Citrix Analytics for Security

Gatewayセルフサービス検索

セルフサービス検索機能を使用して、Citrix Gatewayデータソースから受信したユーザーイベントに関する洞察を取得します。ユーザーがCitrix Gateway を介してファイルサーバー、アプリケーション、Webサイトなどのネットワークリソースにアクセスすると、ユーザー接続ごとにイベントが生成されます。ユーザイベントの例としては、認証ステージ、認可タイプ、VPN セッションコードなどがあります。Citrix Analytics for Securityはこれらのイベントを受信し、セルフサービス検索ページに表示します。ユーザーとそのアクセスの詳細を表示できます。

検索機能の詳細については、「 セルフサービス検索」を参照してください。

[Gateway] データソースを選択します

ゲートウェイイベントを表示するには、リストから [ ゲートウェイ ] を選択します。デフォルトでは、セルフサービスページには過去 1 日のイベントが表示されます。また、イベントを表示する期間を選択することもできます。

ゲートウェイデータソースを選択

または、[ セキュリティ ] > [ ユーザー ] > [ アクセスの概要] ダッシュボードから、[ゲートウェイのセルフサービス検索] ページにアクセスできます 。正常なログインシナリオでは、ステータスコードでデータにアクセスできます。詳細については、「 アクセスサマリー 」ダッシュボードを参照してください。

ファセットを使用してイベントをフィルタリングする

ファセットは、データソースから受信したイベントに基づいて分類されます。イベントをフィルタリングするには、次のファセットを使用します。

ゲートウェイファセット

  • Authentication Stage-プライマリ、セカンダリ、ターシャリなどのクライアント認証のさまざまなステージに基づいてイベントを検索します。

  • 認証タイプ-ローカル、RADIUS、LDAP、TACACS、クライアント証明書認証(スマートカード認証を含む)などのクライアント認証タイプに基づいてイベントを検索します。

  • デバイスエージェント-iPhone、iPad、Windows Mobile などのクライアントデバイスに基づいてイベントを検索します。

  • レコードタイプ-VPN レコードのタイプに基づいてイベントを検索します。次の VPN レコードタイプを使用できます。

    レコードタイプ 説明
    VPN_AI 認証に関連するユーザーイベントをフィルタリングします。
    VPN_IF ICAファイルに関連するユーザーイベントをフィルタリングします。
    VPN_ST セッションログアウトに関連するユーザーイベントをフィルタリングします。
  • ブラウザ-Internet Explorer, Chrome, Firefox, Safariなどのブラウザに基づいてイベントを検索します。

  • OS-Windows、Mac、Linux、Android、iOS などのクライアントオペレーティングシステムに基づいてイベントを検索します。

  • [Status Code]:SSL リダイレクト応答の失敗、認証失敗、シングルサインオンの失敗など、VPN ステータスコードに基づいてイベントを検索します。

  • [Session State]:クライアントの状態、許可状態、SSO 状態、アプリケーション帯域幅の更新などの VPN セッション状態に基づいてイベントを検索します。

  • セッションモード-フルトンネル、ICAプロキシ、クライアントレスなどのVPNセッションモードに基づいてイベントを検索します。

  • SSO 認証方法-基本、ダイジェスト、NTLM、Kerberos、AG 基本、フォームベースの SSO など、さまざまなシングルサインオン認証方式に基づいてイベントを検索します。

  • Logout Mode-内部エラーログアウト、セッションタイムアウトログアウト、ユーザ開始ログアウト、管理者がセッションを終了したなど、VPN ログアウトモードに基づいてイベントを検索します。

イベントをフィルタリングする検索クエリを指定する

検索ボックスにカーソルを置いて、Gateway イベントのディメンションのリストを表示します。 ディメンションと演算子を使用してクエリを指定し 、必要なイベントを検索します。

Gatewayのディメンションリスト

たとえば、VPN ステータスコードが「成功ログイン」であるユーザ「ns133」のイベントを表示するとします。

  1. 検索ボックスに「user」と入力して、関連するディメンションを選択します。

    Gateway検索クエリ 1

  2. [ ユーザー名 ] を選択し、等号演算子を使用して値「ns133」を入力します。

    Gateway検索クエリ 2

    Gateway検索クエリ 3

  3. AND 演算子を選択し 、次に [ ステータスコード ] ディメンションを選択します。等号演算子を使用して、 ステータスコードに 「正常なログイン」という文字列を入力します。

    Gateway検索クエリ 4

    ステータスコードの可能な文字列値を識別するには、[ ステータスコード ] フィルタリストを展開し、検索クエリの文字列としてフィルタ名を使用します。

    ステータスコード値

  4. 期間を選択し、[検索] をクリックして、 DATA テーブルのイベントを表示します。

検索クエリでサポートされる値

ディメンションに次の値を入力して、検索クエリを定義します。

アクセスインサイトフラグ

VPN セッションの状態を示します。次のいずれかのフラグ値を入力します。

VPN セッションステート フラグ値
事前認証 2
nFactor (多要素) 認証の最終状態または最終状態 1
認証後 4

このフラグは、認証イベントの前の VPN セッションステートにのみ適用されます。他のすべてのイベントでは、フラグの値はゼロです。

アプリケーション-バイト消費

Applications-Byte-Consumptionディメンションに、次の値を入力します。

種類 説明
例: 40, 100 使用しているアプリケーションによって消費されるデータ (バイト単位)。

認証サーバー-IP

Authentication-Servers-IPディメンションに、次の値を入力します。

種類 説明
例:10.xxx.xx.xx 文字列 認証サーバの IP アドレス。

認証ステージ

Authentication-Stageディメンションに、次の値を入力します。

種類 説明
PrimarySecondary、または Tertiary 文字列 クライアント認証のさまざまな段階。

認証タイプ

Authentication-Typeディメンションに、次の値を入力します。

種類 説明
LDAPSAMLLocalRadiusTACACSSAMLIDP、またはOTP 文字列 使用可能な方法のいずれかを使用してユーザーを認証します。

バックエンドサーバー名

Backend-Server-Nameディメンションに、次の値を入力します。

種類 説明
例:10.xxx.xxx.xx 文字列 バックエンドサーバーの IP アドレス。

ブラウザー

Browserディメンションに、次の値を入力します。

種類 説明
PN AgentEdgeFirefoxChrome、または Safari 文字列 使用するブラウザ。

市区町村

Cityディメンションに、次の値を入力します。

種類 説明
例: Boston, Beijing 文字列 ユーザーがログオンした市区町村。

クライアントIP

Client-IPディメンションに、次の値を入力します。

種類 説明
例:10.xxx.xxx.xx 文字列 ユーザーデバイスの IP アドレス。

クライアント IP タイプ

Client-IP-Typeディメンションに、次の値を入力します。

種類 説明
公立、プライベート 文字列 ユーザー IP アドレスがパブリックかプライベートかを示します。

値では大文字と小文字が区別されます。値を小文字で入力します。

クライアントポート

Client-Portディメンションに、次の値を入力します。

種類 説明
例:45334 ユーザーデバイスのポート番号。

Countryディメンションに、次の値を入力します。

種類 説明
例: United States, India 文字列 ユーザーがログオンした国。

値にスペースが含まれている場合は、値を「」で囲みます。:国 =「Unites States」。

イベントタイプ

Event-Typeディメンションに、次の値を入力します。

種類 説明
認証、ICA ファイル、セッションログアウト 文字列 ユーザーイベントのタイプ。

ゲートウェイFQDN

Gateway-FQDNディメンションに、次の値を入力します。

種類 説明
例:Gateway-test 文字列 Citrix Gateway のドメイン名。

ゲートウェイ IP

Gateway-IPディメンションに、次の値を入力します。

種類 説明
例:10.xxx.xxx.xx 文字列 Citrix Gateway のIPアドレス。

ゲートウェイポート

Gateway-Portディメンションに、次の値を入力します。

種類 説明
例:443 文字列 Citrix Gateway のポート番号。

ログアウトモード

Logout-Modeディメンションに、次の値を入力します。

種類 説明
"Internal error""Inactive time out""User initiated logout"、または"Administrator killed session" 文字列 VPN セッションのタイムアウトまたは終了の理由。

値にスペースが含まれている場合は、値を「」で囲みます。:ログアウトモード = "Internal error"

NetScaler-IP

NetScaler-IPディメンションに、次の値を入力します。

種類 説明
例:10.xxx.xx.xx 文字列 Citrix ADCアプライアンスのIPアドレス。

OS

OSディメンションに、次の値を入力します。

種類 説明
例: MAC_OS, WINDOWS 文字列 ユーザーデバイスのオペレーティングシステム。

レコードタイプ

Record Typeディメンションに、次の値を入力します。

種類 説明
VPN_AI 文字列 認証に関連するユーザーイベントを示します。
VPN_IF 文字列 ICAファイルに関連するユーザーイベントを示します。
VPN_ST 文字列 セッションログアウトに関連するユーザーイベントを示します。

SSO 認証方式

SSO-Authentication-Methodディメンションに、次の値を入力します。

種類 説明
NSAUTH_BEARERNSAUTH_FORMNSAUTH_CITRIXAGBASICNSAUTH_NEGOTIATENSAUTH_NTLM、またはNSAUTH_BASIC 文字列 シングルサインオン認証のさまざまな方法。

サーバーIP

Server-IPディメンションに、次の値を入力します。

種類 説明
例:10.xx.xxx.xx 文字列 バックエンドサーバーの IP アドレス。

サーバーポート

Server-Portディメンションに、次の値を入力します。

種類 説明
例:47054 バックエンドサーバーのポート番号。

セッションステート

Session-Stateディメンションに、次の値を入力します。

種類 説明
"Set Client State""Authorization State""SSO State""Application Bandwidth Update" 文字列 VPN セッションステート。

値にスペースが含まれている場合は、値を「」で囲みます。:セッションステート = "Set Client State"

ステータスコード

Status-Codeディメンションに、次の値を入力します。

種類 説明
"Successful login""Invalid credentials passed""Post auth failed and connection quarantined""Login not permitted""Maximum login failures reached" 文字列 VPN ステータスコード。

値にスペースが含まれている場合は、値を「」で囲みます。:セッションコード = "Successful login"

ユーザーエージェント

User-Agentディメンションに、次の値を入力します。

種類 説明
IPHONEIPAD、または WINPHONE 文字列 VPN へのアクセスに使用されたエージェントまたはデバイス。

VPN-セッション ID

VPN-Session-IDディメンションに、次の値を入力します。

種類 説明
c2c290c61dfe4e07247bde1e22142a12 文字列 サーバーによってユーザーの VPN セッションに割り当てられるセッション ID。

VPN セッションモード

VPN-Session-Modeディメンションに、次の値を入力します。

種類 説明
"Full Tunnel""ICA Proxy"、または Clientless 文字列 ユーザーの VPN セッションのさまざまなモード。

値にスペースが含まれている場合は、値を「」で囲みます。:セッションコード = "Full Tunnel"

Gatewayセルフサービス検索