Gatewayのセルフサービス検索
Citrix Gatewayデータソースから受信したユーザーイベントに関するインサイトを得るには、セルフサービス検索機能を使用します。ユーザーがCitrix Gatewayを介してファイルサーバー、アプリケーション、ウェブサイトなどのネットワークリソースにアクセスすると、各ユーザー接続に対してイベントが生成されます。ユーザーイベントの例としては、認証ステージ、承認タイプ、VPNセッションコードなどがあります。Citrix Analytics for Security™はこれらのイベントを受信し、セルフサービス検索ページに表示します。ユーザーとそのアクセス詳細を表示できます。
検索機能の詳細については、セルフサービス検索を参照してください。
Gatewayデータソースの選択
Gatewayイベントを表示するには、リストから Gateway を選択します。デフォルトでは、セルフサービスページには過去1日間のイベントが表示されます。イベントを表示したい期間を選択することもできます。
注
または、セキュリティ > ユーザー > アクセス概要 ダッシュボードからGatewayのセルフサービス検索ページにアクセスすることもできます。ログインが成功したシナリオでは、ステータスコードでデータにアクセスできます。詳細については、アクセス概要ダッシュボードを参照してください。
ファセットを使用したイベントのフィルタリング
ファセットは、データソースから受信したイベントに基づいて分類されます。以下のファセットを使用してイベントをフィルタリングします。
-
認証ステージ - プライマリ、セカンダリ、ターシャリなど、クライアント認証のさまざまなステージに基づいてイベントを検索します。
-
認証タイプ - ローカル、RADIUS、LDAP、TACACS、スマートカード認証を含むクライアント証明書認証など、クライアント認証タイプに基づいてイベントを検索します。
-
デバイスエージェント - iPhone、iPad、Windows Mobileなどのクライアントデバイスに基づいてイベントを検索します。
-
レコードタイプ - VPNレコードのタイプに基づいてイベントを検索します。以下のVPNレコードタイプが利用可能です。
レコードタイプ 説明 VPN_AI 認証に関連するユーザーイベントをフィルタリングします。 VPN_IF ICA®ファイルに関連するユーザーイベントをフィルタリングします。 VPN_ST セッションログアウトに関連するユーザーイベントをフィルタリングします。 -
ブラウザ - Internet Explorer、Chrome、Firefox、Safariなどのブラウザに基づいてイベントを検索します。
-
OS - Windows、Mac、Linux、Android、iOSなどのクライアントオペレーティングシステムに基づいてイベントを検索します。
-
ステータスコード - SSLリダイレクト応答の失敗、承認の失敗、シングルサインオンの失敗など、VPNステータスコードに基づいてイベントを検索します。
-
セッション状態 - クライアント状態、承認状態、SSO状態、アプリケーション帯域幅更新など、VPNセッション状態に基づいてイベントを検索します。
-
セッションモード - フルトンネル、ICAプロキシ、クライアントレスなど、VPNセッションモードに基づいてイベントを検索します。
-
SSO認証方法 - ベーシック、ダイジェスト、NTLM、Kerberos、AGベーシック、フォームベースSSOなど、シングルサインオン認証のさまざまな方法に基づいてイベントを検索します。
-
ログアウトモード - 内部エラーログアウト、セッションタイムアウトログアウト、ユーザー開始ログアウト、管理者終了セッションなど、VPNログアウトモードに基づいてイベントを検索します。
イベントをフィルタリングするための検索クエリの指定
検索ボックスにカーソルを置くと、Gatewayイベントのディメンションリストが表示されます。ディメンションと演算子を使用してクエリを指定し、必要なイベントを検索します。
たとえば、VPNステータスコードが「successful login」であるユーザー「ns133」のイベントを表示したいとします。
-
検索ボックスに「user」と入力し、関連するディメンションを選択します。
-
User-Name を選択し、等号演算子を使用して値「ns133」を入力します。
-
AND 演算子を選択し、次に Status Code ディメンションを選択します。等号演算子を使用して、Status Code に文字列「Successful login」を入力します。
Status Code の可能な文字列値を特定するには、Status Code フィルタリストを展開し、フィルタ名を検索クエリの文字列として使用します。
-
期間を選択し、検索 をクリックして DATA テーブルでイベントを表示します。
検索クエリでサポートされている値
検索クエリを定義するために、ディメンションに以下の値を入力します。
Access-Insight-Flags
VPNセッションの状態を示します。以下のフラグ値のいずれかを入力します。
| VPNセッション状態 | フラグ値 |
|---|---|
| 事前認証 | 2 |
| nFactor(多要素)認証の最終状態 | 1 |
| 認証後 | 4 |
注
このフラグは、認証イベントの先行するVPNセッション状態にのみ適用されます。他のすべてのイベントでは、フラグ値はゼロです。
Applications-Byte-Consumption
Applications-Byte-Consumption ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 40、100
|
数値 | 使用しているアプリケーションによって消費されたデータ(バイト単位)。 |
Authentication-Servers-IP
Authentication-Servers-IP ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 10.xxx.xx.xx
|
文字列 | 認証サーバーのIPアドレス。 |
Authentication-Stage
Authentication-Stage ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
Primary、Secondary、またはTertiary
|
文字列 | クライアント認証のさまざまなステージ。 |
Authentication-Type
Authentication-Type ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
LDAP、SAML、Local、Radius、TACACS、SAMLIDP、またはOTP
|
文字列 | 利用可能な方法のいずれかを通じてユーザーを認証します。 |
Backend-Server-Name
Backend-Server-Name ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 10.xxx.xxx.xx
|
文字列 | バックエンドサーバーのIPアドレス。 |
Browser
Browser ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
PN Agent、Edge、Firefox、Chrome、またはSafari
|
文字列 | 使用されたブラウザ。 |
City
City ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: Boston、Beijing
|
文字列 | ユーザーがログオンした都市。 |
Client-IP
Client-IP ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 10.xxx.xxx.xx
|
文字列 | ユーザーデバイスのIPアドレス。 |
Client-IP-Type
Client-IP-Type ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
| public、private | 文字列 | ユーザーのIPアドレスがパブリックかプライベートかを示します。 |
注
値は大文字と小文字を区別します。値を小文字で入力してください。
Client-Port
Client-Port ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 45334
|
数値 | ユーザーデバイスのポート番号。 |
Country
Country ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: United States、India
|
文字列 | ユーザーがログオンした国。 |
注
値にスペースが含まれる場合は、値を「」で囲みます。例: Country = “Unites States”。
Event-Type
Event-Type ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
| 認証、ICAファイル、セッションログアウト | 文字列 | ユーザーイベントのタイプ。 |
Gateway-FQDN
Gateway-FQDN ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: Gateway-test
|
文字列 | Citrix Gatewayのドメイン名。 |
Gateway-IP
Gateway-IP ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 10.xxx.xxx.xx
|
文字列 | Citrix GatewayのIPアドレス。 |
Gateway-Port
Gateway-Port ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 443
|
文字列 | Citrix Gatewayのポート番号。 |
Logout-Mode
Logout-Mode ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
"Internal error"、"Inactive time out"、"User initiated logout"、または"Administrator killed session"
|
文字列 | VPNセッションのタイムアウトまたは終了の理由。 |
注
値にスペースが含まれる場合は、値を「」で囲みます。例: Logout-Mode =
"Internal error"。
NetScaler-IP
NetScaler-IP ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 10.xxx.xx.xx
|
文字列 | Citrix ADCアプライアンスのIPアドレス。 |
OS
OS ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: MAC_OS、WINDOWS
|
文字列 | ユーザーデバイスのオペレーティングシステム。 |
レコードタイプ
Record Type ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
VPN_AI |
文字列 | 認証に関連するユーザーイベントを示します。 |
VPN_IF |
文字列 | ICAファイルに関連するユーザーイベントを示します。 |
VPN_ST |
文字列 | セッションログアウトに関連するユーザーイベントを示します。 |
SSO-Authentication-Method
SSO-Authentication-Method ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
NSAUTH_BEARER、NSAUTH_FORM、NSAUTH_CITRIXAGBASIC、NSAUTH_NEGOTIATE、NSAUTH_NTLM、またはNSAUTH_BASIC
|
文字列 | シングルサインオン認証のさまざまな方法。 |
Server-IP
Server-IP ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 10.xx.xxx.xx
|
文字列 | バックエンドサーバーのIPアドレス。 |
Server-Port
Server-Port ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
例: 47054
|
数値 | バックエンドサーバーのポート番号。 |
Session-State
Session-State ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
"Set Client State"、"Authorization State"、"SSO State"、および"Application Bandwidth Update"
|
文字列 | VPNセッションの状態。 |
注
値にスペースが含まれる場合は、値を「」で囲みます。例: Session-State =
"Set Client State"。
Status-Code
Status-Code ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
"Successful login"、"Invalid credentials passed"、"Post auth failed and connection quarantined"、"Login not permitted"、"Maximum login failures reached"
|
文字列 | VPNステータスコード。 |
注
値にスペースが含まれる場合は、値を「」で囲みます。例: Session-Code =
"Successful login"。
User-Agent
User-Agent ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
IPHONE、IPAD、またはWINPHONE
|
文字列 | VPNにアクセスするために使用されたエージェントまたはデバイス。 |
VPN-Session-ID
VPN-Session-ID ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
文字列 | ユーザーのVPNセッションに対してサーバーによって割り当てられたセッションID。 |
VPN-Session-Mode
VPN-Session-Mode ディメンションには、以下の値を入力します。
| 値 | タイプ | 説明 |
|---|---|---|
"Full Tunnel"、"ICA Proxy"、またはClientless
|
文字列 | ユーザーのVPNセッションのさまざまなモード。 |
注
値にスペースが含まれる場合は、値を「」で囲みます。例: Session-Code =
"Full Tunnel"。