnent pas de résultat lors d’une recherche par Texte de l’événement. Par conséquent, lorsque vous tapezApp Start
,App End
,Client drive mapping
ouFile Rename
dans la zone Texte de l’événement, aucun résultat ne peut être trouvé.
Lire des enregistrements avec des événements marqués
Lorsque vous lisez un enregistrement avec des événements marqués, les événements sont présents dans le panneau Événements et signets et apparaissent en tant que points jaunes dans la partie inférieure du lecteur d’enregistrement de session :
Vous pouvez utiliser les événements pour naviguer dans une session enregistrée ou passer directement aux points où les événements sont marqués.