管理者ログの管理と照会
管理者ログデータの照会
要件
-
LoggingReaderとPlayerの両方の役割に割り当てられた管理者は、管理者ログを表示できます。ユーザーに役割を割り当てるには、Session Recording承認コンソールに移動します。
-
管理者ログページはWeb Playerと統合されています。管理者ログを照会するには、Web Playerをインストールする必要があります。インストールしない場合、404(ページが見つかりません)エラーが発生する可能性があります。
-
Web Playerブラウザーに設定された言語は、Session Recording Administrationコンポーネントをインストールしたときに選択した言語と一致している必要があります。
-
IIS上のSessionRecordingLoggingWebApplicationサイトとWeb PlayerのSSL設定が同じであることを確認してください。同じではない場合、管理者ログデータへのアクセスを要求したときに403エラーが発生します。
手順
サーバーをホストするマシンと他のマシンの両方から、Session Recordingサーバーに関する管理者ログデータを照会できます:
対象のSession Recordingサーバーをホストしているマシン上で
- [スタート] ボタンをクリックし、[Session Recording管理者ログ] を選択します。
-
LoggingReaderユーザーの資格情報を入力します。
Web Playerと統合された管理者ログのWebページが表示されます。
他のマシン上で
- Webブラウザーを開いて、管理者ログのWebページにアクセスします。
-
HTTPSで接続する場合:
https://servername/WebPlayer/#/logging/config
https://servername/WebPlayer/#/logging/record
(ここで、servername
はSession Recordingサーバーをホストするマシンの名前です) -
HTTPで接続する場合:
http://servername/WebPlayer/#/logging/config
http://servername/WebPlayer/#/logging/record
(ここで、servername
はSession Recordingサーバーをホストするマシンの名前です)
-
HTTPSで接続する場合:
- LoggingReaderユーザーの資格情報を入力します。
ログデータの概要
管理者のログデータの構成内容は次のとおりです:
- 構成ログ
- 録画の理由のログ
- 再生に関するログ。
構成ログ
この部分は、次の管理者アクティビティをログに記録します:
-
ポリシーの変更 - Session RecordingポリシーコンソールまたはCitrix Directorでのポリシーへの変更
-
サーバー設定の変更 - Session Recordingサーバーのプロパティにおける変更
-
ログの読み取り - 権限のない管理者ログサービスへのアクセス試行
管理者アクティビティをログに記録するには、Session Recordingサーバーで管理者ログを有効にします。詳しくは、「 管理者ログの無効化または有効化」を参照してください。セキュリティを強化するために、管理者ログサービスアカウントを構成することもできます。
ヒント:
管理者ログは、Session RecordingサービスとSession Recordingサーバーのプロパティの両方で有効にできます。
録画の理由のログ
この部分は、どのポリシーが録画をトリガーしたかをログに記録します。
録画の理由のログを有効にするには、Session Recordingサーバーで管理者ログと録画の理由のログの両方を有効にします。管理者ログが無効になっている場合、録画の理由のログを有効にしても効果はありません。録画の理由のログを有効にする方法については、「録画の理由のログの無効化または有効化」を参照してください。
再生に関するログ
この部分は、再生関連の操作をログに記録します。各ログレコードについて詳しくは、[操作の詳細] 列のプラス記号(+)をクリックします。
再生理由をログに記録するには、Session Recordingサーバーで管理者ログと再生の理由ログの両方を有効にします。管理者ログが無効になっている場合、再生の理由ログを有効にしても適用されません。
再生の理由ログを有効にすると、録画を再生するたびにダイアログボックスが表示され、再生の理由を入力するよう求められます。例として、以下のスクリーンショットを参照してください:
Web Playerでの再生に必要な理由:
Session Recording Playerでの再生に必要な理由:
Session Recordingサーバーで再生の理由ログが有効になっている場合は、再生の理由を使用するための次の点に注意してください:
- Session Recordingサーバーに接続するプレーヤーを使用する場合は、ローカルパスにダウンロードした録画ファイルであっても理由が必要です。
- ファイルのロールオーバーにより、1つのセッションで複数の録画が生成される場合があります。このように録画されたセッションを再生するときは、その録画ごとに理由を入力する必要があります。
管理者ログの無効化または有効化
インストール後、[Session Recordingサーバーのプロパティ]でSession Recording管理者ログ機能を無効または有効にできます。
- Session Recording管理者ログがインストールされているマシンに管理者としてログオンします。
- [スタート] ボタンをクリックし、[Session Recordingサーバーのプロパティ] を選択します。
- [ログ] タブをクリックします。
Session Recording管理者ログを無効にすると、新しいアクティビティはログに記録されません。既存のログをWebベースのUIから照会できます。
[必須のブロック機能を有効にする] がオンの場合、ログが失敗すると以下のアクティビティがブロックされます。システムイベントもイベントID 6001でログに記録されます:
- Session RecordingポリシーコンソールまたはCitrix Directorでの録画ポリシーへの変更。
- Session Recordingサーバーのプロパティにおける変更。
セッションの録画は必須のブロック設定による影響を受けません。
管理者ログサービスアカウントの構成
デフォルトでは、管理者ログはインターネットインフォメーションサービス(IIS)のWebアプリケーションとして実行されており、IDはNetwork Serviceです。セキュリティレベルを拡張するために、このWebアプリケーションのIDをサービスアカウントまたは特定のドメインアカウントに変更できます。
- Session Recordingサーバーをホストするマシンに管理者としてログオンします。
- IISマネージャーで、[アプリケーションプール] をクリックします。
- [アプリケーションプール] で、SessionRecordingLoggingAppPoolを右クリックして [詳細設定] を選択します。
- 属性IDを、使用する特定のアカウントに変更します。
- db_owner権限を、Microsoft SQL ServerのデータベースCitrixSessionRecordingLoggingのアカウントに付与します。
-
レジストリキーHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Serverの読み取り権限をアカウントに付与します。
警告:
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。
録画の理由のログの無効化または有効化
デフォルトで、管理者ログではポリシークエリ完了後のすべての録画の理由がログに記録されます。この動作により、多くのログが生成される場合があります。パフォーマンスを向上させてストレージを確保するには、レジストリでこの種類のログを無効にします。
- Session Recordingサーバーをホストするマシンに管理者としてログオンします。
- レジストリエディターを開きます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Serverに移動します。
-
EnableRecordingActionLoggingの値として、以下を設定します:
0:録画の理由のログの無効化
1:録画の理由のログの有効化