ポリシーの構成
Session Recordingポリシーコンソールを使用して、録画ポリシー、イベント検出ポリシー、イベント応答ポリシー、および録画の閲覧ポリシーを作成します。ポリシーの作成時は、Citrix Cloudとオンプレミス環境の両方からDelivery Controllerを指定できます。
重要:
Session Recordingポリシーコンソールを使用するには、Broker PowerShellスナップイン(Broker_PowerShellSnapIn_x64.msi)またはCitrix Virtual Apps and Desktops Remote PowerShell SDK(CitrixPoshSdk.exe)を手動でインストールする必要があります。Citrix Virtual Apps and Desktops ISO(\layout\image- full\x64\Citrix Desktop Delivery Controller)でBroker PowerShellスナップインを検索するか、Citrix Virtual Apps and DesktopsサービスダウンロードページからCitrix Virtual Apps and Desktops Remote PowerShell SDKをダウンロードします。
ヒント:
レジストリを編集して、Session Recordingサーバーに予期しない障害が発生した場合にファイルが失われるのを防ぐことができます。Session Recording Agentをインストールしたマシンに管理者としてログオンし、レジストリエディターを開いて、
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
の下にDWORD値DefaultRecordActionOnError
=1
を追加します。
録画ポリシー
システム定義の録画ポリシーをアクティブにすることも、独自のカスタム録画ポリシーを作成してアクティブにすることもできます。システム定義の録画ポリシーでは、すべてのユーザー、公開アプリケーション、およびサーバーに、単一の規則を適用します。カスタム録画ポリシーでは、録画対象のユーザー、公開アプリケーション、およびサーバーを指定します。
アクティブな録画ポリシーによって録画するセッションが決定されます。一度にアクティブにできる録画ポリシーは1つだけです。
システム定義の録画ポリシー
Session Recordingには、次のシステム定義の録画ポリシーがあります:
-
録画しない。デフォルトのポリシーです。ほかのポリシーを指定しなければ、セッションは録画されません。
-
イベントのみを録画する(全ユーザー、通知あり)。このポリシーは、イベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは事前に録画通知を受け取ります。
-
イベントのみを録画する(全ユーザー、通知なし)。このポリシーは、イベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは録画通知を受け取りません。
-
セッション全体を録画する(全ユーザー、通知あり)。このポリシーは、セッション全体(画面とイベント)を録画します。ユーザーは事前に録画通知を受け取ります。
-
セッション全体を録画する(全ユーザー、通知なし)。このポリシーは、セッション全体(画面とイベント)を録画します。ユーザーは録画通知を受け取りません。
システム定義の録画ポリシーは変更または削除できません。
カスタム録画ポリシーの作成
独自の録画ポリシーを作成する場合、どのユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはVDAマシン、Citrix WorkspaceアプリクライアントのIPアドレスを録画するかを指定する規則を作成します。Session Recordingポリシーコンソールにはウィザードが用意されており、このウィザードに従って規則を作成します。公開されているアプリケーションまたはデスクトップや、デリバリーグループまたはVDAマシンの一覧を取得するには、サイト管理者の読み取り権限が必要です。サイトのDelivery Controllerで管理者の読み取り権限を構成します。
作成する規則ごとに録画操作および規則条件を指定します。録画操作は規則条件を満たすセッションに適用されます。
規則ごとに録画操作を1つ選択します:
-
通知してセッションを録画する。このオプションは、セッション全体(画面とイベント)を録画します。ユーザーは事前に録画通知を受け取ります。
-
通知しないでセッションを録画する。このオプションは、セッション全体(画面とイベント)を録画します。ユーザーは録画通知を受け取りません。
-
通知してイベントのみのセッションを録画する。このオプションは、セッションを通してイベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは事前に録画通知を受け取ります。
-
通知しないでイベントのみのセッションを録画する。このオプションは、セッションを通してイベント検出ポリシーで指定されたイベントのみを録画します。画面は録画されません。ユーザーは録画通知を受け取りません。
-
セッションを録画しない。このオプションは、セッションが録画されないことを意味します。
規則ごとに次の項目のいずれかを少なくとも1つ選択して、規則条件を作成します:
- ユーザーまたはグループ。規則の操作を適用するユーザーまたはグループの一覧を作成します。Session RecordingによってActive Directoryグループおよびユーザーのホワイトリスト化を使用できます。
- 公開アプリケーションまたはデスクトップ。規則の操作を適用する公開アプリケーションまたはデスクトップの一覧を作成します。規則ウィザードで、アプリケーションまたはデスクトップを使用できる1つまたは複数のCitrix Virtual Apps and Desktopsサイトを選択します。
- デリバリーグループまたはマシン。規則の操作を適用するデリバリーグループまたはマシンの一覧を作成します。規則ウィザードで、デリバリーグループまたはマシンの場所を選択します。
-
IPアドレスまたはIP範囲。規則の操作を適用するIPアドレスまたはIPアドレスの範囲の一覧を作成します。[IPアドレスまたはIPの範囲の選択] 画面で、録画が有効または無効になった有効なIPアドレスまたはIP範囲を追加します。このIPアドレスは、Citrix WorkspaceアプリのIPアドレスです。
注:
Session Recordingポリシーコンソールでは、1つの規則内で複数の条件を構成できます。規則が適用される際には、「AND」と「OR」の両方の論理演算子が、最終的なアクションを計算するために使われます。一般的に、「OR」演算子は一定の条件内の項目に使われ、「AND」演算子は違った複数の条件に当てはまる項目に使われます。結果がtrueであれば、Session Recordingポリシーエンジンがその規則のアクションをとります。そうでなければ、次の規則に進み、処理を繰り返します。
録画ポリシーに複数の規則を作成する場合は、複数の規則条件に一致するセッションがある可能性があります。そのような場合は、優先順位が最も高い規則がセッションに適用されます。
規則により実行される録画操作によってその優先順位が決まります。
- 「録画しない」規則の優先順位が最も高くなります。
- 「通知して録画する」規則の優先順位が次に高くなります。
- 「通知しないで録画する」規則の優先順位が最も低くなります。
- 「通知してイベントのみのセッションを録画する」規則の優先度は中程度です。
- 「通知しないでイベントのみのセッションを録画する」規則の優先度は最も低くなります。
録画ポリシーの規則条件のいずれにも当てはまらないセッションがある可能性があります。そのようなセッションについては、フォールバック規則の操作が適用されます。フォールバック規則の操作は常に 「録画しない」 です。フォールバック規則は変更または削除できません。
カスタム録画ポリシーを作成するには:
- 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
- Session Recordingポリシーコンソールを起動して、左側のペインで [録画ポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択します。
- 新しいポリシーを右クリックして [規則の追加] をクリックします。
-
規則ウィザードで、録画オプションを選択し、[次へ] をクリックします。
-
規則条件の選択 - 次の1つまたは複数の規則条件を選択することができます:
ユーザーまたはグループ
公開アプリケーションまたはデスクトップ
デリバリーグループまたはマシン
IPアドレスまたはIPの範囲 -
規則条件の編集 - 編集するには、下線付きの値をクリックします。前の手順で選択した条件に基づき、値に下線が引かれます。
注:
[公開アプリケーションまたはデスクトップ] の下線付きの値を選択した場合、[サイトアドレス] はIPアドレス、URL、またはコントローラーがローカルネットワーク上にある場合はコンピューター名になります。[アプリケーションの名前] リストに表示名が表示されます。
[公開アプリケーションまたはデスクトップ] または [デリバリーグループまたはマシン] を選択する場合、Session Recordingポリシーコンソールで通信に使用するDelivery Controllerを指定します。
Session Recordingポリシーコンソールは、Citrix Cloudおよびオンプレミス環境からDelivery Controllerに通信する唯一のチャネルです。
たとえば、[デリバリーグループまたはマシン] を選択する場合、上のスクリーンショットの手順3で関連するハイパーリンクを選択して [追加] をクリックし、Delivery Controllerへのクエリを追加します。
以下の表は、オンプレミスおよびCitrix CloudのDelivery Controllerの使用例について説明しています:
使用例 操作が必要 オンプレミスDelivery Controller - Broker_PowerShellSnapIn_x64.msiをインストールする。2.[Citrix Cloud Controller] チェックボックスをオフにする。
Citrix Cloud Delivery Controller - Citrix Virtual Apps and Desktops Remote PowerShell SDKをインストールする。2. Citrix Cloudのアカウント資格情報を検証する。3.[Citrix Cloud Controller] チェックボックスをオンにする。
オンプレミスDelivery ControllerからCitrix Cloud Delivery Controllerに切り替える - Broker_PowerShellSnapIn_x64.msiをアンインストールしてマシンを再起動する。2. Citrix Virtual Apps and Desktops Remote PowerShell SDKをインストールする。3. Citrix Cloudのアカウント資格情報を検証する。4.[Citrix Cloud Controller] チェックボックスをオンにする。
Citrix Cloud Delivery ControllerからオンプレミスDelivery Controllerに切り替える - Citrix Virtual Apps and Desktops Remote PowerShell SDKをアンインストールしてマシンを再起動する。2. Broker_PowerShellSnapIn_x64.msiをインストールする。3.[Citrix Cloud Controller] チェックボックスをオフにする。
Citrix Cloudの資格情報の検証
Citrix CloudでホストされているDelivery Controllerにクエリするには、Session Recordingポリシーコンソールがインストールされたマシンで手動でCitrix Cloud資格情報を検証します。この作業を行わない場合、エラーが発生しSession Recordingポリシーコンソールが正常に機能しなくなることがあります。
手動で検証するには:
-
Citrix Cloudコンソールにログオンし、[IDおよびアクセス管理]>[APIアクセス] に移動します。APIアクセス用セキュアクライアントを作成して、Citrix Cloudの認証プロンプトを省略できる認証プロファイルを取得します。セキュアクライアントをダウンロードし、名前を変更して安全な場所に保存します。デフォルトのファイル名はsecureclient.csvです。
-
PowerShellセッションを開いて次のコマンドを実行し、(前の手順で取得した)認証プロファイルを有効にします。
asnp citrix.* Set-XDCredentials -CustomerId "citrixdemo" -SecureClientFile "c:\temp\secureclient.csv" -ProfileType CloudAPI –StoreAs "default" <!--NeedCopy-->
必要に応じて、CustomerIdとSecureClientFileを設定します。上記のコマンドで、顧客用のデフォルトの認証プロファイル
citrixdemo
が作成され、以降のすべてのPowerShellセッションで認証プロンプトが省略されます。
- ウィザードの指示に従って構成を終了します。
注: 事前起動されたアプリケーションセッションに関する制限事項:
- アクティブなポリシーでアプリケーション名を照合する場合、事前起動されたセッションで起動されたアプリケーションは照合されないため、セッションが録画されません。
- アクティブなポリシーですべてのアプリケーションが録画される場合、ユーザーがWindows向けCitrix Workspaceアプリにログインすると、(事前起動されたセッションが確立されるのと同時に)録画に関する通知が表示され、事前起動された(空の)セッションと、今後そのセッションで起動されるすべてのアプリケーションが録画されます。
これを回避するには、録画ポリシーに従って別のデリバリーグループでアプリケーションを公開します。録画条件にアプリケーション名を使用しないでください。このアプローチによって、事前起動されたセッションを録画できます。ただし、通知は表示されます。
Active Directoryグループの使用
Active Directoryグループを使用して、Session Recordingのポリシーを作成できます。個々のユーザーではなくActive Directoryグループを使用すると、規則とポリシーを簡単に作成したり管理したりできます。たとえば、財務部門のユーザーがFinanceという名前のActive Directoryグループに含まれている場合は、規則を作成するときに 規則ウィザードでFinanceグループを選択することで、このグループのすべてのメンバーに適用される規則を作成できます。
ユーザーのホワイトリスト化
組織内の一部のユーザーのセッションを確実に録画対象から除外する、Session Recordingポリシーを作成できます。これは ユーザーのホワイトリスト化と呼ばれます。個人情報を取り扱う社員や特定の階層の従業員など、セッションを録画するべきではないユーザーをホワイトリストに登録すると便利です。
すべての上級管理職がExecutiveという名前のActive Directoryグループのメンバーである場合、ExecutiveグループのSession Recordingを無効にする規則を作成して、それらのユーザーのセッションが決して録画されないように設定できます。この規則を含むポリシーがアクティブな間は、Executiveグループのメンバーのセッションは録画されません。組織内のほかのメンバーのセッションは、アクティブなポリシーのほかの規則に基づいて録画されます。
Directorを構成してSession Recordingサーバーを使用する
Directorコンソールを使用して、録画ポリシーを作成およびアクティブ化できます。
- HTTPS接続の場合は、Directorサーバーの[信頼されたルート証明書]にSession Recordingサーバーを信頼する証明書をインストールします。
- Session Recordingサーバーを使用するようにDirectorサーバーを構成するには、C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecordingコマンドを実行します。
- Directorサーバーで、Session RecordingサーバーのIPアドレスまたはFQDN、ポート番号、およびSession Recording AgentがSession Recording Brokerとの接続に使用する接続の種類(HTTPまたはHTTPS)を入力します。
イベント検出ポリシー
Session Recordingはイベント検出ポリシーの一元的な構成をサポートします。Session Recordingポリシーコンソールでポリシーを作成してさまざまなイベントをログ記録できます。
注:
USB大容量記憶装置デバイスの挿入、およびアプリケーションの起動と終了をログに記録するには、Session Recording バージョン1811以降を使用します。
ファイル操作イベントやWeb閲覧アクティビティをログに記録するには、Session Recordingバージョン1903以降を使用します。 クリップボードのアクティビティをログに記録するには、Session Recordingバージョン2012以降を使用します。
システム定義のイベント検出ポリシー
システム定義のイベント検出ポリシーは「検出しない」です。デフォルトでは非アクティブです。アクティブの場合、イベントのログは記録されません。
システム定義のイベント検出ポリシーは変更または削除できません。
カスタムイベント検出ポリシーの作成
独自のイベント検出ポリシーを作成する場合、セッションの録画中にログを記録する特定のイベントがあるユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはVDAマシン、Citrix WorkspaceアプリクライアントのIPアドレスを指定する規則を作成します。Session Recordingポリシーコンソールにはウィザードが用意されており、このウィザードに従って規則を作成します。公開されているアプリケーションまたはデスクトップや、デリバリーグループまたはVDAマシンの一覧を取得するには、サイト管理者の読み取り権限が必要です。サイトのDelivery Controllerで管理者の読み取り権限を構成します。
カスタムイベント検出ポリシーを作成するには:
-
承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
-
Session Recordingポリシーコンソールを起動します。 デフォルトでは、アクティブなイベント検出ポリシーはありません。
-
左ペインで [イベント検出ポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択してイベント検出ポリシーを作成します。
-
(オプション)新しいイベント検出ポリシーを右クリックして、名前を変更します。
-
新しいイベント検出ポリシーを右クリックして [規則の追加] をクリックします。
-
各イベントの種類のチェックボックスをオンにして、監視する1つまたは複数の対象イベントを指定します。
-
CDMでマッピングされたUSBイベントのログを記録する:Windows向けまたはMac向けCitrix Workspaceアプリがインストールされているクライアントデバイスでクライアントドライブマッピング(CDM)を使用して大容量記憶装置デバイスが挿入されると記録し、録画のイベントにタグ付けできます。
-
汎用USBリダイレクトのログを記録する: Windows向けまたはMac向けCitrix Workspaceアプリがインストールされているクライアントで汎用リダイレクトを使用して大容量記憶装置デバイスが挿入されると記録し、録画のイベントにタグ付けできます。
-
アプリ起動イベントのログを記録する:ターゲットアプリケーションの起動のログを記録して、録画のイベントにタグ付けできます。
-
アプリ終了イベントのログを記録する:ターゲットアプリケーションの終了のログを記録して、録画のイベントにタグ付けできます。
注:
ただし、アプリケーションの起動を記録しない場合、アプリケーションの終了をログに記録することはできません。そのため、規則ウィザードでは [アプリ終了イベントのログを記録する] チェックボックスは、[アプリ起動イベントのログを記録する] の選択前は灰色表示になっています。
-
アプリ監視一覧:[アプリ起動イベントのログを記録する] および [アプリ終了イベントのログを記録する] を選択した場合、[アプリ監視一覧] でターゲットアプリケーションを指定して監視し、録画内に過剰にイベントを発生させないようにします。
注:
- アプリケーションの起動と終了をキャプチャするには、[アプリ監視一覧] にアプリケーションのプロセス名を追加します。たとえば、リモートデスクトップ接続の起動イベントをキャプチャするには、プロセス名
mstsc.exe
を [アプリ監視一覧] に追加します。プロセスを [アプリ監視一覧] に追加すると、追加したプロセスとその子プロセスにより実行されるアプリケーションが監視されます。Session Recordingはプロセス名cmd.exe
、powershell.exe
、wsl.exe
を [アプリ監視一覧] にデフォルトで追加します。イベント検出ポリシーで [アプリ起動イベントのログを記録する] および [アプリ終了イベントのログを記録する] を選択すると、コマンドプロンプト、PowerShell、Windows Subsystem for Linux(WSL)アプリの起動および終了が、これらのプロセス名が手動で [アプリ監視一覧] に加えられているかどうかにかかわらず、ログ記録されます。デフォルトのプロセス名は、[アプリ監視一覧] には表示されません。 - プロセス名はセミコロン(;)で区切ります。
- 完全一致のみがサポートされています。ワイルドカードはサポートされません。
- 追加するプロセス名では、大文字と小文字は区別されません。
- 録画内に過剰にイベントを発生させないように、システムプロセス名(explorer.exeなど)やWebブラウザーをレジストリに追加しないでください。
- アプリケーションの起動と終了をキャプチャするには、[アプリ監視一覧] にアプリケーションのプロセス名を追加します。たとえば、リモートデスクトップ接続の起動イベントをキャプチャするには、プロセス名
-
ファイル操作のログを記録する:[ファイル監視一覧] で指定されたターゲットファイルでの操作のログと、セッションホスト(VDA)とクライアントデバイス(マップされたクライアントドライブと汎用リダイレクトを使用した大容量記憶装置デバイスを含む)との間のファイル転送のログを記録します。このオプションを選択すると、[ファイル監視一覧] を指定するかに関係なく、ファイル転送のログがトリガーされます。
-
Web Playerに表示されるファイルイベント
-
Session Recording Playerに表示されるファイルイベント
-
-
ファイル監視一覧: [ファイル操作をログに記録する] を選択する場合、[ファイル監視一覧] を使用して監視対象のファイルを指定します。フォルダーを指定すると、フォルダー内のすべてのファイルをキャプチャできます。デフォルトでは、ファイルが指定されていないため、ファイルはキャプチャされません。
注:
- ファイルの名前変更、作成、削除、移動操作をキャプチャするには、[ファイル監視一覧] でファイルフォルダーのパス文字列(ファイル名やファイルフォルダーのルートパスではなく)を追加します。たとえば、
C:\User\File
のsharing.ppt
ファイルの名前変更、作成、削除、移動操作をキャプチャするには、[ファイル監視一覧] でパス文字列C:\User\File
を追加します。 - ローカルファイルパスおよびリモート共有フォルダーパスの両方を使用できます。たとえば、
\\remote.address\Documents
フォルダーのRemoteDocument.txtファイルで操作をキャプチャするには、[ファイル監視一覧] でパス文字列\\remote.address\Documents
を追加します。 - セミコロン(;)で監視パスを区切ります。
- 完全一致のみがサポートされています。ワイルドカードはサポートされません。
- パス文字列は大文字と小文字を区別しません。
制限事項:
- 監視されているフォルダーから監視されていないフォルダーへのファイルまたはフォルダーのコピーはキャプチャされません。
- ファイルまたはフォルダーパスに、最大文字数(260文字)を超える名前のファイルまたはフォルダーが含まれている場合、ファイルまたはフォルダーの操作をキャプチャできません。
- データベースのサイズに注意してください。大量のイベントがキャプチャされないようにするには、定期的に「Event」テーブルをバックアップするか削除します。
- 一定の間隔で大量のイベントがキャプチャされる場合、Playerでの表示およびデータベースへの格納はイベントの種類ごとに1つのイベントアイテムのみになり、ストレージの拡大を回避します。
- ファイルの名前変更、作成、削除、移動操作をキャプチャするには、[ファイル監視一覧] でファイルフォルダーのパス文字列(ファイル名やファイルフォルダーのルートパスではなく)を追加します。たとえば、
-
Web閲覧アクティビティをログに記録する:サポートされているブラウザーでユーザーアクティビティをログ記録し、録画にブラウザー名、URL、ページタイトルのタグを付けます。
サポートされているブラウザーの一覧:
ブラウザー バージョン Chrome 69以降 Internet Explorer 11 Firefox 61以降 -
最前面のウィンドウイベントをログに記録する: 最前面のウィンドウのイベントをログに記録して、録画にプロセス名、タイトル、プロセス番号のタグを追加します。
-
クリップボードのアクティビティをログに記録する:クリップボードを使用した、テキスト、画像、ファイルのコピー操作をログに記録します。プロセス名とファイルパスは、ファイルコピーのログとして記録されます。プロセス名とタイトルは、テキストコピーのログとして記録されます。プロセス名は、画像コピーのログとして記録されます。
-
レジストリ変更をログに記録する:録画されたセッションで発生したWindowsレジストリの変更をログに記録します。検出されたレジストリ変更には、キーまたは値の追加、キーまたは値の名前の変更、既存の値の変更、およびキーまたは値の削除が含まれます。
-
レジストリ監視リスト: [レジストリの変更をログに記録する] を選択する場合は、監視するターゲットレジストリの絶対パスを入力し、パスをセミコロンで区切ります。HKEY_USERS、HKEY_LOCAL_MACHINE、またはHKEY_CLASSES_ROOTでパスを開始します。たとえば、次のように入力します:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows;HKEY_CLASSES_ROOT\GuestStateVDev
。この一覧を指定しないままにすると、レジストリ変更はキャプチャされません。
-
-
規則条件を選択して編集します。
カスタム録画ポリシーの作成と同様、次の1つまたは複数の規則条件を選択できます:ユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはマシン、IPアドレスまたはIPの範囲。詳しくは、「カスタム録画ポリシーの作成」セクションで手順を参照してください。
注:
イベント検出ポリシーの規則条件のいずれにも当てはまらないセッションがある可能性があります。これらのセッションの場合、フォールバック規則の操作(常に「検出しない」)が適用されます。フォールバック規則は変更または削除できません。
-
ウィザードの指示に従って構成を完了します。
-
イベント検出ポリシーに一致するセッションが開始されると、セッションIDとそのイベントレジストリ値がSession Recording Agentに表示されます。例:
レジストリ構成との互換性
Session Recordingが新しくインストールされた場合、またはアップグレードされた場合、デフォルトで使用できるアクティブなイベント検出ポリシーはありません。このとき、Session Recording AgentはHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEventsのレジストリ値に従って特定イベントのログを記録するかを決定します。レジストリ値の説明については、次の表を参照してください:
レジストリ値 | 説明 |
---|---|
EnableSessionEvents | 1:イベントの検出をグローバルに有効にする、0:イベントの検出をグローバルに無効にする(デフォルトの値のデータ)。 |
EnableCDMUSBDriveEvents | 1:CDMでマッピングされたUSB大容量記憶装置デバイスの挿入の検出を有効にする、0:CDMでマッピングされたUSB大容量記憶装置デバイスの挿入の検出を無効にする(デフォルトの値のデータ)。 |
EnableGenericUSBDriveEvents | 1:汎用リダイレクトを使用したUSB大容量記憶装置デバイスの挿入の検出を有効にする、0:汎用リダイレクトを使用したUSB大容量記憶装置デバイスの挿入の検出を無効にする(デフォルトの値のデータ)。 |
EnableAppLaunchEvents | 1:アプリケーションの起動のみの検出を有効にする、2:アプリケーションの起動と終了の両方の検出を有効にする、0:アプリケーションの起動と終了の検出を無効にする(デフォルトの値のデータ)。 |
AppMonitorList | 監視するターゲットアプリケーションを指定する。デフォルトでは、アプリケーションが指定されていません。そのため、アプリケーションのイベントはキャプチャされません。 |
EnableFileOperationMonitorEvents | 1:ファイル操作の検出を有効にする、0:ファイル操作の検出を無効にする(デフォルトの値のデータ)。 |
FileOperationMonitorList | 監視するターゲットフォルダーを指定する。デフォルトでは、フォルダーが指定されていません。そのため、ファイル操作はキャプチャされません。 |
EnableWebBrowsingActivities | 1:Web閲覧アクティビティの検出を有効にする、0:Web閲覧アクティビティの検出を無効にする(デフォルトの値のデータ)。 |
以下は、互換性のあるシナリオです:
-
Session Recordingが新しくインストールされたかイベント検出(ログ)をサポートしない1811より前のリリースからアップグレードされた場合。各Session Recording Agentの関連レジストリ値はデフォルトです。デフォルトでは、アクティブなイベント検出ポリシーがないため、イベントのログは記録されません。
-
Session Recordingがイベントリリースをサポートする1811より前のリリースからアップグレードされた場合。アップグレード前にこの機能を無効にすると、各Session Recording Agentの関連レジストリ値はデフォルトのままになります。デフォルトでは、アクティブなイベント検出ポリシーがないため、イベントのログは記録されません。
-
Session Recordingがイベント検出をサポートする1811より前のリリースからアップグレードされた場合。アップグレード前にこの機能を部分的にまたは完全に有効にすると、各Session Recording Agentの関連レジストリ値は変更されません。デフォルトでは、アクティブなイベント検出ポリシーがないため、イベント検出の動作は変更されません。
-
Session Recordingが1811からアップグレードされた場合、ポリシーコンソールで構成されたイベント検出(ログ記録)ポリシーは引き続き使用されます。
注意:
Session Recordingポリシーコンソールでシステム定義の、またはカスタムのイベント検出ポリシーをアクティブにすると、各Session Recording Agentで関連レジストリ設定が無視され、イベント検出のレジストリ設定を使用できなくなります。
録画の閲覧ポリシー
Session Recording Playerでは、役割ベースのアクセス制御がサポートされています。Session Recordingポリシーコンソールで録画の閲覧ポリシーを作成し、各ポリシーに複数の規則を追加できます。各規則で、指定したその他のユーザーおよびユーザーグループ、公開アプリケーションおよびデスクトップ、デリバリーグループおよびVDAからの録画を閲覧できるユーザーまたはユーザーグループを特定します。
カスタム録画閲覧ポリシーの作成
録画の閲覧ポリシーを作成する前に、次の手順で機能を有効にします:
- Session Recordingサーバーをホストするマシンにログオンします。
- [スタート] ボタンをクリックし、[Session Recordingサーバーのプロパティ] を選択します。
- [Session Recordingサーバーのプロパティ] で、[RBAC] タブをクリックします。
-
[録画の閲覧ポリシーの構成を許可する] チェックボックスをオンにします。
カスタム録画閲覧ポリシーを作成するには:
注: 録画ポリシーおよびイベント検出ポリシーとは異なり、録画の閲覧ポリシー(ポリシー内に追加したすべての規則を含む)は、作成すると直ちにアクティブになります。有効化する必要はありません。
-
承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
-
Session Recordingポリシーコンソールを起動します。デフォルトでは、録画の閲覧ポリシーはありません。
注: [録画の閲覧ポリシー] メニューは、[Session Recordingサーバーのプロパティ] でこの機能を有効にしないと利用できません。
-
左側のペインで [録画の閲覧ポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択して録画の閲覧ポリシーを作成します。
-
(オプション)新しい録画の閲覧ポリシーを右クリックして、名前を変更します。
-
新しいポリシーを右クリックして [規則の追加] をクリックします。
-
[追加] をクリックします。
-
[ユーザーとグループの選択 ] ダイアログで、録画の閲覧者としてユーザーまたはユーザーグループを選択します。
注:
各規則で、録画の閲覧者として選択できるのは1人のユーザーまたは1つのユーザーグループだけです。複数のユーザーまたはユーザーグループを選択した場合は、最新の選択のみが有効になり、テキストボックスに表示されます。
録画の閲覧者を指定するときは、閲覧者にPlayerのロールを割り当てていることを確認してください。録画されたセッションを再生する権限がないユーザーが、録画されたセッションを再生しようとするとエラーメッセージが表示されます。詳しくは、「ユーザーの承認」を参照してください。 -
[OK]、[次へ] をクリックします。規則条件を設定するダイアログが開きます。
- 規則条件を選択して編集し、前述の閲覧者が閲覧できる録画を指定します。
- ユーザーまたはグループ
- 公開アプリケーションまたはデスクトップ
- デリバリー グループまたはマシン
注: 規則条件を指定しないでおくと、前述の指定した閲覧者には閲覧用の録画が表示されません。
-
ウィザードの指示に従って構成を完了します。
例:
イベント応答ポリシー
このポリシー設定を使用すると、録画されたセッションでログ記録されたイベントに応じてメールアラートを送信する、画面録画をすぐに開始する、または両方の操作を実行することができます。アクティブな録画ポリシーが画面をキャプチャせずに特定のイベントのみを録画する場合、特定のイベントが発生するとすぐに画面録画を開始するようにイベントトリガーを構成できます。これは、イベントトリガーによる動的画面録画と呼ばれます。
システム定義のイベント応答ポリシーは、「応答しない」のみです。必要に応じて、カスタムイベント応答ポリシーを作成できます。一度にアクティブにできるイベント応答ポリシーは1つだけです。
以下のスクリーンショットは、メールアラートの例です:
ヒント:
再生URLをクリックすると、Web Playerで録画されたセッションの再生ページが開きます。ここをクリックすると、Web Playerの [すべての録画] ページが開きます。
システム定義のイベント応答ポリシー
Session Recordingは、1つのシステム定義のイベント応答ポリシーを提供します。
- 応答しない。デフォルトのイベント応答ポリシー。別のイベント応答ポリシーを指定しない場合、録画でログ記録されたイベントに応じて、メールアラートや動的画面録画が提供されることはありません。
カスタムイベント応答ポリシーの作成
-
承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
-
Session Recordingポリシーコンソールを起動します。デフォルトでは、アクティブなイベント応答ポリシーはありません。
-
左ペインで [イベント応答ポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択します。
-
(オプション)新しいイベント応答ポリシーを右クリックして、名前を変更します。
-
新しいイベント応答ポリシーを右クリックして [規則の追加] を選択します。
-
[セッション開始が検出されたときにメールで通知します] または [イベントトリガーを使用して、セッションイベントが検出されたときに応答する方法を指定します] を選択します。
-
(オプション)メールの受信者と送信者のプロパティを設定します。
-
[規則] ウィザードで、アラート受信者のメールアドレスを入力します。
-
[Session Recordingサーバーのプロパティ] で送信メールの設定を構成します。
注:
[メールタイトル] セクションで3つ以上のオプションを選択すると、メールの件名が長すぎる可能性があることを示す警告ダイアログが表示されます。[メール通知の送信を許可する] を選択して [適用] をクリックすると、Session Recordingはメールの設定を確認するメールを送信します。不正なパスワードやポートなど設定が正しくない場合、Session Recordingはエラーの詳細を含むエラーメッセージを返します。
メール設定が有効になるまで約5分かかります。メール設定をすぐに有効にする場合、または設定に従ってメールが送信されない問題を修正する場合は、ストレージマネージャ(CitrixSsRecStorageManager)サービスを再起動します。また、バージョン2006以前から最新リリースにアップグレードする場合は、ストレージマネージャーサービスを再起動してください。
-
Web Playerにアクセスするためのレジストリを編集します。
アラートメールの再生URLを正常に機能させるには、
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
のレジストリキーを見つけて、次の手順を実行します:-
LinkHostの値データを、Web Playerへのアクセスに使用するドメインのURLに設定します。たとえば、
https://example.com/webplayer/#/player/
のWeb Playerにアクセスするには、LinkHostの値データをhttps://example.com
に設定します。 -
新しい値EmailThresholdを追加し、その値データを1から100の範囲の数値に設定します。値データは、メール送信アカウントが1秒以内に送信するアラートメールの最大数を決定します。この設定は、送信されるメールの数を抑え、CPU使用率を削減するのに役立ちます。値データを指定しないままにするか、範囲外の数値に設定すると、値データは25にフォールバックします。
注:
-
メールサーバーは、メール送信アカウントをスパムボットとして扱い、メールの送信を阻止する可能性があります。アカウントがメールを送信できるようにするため、Outlookなどのメールクライアントは、アカウントが人間のユーザーによって使用されていることを確認するように要求する場合があります。
-
一定期間内にメールを送信することに対する制限があります。たとえば、1日の制限に達すると、翌日の開始までメールを送信できません。この場合、制限の数が期間内に録画されているセッションの数を超えていることを確認してください。
-
-
-
(オプション)イベントトリガーを構成します。
[イベントトリガーを使用して、セッションイベントが検出されたときに応答する方法を指定します] を選択すると、[イベントトリガーを構成する] ボタンが使用可能になります。これをクリックして、メールアラート、動的画面録画、またはその両方をトリガーできるログ記録されたイベントを指定します。
注:
アクティブなイベント検出ポリシーがログに記録するイベントの種類を選択する必要があります。操作が終了したら、[確認] をクリックします。
ドロップダウンリストからイベントの種類を選択し、論理積演算子を使用して結合される2つのディメンションを介してイベント規則を設定します。最大7つのイベント規則を設定できます。また、[説明] 列にイベントトリガーを定義したり、この列を空のままにしたりすることもできます。定義したイベントトリガーの説明は、[メールの送信] を選択しその種類のイベントがログに記録された場合に、アラートメールで提供されます。[画面の録画を開始する] を選択している場合、イベントのみの録画中に特定のイベントが発生すると、動的画面録画が自動的に開始されます。動的画面録画の期間を設定します。期間を指定しないままにすると、録画されたセッションが終了するまで画面の録画が続行されます。
サポートされているイベントの種類の全一覧については、次の表を参照してください。
イベントの種類 ディメンション オプション アプリ開始 アプリ名 フル コマンド ライン アプリ終了 アプリ名 最上位 アプリ名 ウィンドウのタイトル Web閲覧 URL タブタイトル ブラウザー名 ファイルの作成 パス ファイルサイズ(MB) ファイル名の変更 パス 名前 ファイルの移動 ソースパス ターゲット パス ファイルサイズ(MB) ファイルの削除 パス ファイルサイズ(MB) CDM USB ドライブ文字 汎用USB デバイス名 アイドル状態 アイドル時間(時間) -
[次へ] をクリックして、規則条件を選択および編集します。
カスタム録画ポリシーの作成と同様、次の1つまたは複数の規則条件を選択できます:ユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはマシン、IPアドレスまたはIPの範囲。詳しくは、「カスタム録画ポリシーの作成」セクションで手順を参照してください。
注:
セッションまたはイベントが単一のイベント応答ポリシーで複数の規則を満たしている場合、最も古い規則が有効になります。
- ウィザードの指示に従って構成を完了します。
- 新しいイベント応答ポリシーをアクティブにします。
ポリシーのアクティブ化
- Session Recordingポリシーコンソールをインストールしたマシンに管理者としてログオンします。
- Session Recordingポリシーコンソールを起動します。
- [Session Recordingサーバーへの接続] ウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
- Session Recordingポリシーコンソールで、[録画ポリシー] または [イベントログポリシー] を展開します。
- アクティブ化するポリシーを選択 します。
- メニューバーで [ポリシーのアクティブ化] を選択します。
ポリシーの変更
- Session Recordingポリシーコンソールをインストールしたマシンに管理者としてログオンします。
- Session Recordingポリシーコンソールを起動します。
- [Session Recordingサーバーへの接続] ウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
- Session Recordingポリシーコンソールで、[録画ポリシー] または [イベントログポリシー] を展開します。
- 変更するポリシーを選択します。ポリシーの規則が右ペインに表示されます。
- 規則を追加、変更、または削除するには:
- メニューバーで [新しい規則の追加] を選択します。ポリシーがアクティブな場合はポップアップウィンドウが開き、操作の確認を促すメッセージが表示されます。規則ウィザードを使用して新しい規則を作成します。
- 変更する規則を選択し、右クリックして [プロパティ] を選択します。規則ウィザードを使用して規則を変更します。
- 削除する規則を選択し、右クリックして [規則の削除] を選択します。
ポリシーの削除
注:
システム定義のポリシーまたはアクティブなポリシーは削除できません。
- Session Recordingポリシーコンソールをインストールしたマシンに管理者としてログオンします。
- Session Recordingポリシーコンソールを起動します。
- [Session Recordingサーバーへの接続] ウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
- Session Recordingポリシーコンソールで、[録画ポリシー] または [イベントログポリシー] を展開します。
- 左ペインで削除するポリシーを選択します。ポリシーがアクティブな場合は、ほかのポリシーをアクティブにする必要があります。
- メニューバーで [ポリシーの削除] を選択します。
- [はい] をクリックして操作を確定します。
ロールオーバーの動作
ポリシーをアクティブにする場合、それまでアクティブだったポリシーはセッションの録画が終了するまで、またはセッションの録画ファイルが上限に達するまで効力を保ちます。ロールオーバーは、ファイルサイズが上限に達すると実行されます。録画ファイルのサイズの上限について詳しくは、「録画ファイルのサイズの指定」を参照してください。
次の表で、セッションの録画中に新しい録画ポリシーを適用してロールオーバーが起きたときに生じる現象について説明します:
以前の録画ポリシー: | 新しい録画ポリシー: | ロールオーバーの後の録画ポリシー: |
---|---|---|
録画しない | ほかのポリシー | 変更なし。ユーザーが新しいセッションにログオンするときのみに新しいポリシーが有効になります。 |
通知しないで録画する | 録画しない | 録画を停止します。 |
通知しないで録画する | 通知して録画する | 録画を続行し通知メッセージを表示します。 |
通知して録画する | 録画しない | 録画を停止します。 |
通知して録画する | 通知しないで録画する | 録画を続行します。ユーザーが次にログオンするときはメッセージが表示されません。 |