製品ドキュメント
Citrix Analytics for Security™
PDFを表示

データエクスポートのトラブルシューティング

September 16, 2025
寄稿者: 
C C

セキュリティビューのデータエクスポートには、管理者がCitrix AnalyticsとのSIEM統合をトラブルシューティングするのに役立つ [サマリー] タブが含まれています。[サマリー] ダッシュボードは、トラブルシューティングプロセスを支援するチェックポイントを通じて、データの健全性とフローを可視化します。

データエクスポートのトラブルシューティング

サマリータブ

[サマリー] タブは、データエクスポートビューにおけるセルフサービストラブルシューティングワークフローの基盤を形成します。このタブでは、次の3つのカードを使用してSIEMセットアップについて説明します。

  • Citrix Analyticsで利用可能なデータ: このカードは、データソース構成の状態を示します。
  • SIEM消費に利用可能なイベント: このカードは、SIEM環境で消費される準備ができているイベントの数を表示します。
  • SIEMによるデータ消費: このカードは、SIEM環境におけるデータフローの状態を表示します。

Citrix Analyticsで利用可能なデータ

Citrix Analyticsで利用可能なデータ

[Citrix Analyticsで利用可能なデータ] カードは、Citrix Analytics for SecurityにオンボードされているSIEMインサイトに最終的に貢献できるデータソースの数を示します。現在、データエクスポートでサポートされているデータソースは、Apps and Desktops、Gateway、およびSecure Private Accessの3つです。これらのデータソースがオンボードされていても、データ処理がオフになっているデータソースではデータエクスポートは機能しません。そのようなデータソースが検出されると、上記の画像に示されているような適切な警告メッセージが表示されます。

[過去7日間のイベントを表示] ボタンをクリックすると、管理者はセルフサービス検索ビューにリダイレクトされ、イベントがCitrix Analytics for Securityに流入したことを確認できます。[データソースをオンボード] ボタンをクリックすると、データソースビューにリダイレクトされ、オンボーディングプロセスを詳細に確認できます。

オンボードされたデータソースがない場合、次のスクリーンショットに示すように、適切な警告メッセージが表示されます。

データソースがない場合の警告メッセージ

SIEM消費に利用可能なイベント

SIEM消費に利用可能なイベント

[SIEM消費に利用可能なイベント] カードは、SIEM環境に流入すると予想されるインサイトイベントとデータソースイベントの数、およびその内訳を表示します。展開すると、エクスポート用の各タイプのデータイベントのさらに詳細な内訳も利用できます。

SIEMによるデータ消費

[SIEMによるデータ消費] カードは、Citrix Analyticsによって準備されたデータがSIEM環境に流入する際の健全性を示します。データ消費ステータスは、Kafka トピック内のオフセットの移動に基づいています。利用可能な場合、カードには、データ消費が最後に正常に検出されたときのタイムスタンプも表示されます。データ消費ステータスとタイムスタンプの両方は、10分ごとに更新されます。Kafkaコンシューマーグループ/オフセット管理の詳細については、こちらをクリックしてください。

データ消費ステータスは、次の状態を取ることができます。

  1. 非アクティブな消費

    • データエクスポート履歴なし: この状態は、Citrix Analyticsによって準備されたデータがSIEM環境に正常に流入したことがないことを示すオレンジ色の点で表されます。

      データエクスポート履歴なし

      これは、次の原因が考えられます。

      • データソース構成が正しくないか、不完全である。[Citrix Analyticsで利用可能なデータ] カードを使用して、十分なデータソースがあるか、およびデータエクスポートを許可するためにデータ処理がオンになっているかを確認できます。

      • ユーザーアクティビティの不足。[Citrix Analyticsで利用可能なデータ] カードの [過去7日間のイベントを表示] ボタンを使用して、ユーザーアクティビティがないことを確認できます。さらに、[SIEM消費に利用可能なイベント] カードを使用して、Citrix AnalyticsによってSIEMに流入する準備ができているインサイトイベントまたはデータソースイベントがあるかを確認できます。

      • SIEMセットアップが正しくないか、不完全である。[構成] タブの [アカウントセットアップ] ステージが正常に完了していることを確認します。セットアップが完了している場合、[アカウントセットアップ] ステージに緑色のチェックマークが表示されます。

        アカウントセットアップが正常に完了した後も状態が変わらない場合は、次の点を確認してさらにトラブルシューティングを行ってください。

    • アクティブな消費は検出されません: この状態は、少なくとも過去10分間にデータがSIEM環境に正常に流入していないことを示します。カードには、データの最後の正常な移動のタイムスタンプも表示されます。[データエクスポート履歴なし] と同様に、[Citrix Analyticsで利用可能なデータ] および [SIEM消費に利用可能なイベント] カードを使用してトラブルシューティングできます。利用可能なイベント数が増加するのに十分なユーザーアクティビティがある場合は、最後の成功したタイムスタンプに焦点を当てて、そのタイムスタンプ以降にファイアウォールの変更やパスワードのローテーションが発生したかどうかを確認することをお勧めします。

      アクティブな消費は検出されません

    • 7日以上前にエクスポート済み: この状態は、SIEMでのアクティブな消費が最後に検出されたのが1週間以上前であることを示します。上記の2つの状態と同様に、このデータ消費状態が検出された場合は、[Citrix Analyticsで利用可能なデータ] および [SIEM消費に利用可能なイベント] カードを使用してSIEMセットアップをトラブルシューティングしてください。

      7日以上前にエクスポート済み

      Kafkaリテンションポリシー: Citrix Analytics Kafkaトピックは、イベントを最大7日間のみ保持します。潜在的なデータ損失を回避または防止するために、データポーリング間隔を7日を超えないように設定することをお勧めします。

    非アクティブな消費では、トラブルシューティングプロセスを進めるのに役立つ次の警告メッセージを表示できます。

    [データエクスポート履歴なし] のケースで強調されているように、SIEMセットアップが完了していない場合、データはSIEM環境に流入しません。したがって、次のスクリーンショットに示すように、アカウントセットアップを完了するためにユーザーは [構成] タブにリダイレクトされます。

    構成タブのデータセットアップ

    SIEMセットアップが完了していても、[アクティブな消費は検出されません] または [7日以上前にエクスポート済み] の状態に示されているように、データがアクティブに流れていない場合があります。したがって、次の警告メッセージで強調されているように、SIEM接続をテストするためにユーザーは [テストイベント生成] セクションに移動するよう促されます。

    テストイベント生成の警告

  2. アクティブな消費

    • アクティブな消費を検出: この状態は、SIEMでアクティブな消費が検出されたことを示します。

      アクティブな消費を検出

データエクスポートクイックガイド

[サマリー] タブは、SIEMセットアップの展開、管理、およびトラブルシューティングを容易にするために、[データエクスポートクイックガイド] ブレードで補完されています。セキュリティビューのデータエクスポートに関する包括的なガイドを提供するだけでなく、クイックガイドには、関連するドキュメントへのリンクを提供することで、SIEM環境をセットアップおよび管理する方法に関する役立つヒントも含まれています。

データエクスポートクイックガイド1

データエクスポートクイックガイド2

データエクスポートクイックガイド3

クイックガイドブレードには [SIEM接続テスト] セクションもあり、ユーザーはSIEM環境セットアップステージ内の [SIEM接続テスト] ステージにリダイレクトされます。これにより、ユーザーはSIEM統合自体が壊れているかどうかを調査し、Citrix Analytics for Securityがイベントを処理する際の問題の可能性を排除できます。その後、ユーザーはSIEM接続を修正してデータフローを有効にできます。

SIEM接続テスト1

[構成] タブは、展開セットアップをガイドするだけでなく、管理者がSIEMをセットアップする際に役立つヒント、警告メッセージ、および一般的な落とし穴も提供します。次の場合に適切な警告が表示されます。

  • Citrix Analyticsが、オンボードされたデータソースがないことを検出した場合。ユーザーアクティビティに基づくテレメトリーを収集するために、Apps and Desktopsをオンボードすることをお勧めします。オンボードされたデータソースがない場合、SIEMセットアップが正常に完了していても、データフローは観察されません。

    オンボードされたデータソースなし

  • 次の画像に示すように、SIEM環境セットアップとエクスポート用データイベントのステージは、アカウントセットアップが正常に完了するまで無効になります。

    SIEM環境セットアップとデータイベントの無効化

  • データエクスポートがオフになっている場合。エクスポート用データイベントステージの警告は、変更を有効にするためにデータエクスポートを有効にするよう促すものです。

    データエクスポートがオフ

  • エクスポート用データイベントステージで、特定のデータソースのデータエクスポートが無効になっている場合、データソースイベントはSIEMに流れません。これを有効にするには、目的のデータソースイベントのタイプを構成して選択する必要があります。さらに、データがCitrix Analyticsに到達するように、それぞれのデータソースのデータ処理が有効になっていることを確認してください。

    エクスポート用データイベントステージ

テストイベント生成

テストイベント生成は、トラブルシューティングエクスペリエンスを向上させるために [SIEM環境セットアップ] ステージの一部として提供されます。ユーザーがSIEMセットアップを完了すると、テストイベント生成は、テストイベントを顧客のSIEMデータエクスポートKafkaトピックに直接送信することで、SIEM接続を迅速にテストする方法を提供します。

また、新しいユーザーが新しいデータソースを明示的にオンボードし、その後ユーザーアクティビティを生成することなく、Citrix AnalyticsとのSIEM統合を迅速にテストすることも可能にします。

SIEM環境

この機能をテストするには、ユーザーは [テストデータを送信] ボタンをクリックする必要があります。これにより、ダミーテストイベントが生成され、顧客のSIEMデータエクスポートKafkaトピックに送信されます。次のスクリーンショットに示すように、このテストイベント生成プロセスには最大1分かかる場合があります。

SIEM接続テスト

テストイベントデータが顧客のKafkaトピックに正常に書き込まれると、SIEM接続が成功したことを示す成功メッセージが表示されます。選択した環境(SplunkおよびSentinel)に応じて、管理者はクエリをコピーし、SIEM環境でテストイベントを確認できます。

テストデータ1

テストデータ2

Elasticsearchおよびその他の環境では、次の成功メッセージが表示されます。

テストデータ3

テストイベントが生成されると、[テストデータを送信] ボタンは次の24時間無効になり、ユーザーはボタンにカーソルを合わせると次のポップアップが表示されます。最新の成功タイムスタンプから24時間後、ユーザーは機能を再度テストするためにボタンが有効になります。

成功シナリオで表示されるポップアップ

テストイベントデータが顧客のKafkaトピックに正常に書き込まれない場合、次のスクリーンショットに示すように、失敗メッセージが表示されます。ユーザーはデータを再度送信して接続をテストできます。

SIEM失敗メッセージ

SIEMメールアラート

Citrix Analyticsは、SIEM環境へのデータフローの中断につながる可能性のあるシナリオについて管理者に通知するためにメールアラートを送信します。これには、一時的または永続的なセキュリティ体制データ損失につながる可能性のあるアクティビティに関する状況情報が含まれます。また、SIEMデータエクスポートのセルフサービストラブルシューティングプロセスを進めるのにも役立ちます。

受信トレイでこれらのメールアラートを見つけるのに役立ついくつかの重要なプロパティを次に示します。

  • このメールは、Citrix Cloud™管理者、セキュリティフル管理者、セキュリティ読み取り専用管理者、およびセキュリティおよびパフォーマンス読み取り専用管理者に配布されます。

  • 送信元はCitrix Cloud donotreplynotifications@citrix.com です。

  • 件名は次のとおりです。

    • パスワードリセットメールアラートの場合: SIEM Data Export Alert - Password was reset
    • データフロー中断メールアラートの場合: SIEM Data Export Alert - Data Flow Stopped

メール通知の有効化

セキュリティ分析を管理するためのカスタムアクセス許可(セキュリティフル管理者、セキュリティ読み取り専用管理者、セキュリティおよびパフォーマンス読み取り専用管理者)を持つCitrix Cloud管理者である場合、メール通知はCitrix Cloudアカウントで常に有効になっています。デフォルトでは、週次メール通知はCitrixセキュリティ管理者 - デフォルトリストに送信されます。このアラートを受信する配布リストを変更することもできます。詳細については、管理者メール設定を参照してください。

セキュリティ分析を管理するためのカスタムアクセス許可(セキュリティフル管理者、セキュリティ読み取り専用管理者、セキュリティおよびパフォーマンス読み取り専用管理者)を持つCitrix Cloud管理者である場合、メール通知はCitrix Cloudアカウントで常に有効になっています。

SIEMメールアラートの種類

  1. SIEMパスワードリセットメールアラート

    SIEMパスワードリセットアラートメールは、データエクスポートページからアカウントパスワードがリセットされたときに受信されます。Citrix Analytics UIのみでSIEMパスワードをリセットすると、SIEMで構成されているパスワードとの不一致が発生する可能性があります。これにより、データフローが中断されます。このメールアラートには、パスワードがリセットされた時刻が含まれます。データフローが停止した場合、[サマリー] タブに移動し、「最終エクスポート時刻」のタイムスタンプがパスワードリセットタイムスタンプに近いかどうかを確認し、必要なパスワード変更を中継できます。これにより、デバッグプロセスが短縮され、SIEM環境へのデータフローを迅速に正常に戻すことができます。

    SIEMパスワードリセットメールアラート

    SIEMパスワードリセットメールアラート1

  2. 24時間データフロー中断メールアラート

    このメールアラートは、Citrix AnalyticsサービスからSIEM環境へのデータフローが24時間以上中断されたときに送信されます。このメールには、最後にイベントがエクスポートされた時刻と、データフローを回復するために実行できる役立つトラブルシューティングのヒントが含まれています。これは、セキュリティ体制データが失われないように、データフローを迅速に再開するのに適切な時期です。

  3. 7日間データフロー中断メールアラート

    このメールアラートは、Citrix AnalyticsサービスからSIEM環境へのデータフローが7日以上中断されたときに送信されます。顧客のKafkaトピックの保持期間は7日間であるため、このメールはセキュリティ体制情報の永続的な損失の状況を警告するため、トラブルシューティングのヒントに従い、[データエクスポート] ページで利用可能なクイックガイドの助けを借りて、それ以上のデータ損失を防ぐことが重要です。

  4. 30日間データフロー中断メールアラート

    このメールアラートは、Citrix AnalyticsサービスからSIEM環境へのデータフローが30日以上中断されたときに送信されます。この時点までに、顧客はセキュリティ体制データを失っており、データフローをできるだけ早く再開するためにトラブルシューティング機能を使用することが不可欠です。

    30日間データフロー中断メールアラート

    30日間データフロー中断メールアラート1

    30日間データフロー中断メールアラート2

データエクスポートのトラブルシューティング
September 16, 2025
寄稿者: 
C C
September 16, 2025
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.