数据治理

本节提供有关 Citrix Analytics 服务收集、存储和保留日志的信息。 定义 部分中未定义的任何大写术语均具有 Citrix 最终用户服务协议中指定的含义。

Citrix Analytics 旨在让客户深入了解其 Citrix 计算环境中的活动。 Citrix Analytics 使安全管理员能够选择他们想要监控的日志，并根据记录的活动采取定向行动。 这些见解可帮助安全管理员管理对其计算环境的访问并保护客户计算环境中的客户内容。

数据驻留

Citrix Analytics 日志与数据源分开维护，并聚合在位于美国、欧盟和亚太南部地区的多个 Microsoft Azure 云环境中。 日志的存储取决于 Citrix Cloud 管理员在将其组织加入 Citrix Cloud 时选择的主区域。 例如，如果您在将您的组织加入 Citrix Cloud 时选择 欧洲地区 ，则 Citrix Analytics 日志将存储在欧盟的 Microsoft Azure 环境中。

有关更多信息，请参阅 Citrix Cloud Services 客户内容和日志处理 和 地理注意事项。

数据收集

Citrix Cloud 服务用于将日志传输到 Citrix Analytics。 日志从以下数据源收集：

• Citrix ADC（本地）以及 Citrix Application Delivery Management 订阅

• Citrix 端点管理

• Citrix Gateway（本地）

• Citrix 身份提供商

• Citrix 安全浏览器

• Citrix Secure Private Access

• Citrix Virtual Apps and Desktops

• Citrix DaaS （以前称为 Citrix Virtual Apps and Desktops 服务）

• 微软活动目录

• Microsoft Graph 安全性

数据传输

Citrix Cloud 日志安全地传输到 Citrix Analytics。 当客户环境的管理员明确启用 Citrix Analytics 时，这些日志会被分析并存储在客户数据库中。 这同样适用于 Citrix Virtual Apps and Desktops 配置了 Citrix Workspace 的数据源。

对于 Citrix ADC 数据源，仅当管理员明确为特定数据源启用 Citrix Analytics 时才会启动日志传输。

数据控制

管理员可以随时打开或关闭发送到 Citrix Analytics 的日志。

当关闭 Citrix ADC 本地数据源时，特定 ADC 数据源与 Citrix Analytics 之间的通信将停止。

当关闭所有其他数据源时，特定数据源的日志将不再在 Citrix Analytics 中进行分析和存储。

数据保留

Citrix Analytics 日志以可识别的形式保留最多 13 个月或 396 天。 在此期间，所有日志和相关分析数据（例如用户风险概况、用户风险评分详情、用户风险事件详情、用户监视列表、用户操作和用户概况）都会保留。

例如，如果您在 2021 年 1 月 1 日对数据源启用了分析，那么默认情况下，2021 年 1 月 1 日收集的数据将保留在 Citrix Analytics 中，直到 2022 年 1 月 31 日。 同样，2021 年 1 月 15 日收集的数据将保留到 2022 年 2 月 15 日，依此类推。

即使您关闭了数据源的数据处理或从 Citrix Analytics 中删除了数据源，此数据仍会存储默认数据保留期。

Citrix Analytics 会在订阅或试用期到期后 90 天删除所有客户内容。

数据导出

本节介绍从 Citrix Analytics for Security 和 Citrix Analytics for Performance 导出的数据。

Citrix Analytics for Performance 从 数据源收集并分析性能指标。

您可以从自助搜索页面下载数据作为 CSV 文件。

Citrix Analytics for Security 从 各种产品（数据源）收集用户事件。 处理这些事件是为了了解用户的危险和异常行为。 您可以将与用户风险洞察和用户事件相关的这些处理后的数据导出到您的系统信息和事件管理 (SIEM) 服务。

目前，可以通过两种方式从 Citrix Analytics for Security 导出数据：

• 将 Citrix Analytics for Security 与您的 SIEM 服务集成

• 将自助搜索页面的数据下载为 CSV 文件。

当您将 Citrix Analytics for Security 与您的 SIEM 服务集成时，数据将使用北向 Kafka 主题或基于 Logstash 的数据连接器发送到您的 SIEM 服务。

目前，您可以与以下 SIEM 服务集成：

• Splunk（通过 Citrix Analytics 插件连接）

• 任何支持 Kafka 主题或基于 Logstash 的数据连接器（例如 Elasticsearch 和 Microsoft Azure Sentinel）的 SIEM 服务

您还可以使用 CSV 文件将数据导出到您的 SIEM 服务。 在自助搜索页面中，您可以查看数据源的数据（用户事件）并将这些数据下载为 CSV 文件。 有关 CSV 文件的更多信息，请参阅 自助搜索。

重要的

数据导出到您的 SIEM 服务后，Citrix 不负责您 SIEM 环境中导出数据的安全性、存储、管理和使用。

您可以打开或关闭从 Citrix Analytics for Security 到 SIEM 服务的数据传输。

有关处理的数据和 SIEM 集成的信息，请参阅 安全信息和事件管理 (SIEM) 集成 和 SIEM 的 Citrix Analytics 数据格式。

Citrix 服务安全展览

Citrix 服务安全展览中包含有关应用于 Citrix Analytics 的安全控制的详细信息，包括访问和身份验证、安全程序管理、业务连续性和事件管理。

定义

客户内容 是指上传到客户帐户进行存储的任何数据或 Citrix 有权访问以执行服务的客户环境中的数据。

日志 是指与服务相关的事件记录，包括衡量性能、稳定性、使用情况、安全性和支持的记录。

服务 表示为 Citrix Analytics 目的而概述的 Citrix Cloud 服务。

数据收集协议

通过将您的数据上传到 Citrix Analytics 并使用 Citrix Analytics 的功能，您同意并允许 Citrix 收集、存储、传输、维护、处理和使用有关您的 Citrix 产品和服务的技术、用户或相关信息。

Citrix 始终根据 Citrix 隐私政策处理收到的信息。

附录：收集的日志

• Citrix Analytics for Security 日志

• Citrix Analytics 性能日志

Citrix Analytics for Security 日志

常规日志

通常，Citrix Analytics 日志包含以下标头标识数据点：

• 标题键

• 设备标识

• 鉴别

• IP 地址

• 组织

• 产品

• 产品版本

• 系统时间

• 租户身份识别

• 类型

• 用户：电子邮件、ID、SAM 帐户名称、域、UPN

• 版本

Citrix Endpoint Management 服务日志

Citrix Endpoint Management 服务日志包含以下数据点：

• 遵守

• 公司所有

• 设备 ID

• 设备型号

• 设备类型

• 地理纬度

• 地理经度

• 主机名

• IMEI

• IP 地址

• 越狱

• 上次活动

• 管理模式

• 操作系统

• 操作系统版本

• 平台信息

• 原因

• 序列号

• 监督

Citrix Secure Private Access 日志

• AAA用户名

• 授权策略操作名称

• 身份验证会话 ID

• 请求 URL

• URL 类别策略名称

• VPN 会话 ID

• 虚拟服务器 IP

• AAA 用户电子邮件 ID

• 实际模板代码

• 应用程序 FQDN

• 应用程序名称

• 应用程序名称 Vserver LS

• 应用程序标志

• 身份验证类型

• 认证阶段

• 身份验证状态代码

• 后端服务器目标 IPv4 地址

• 后端服务器 IPv4 地址

• 后端服务器 IPv6 地址

• 类别域名

• 类别 域 来源

• 客户端 IP

• 客户端MSS

• 客户端快速重传计数

• 客户端 TCP 抖动

• 客户端 TCP 数据包重传

• 客户端 TCP RTO 计数

• 客户端 TCP 零窗口计数

• Clt 流标志 Rx

• Clt 流标志 Tx

• Clt TCP 标志 Rx

• Clt TCP 标志 Tx

• 连接链跳数

• 连接链ID

• 出口接口

• 导出进程ID

• 流旗 Rx

• 流标志 Tx

• HTTP 内容类型

• HTTP 域名

• HTTP请求授权

• HTTP 请求 Cookie

• HTTP 请求 Forw FB

• HTTP请求转发负载均衡

• HTTP 请求主机

• HTTP 请求方法

• HTTP 请求接收 FB

• HTTP 请求接收 LB

• HTTP 请求引用者

• HTTP 请求 URL

• HTTP 请求 XForwarded

• HTTP 响应 FB

• HTTP 响应转发负载均衡

• HTTP 解析位置

• HTTP 响应接收 FB

• HTTP 响应接收负载均衡器

• HTTP 重新设置 Cookie

• HTTP 响应长度

• HTTP Rsp 状态

• HTTP 事务结束时间

• HTTP 事务 ID

• IC 连接组名称

• IC标志

• IC 无存储标志

• IC 策略名称

• 入口接口客户端

• NetScaler Gateway 服务应用程序 ID

• NetScaler Gateway 服务应用程序名称

• NetScaler Gateway 服务应用类型

• NetScaler 分区 ID

• 观察域ID

• 观察点ID

• 原产地资源状态

• 原点 Rsp 长度

• 协议标识符

• 速率限制标识符名称

• 记录类型

• 响应者动作类型

• 响应媒体类型

• Srv 流标志 Rx

• Srv 流标志 Tx

• 服务器快速重传计数

• 服务器TCP抖动

• 服务器 TCP 数据包重传

• 服务器 TCP Rto 计数

• 服务器 TCP 零窗口计数

• SSL 密码值 BE

• SSL 密码值 FE

• SSL 客户端证书大小 BE

• SSL 客户端证书大小 FE

• SSL 客户端证书签名哈希 BE

• SSL 客户端证书签名哈希 FE

• SSL 错误应用程序名称

• SSL 错误标志

• SSL 标志

• SSL 标志 FE

• SSL 握手错误消息

• SSL 服务器证书大小 BE

• SSL 服务器证书大小 FE

• SSL 会话 ID BE

• SSL 会话 ID FE

• SSL 签名哈希算法 BE

• SSL 签名哈希算法 FE

• SSL 服务器证书签名哈希 BE

• SSL 服务器证书签名哈希 FE

• SSL iDomain 类别

• SSL iDomain 类别组

• SSL i域名

• SSL iDomain 信誉

• SSL iExecuted 操作

• SSL iPolicy 操作

• SSL i行动理由

• SSL iURL 设置匹配

• SSL iURL 设置私有

• 用户标识符

• 服务器 Tcp 标志 Rx

• 服务器 Tcp 标志 Tx

• 租户名称

• 追踪请求父跨度 ID

• 追踪请求跨度 ID

• 追踪追踪ID

• 传输控制目标 IPv4 地址

• 传输控制目标 IPv6 地址

• 传输控制目标端口

• Trans Clt Flow End Usec Rx

• Trans Clt Flow End Usec Tx

• Trans Clt Flow Start Usec Rx

• Trans Clt Flow Start Usec Tx

• 传输客户端 IPv4 地址

• 传输层 IPv6 地址

• 传输 Clt 数据包总计 Cnt Rx

• 传输计数 数据包总数 Tx

• 转运蛋白 RTT

• 传输控制源端口

• Trans Clt Tot Rx Oct Cnt

• 交易 Clt Tot Tx Oct Cnt

• 交通信息

• 传输服务目标端口

• 传输服务数据包总数接收数

• 传输服务数据包总数 Tx

• 传输服务源端口

• Trans Svr Flow End Usec Rx

• 传输服务流结束 Usec Tx

• 交易服务流程开始 Usec Rx

• 交易服务器流程启动 Usec Tx

• 转运服务往返

• Trans Svr Tot Rx Oct Cnt

• 交易服务总计 Tx 十月 数量

• 交易编号

• URL 类别

• URL 类别组

• URL 类别信誉

• URL 类别 操作 原因

• URL 集匹配

• URL 设置为私有

• URL 对象 ID

• VLAN编号

Citrix Virtual Apps and Desktops 和 Citrix DaaS 日志

Citrix Virtual Apps and Desktops 和 Citrix DaaS 日志包含以下数据点：

• 应用程序名称

• 浏览器

• 客户 ID

• 详细信息：格式大小、格式类型、发起者、结果

• 设备 ID

• 设备类型

• 反馈

• 反馈ID

• 文件名

• 文件路径

• 文件大小

• 就像

• 越狱

• 作业详细信息：文件名、格式、大小

• 位置：估计位置、纬度、经度

  注意：

  位置信息按城市和国家级别提供，并不代表精确的地理位置。

• 长 CMD 行

• 模块文件路径

• 手术

• 操作系统

• 平台附加信息

• 打印机名称

• 问题

• 问题 ID

• SaaS 应用程序名称

• 会话域

• 会话服务器名称

• 会话用户名

• 会话 GUID

• 时间戳

• 时区：偏差、夏令时、名称

• 印刷总份数

• 打印总页数

• 类型

• 网址

• 用户代理

Citrix ADC 日志

Citrix ADC 日志包含以下数据点：

• 容器

• 文件

• 格式

• 类型

适用于 Azure 日志的 Citrix DaaS 标准

Citrix DaaS Standard for Azure 日志包含以下数据点：

• 应用程序名称

• 浏览器

• 详细信息：格式大小、格式类型、发起者、结果

• 设备 ID

• 设备类型

• 文件名

• 文件路径

• 文件大小

• 越狱

• 作业详细信息：文件名、格式、大小

• 位置：估计位置、纬度、经度

  注意：

  位置信息按城市和国家级别提供，并不代表精确的地理位置。

• 长 CMD 行

• 模块文件路径

• 手术

• 操作系统

• 平台附加信息

• 打印机名称

• SaaS 应用程序名称

• 会话域

• 会话服务器名称

• 会话用户名

• 会话 GUID

• 时间戳

• 时区：偏差、夏令时、名称

• 类型

• 网址

• 用户代理

Citrix 身份提供程序日志

• 用户登录：

  • 身份验证域：名称、产品、IdP 类型、IdP 显示名称

    • IdP 属性：应用程序、授权类型、客户 ID、客户端 ID、目录、发行者、徽标、资源、TID

    • 扩展：

      • 工作区：背景颜色、标题徽标、登录徽标、链接颜色、文本颜色、StoreFront 域

      • 长寿命令牌：已启用、到期类型、绝对到期秒数、滑动到期秒数

  • 认证结果：用户名、错误信息

  • 登录信息：客户 ID、客户名称

  • 用户声明：AMR、访问令牌哈希、Aud、身份验证时间、CIP Cred、身份验证别名、身份验证域、组、产品、系统别名、电子邮件、电子邮件 已验证、到期日、姓氏、名字、IAT、IdP、ISS、区域设置、名称、NBF、SID、子项

    • 授权别名声明：名称、值

    • 目录上下文：域、Forrest、身份提供者、租户 ID

    • 用户：客户、电子邮件、OID、SID、UPN

    • IdP 额外字段：Azure AD OID、Azure AD TID

• 用户注销：客户端 ID、客户端名称、Nonce、Sub

• 客户端更新：操作、客户端 ID、客户端名称

Citrix Gateway 日志

• 交易事件：

  • ICA 应用程序：记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 GUID、MSI 客户端 Cookie、流 ID Rx、ICA 标志、连接 ID、填充八位字节 2、ICA 设备序列号、IP 版本 4、协议标识符、源 IPv4 地址 Rx、目标 IPv4 地址 Rx、源传输端口 Rx、目标传输端口 Rx、ICA 应用程序启动持续时间、ICA 启动机制、ICA 应用程序启动时间、ICA 进程 ID 启动、ICA 应用程序名称、ICA 应用程序模块路径、ICA 应用程序终止类型、ICA 应用程序终止时间、应用程序名称应用程序 ID、ICA 应用程序进程 ID 终止、ICA 应用程序

  • ICA 事件：记录类型、实际模板代码、源 IPv4 地址 Rx、目标 IPv4 地址 Rx、ICA 会话 GUID、MSI 客户端 Cookie、连接链 ID、ICA 客户端版本、ICA 客户端主机名、ICA 用户名、ICA 域名、登录票证设置、服务器名称、服务器版本、流 ID Rx、ICA 标志、观察点 ID、导出进程 ID、观察域 ID、连接 ID、ICA 设备序列号、ICA 会话设置时间、ICA 客户端 IP、NS ICA 会话状态设置、源传输端口 Rx、目标传输端口 Rx、ICA 客户端启动器、ICA 客户端类型、ICA 连接优先级设置、NS ICA 会话服务器端口、NS ICA 会话服务器 IP 地址、IPv4、协议标识符、连接链跳数、访问类型

  • ICA 更新：记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 GUID、MSI 客户端 Cookie、流 ID Rx、ICA 标志、连接 ID、ICA 设备序列号、IPv4、协议标识符、填充八位字节二、ICA RTT、客户端 RX 字节、客户端数据包重传、服务器端数据包重传、客户端 RTT、客户端抖动、服务器端抖动、ICA 网络更新开始时间、ICA 网络更新结束时间、客户端 SRTT、服务器端 SRTT、客户端延迟、服务器端延迟、主机延迟、客户端零窗口计数、服务器端零窗口计数、客户端 RTO 计数、服务器端 RTO 计数、L7 客户端延迟、L7 服务器延迟、应用程序名称应用程序 ID、租户名称、ICA 会话更新开始秒、ICA 会话更新结束秒、ICA 通道 ID 1、ICA 通道Id 2、ICA 通道 Id 2 个字节、ICA 通道 Id 3、ICA 通道 Id 3 个字节、ICA 通道 Id 4、ICA 通道 Id 4 个字节、ICA 通道 Id 5、ICA 通道 Id 5 个字节

  • AppFlow 配置：记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、系统规则标志 1、系统安全指数、AppFlow 配置文件放宽标志、AppFlow 配置文件阻止标志、AppFlow 配置文件日志标志、AppFlow 配置文件学习标志、AppFlow 配置文件统计标志、AppFlow 配置文件无标志、AppFlow 应用程序名称 ID、AppFlow 配置文件签名已禁用、AppFlow 配置文件签名阻止计数、AppFlow 配置文件签名日志计数、AppFlow 配置文件签名统计计数、AppFlow 化身编号、AppFlow 序列号、AppFlow 配置文件签名自动更新、AppFlow 安全指数、AppFlow 应用程序安全指数、AppFlow 配置文件安全检查安全指数、AppFlow 配置文件类型、Iprep 应用程序安全指数、AppFlow 配置文件名称、AppFlow 签名名称、AppFlow 应用程序名称 Ls、AppFlow 签名规则 ID1、AppFlow 签名规则 ID2、AppFlow 签名规则 ID3、AppFlow 签名规则 ID4、AppFlow 签名规则 ID5、AppFlow 签名规则已启用标志、AppFlow Sig 规则块标志、AppFlow Sig 规则日志标志、AppFlow Sig 规则文件名、AppFlow Sig 规则类别 1、AppFlow Sig 规则日志字符串 1、AppFlow Sig 规则类别 2、AppFlow Sig 规则日志字符串 2、AppFlow Sig 规则类别 3、AppFlow Sig 规则类别 4、AppFlow Sig 规则日志字符串 4、AppFlow Sig 规则类别 5、AppFlow Sig 规则日志字符串 5

  • AppFlow：实际模板代码、观察域 ID、观察点 ID、导出进程 ID、事务 ID、Appfw 违规发生时间、应用程序名称应用程序 ID、Appfw 违规严重性、Appfw 违规类型、Appfw 违规位置、Appfw 违规威胁指数、Appfw NS 经度、Appfw NS 纬度、源 IPv4 地址 Rx、Appfw Http 方法、Appfw 应用程序威胁指数、Appfw 阻止标志、Appfw 转换标志、Appfw 违规配置文件名称、Appfw 会话 ID、Appfw Req Url、Appfw 地理位置、Appfw 违规类型名称 1、Appfw 违规名称值 1、Appfw Sig 类别 1、Appfw 违规类型名称 2、Appfw 违规名称值 2、Appfw Sig 类别 2、Appfw 违规类型名称3、Appfw 违规名称值 3、Appfw Sig 类别 3、转发的 Appfw Req X、Appfw 应用程序名称 Ls、应用程序名称 Ls、Iprep 类别、Iprep 攻击时间、Iprep 信誉评分、Iprep NS 经度、Iprep NS 纬度、Iprep 严重性、Iprep HTTP 方法、Iprep 应用程序威胁指数、Iprep 地理位置、Tcp Syn 攻击中心、Tcp 慢速上升中心、Tcp 零窗口中心、Appfw 日志表达式名称、Appfw 日志表达式值、Appfw 日志表达式注释

  • VPN：实际模板代码、观察域 ID、Access Insight 标志、观察点 ID、导出进程 ID、Access Insight 状态代码、Access Insight 时间戳、身份验证持续时间、设备类型、设备 ID、设备位置、应用程序名称应用程序 ID、应用程序名称应用程序 ID1、源传输端口 Rx、目标传输端口 Rx、身份验证阶段、身份验证类型、VPN 会话 ID、EPA ID、AAA 用户名、策略名称、身份验证代理名称、组名称、虚拟服务器 FQDN、cSec 表达式、源 IPv4 地址 Rx、目标 IPv4 地址 Rx、当前因素策略标签、下一个因素策略标签、应用程序名称 Ls、应用程序名称 1 Ls、AAA 用户电子邮件 ID、网关 IP、网关端口、应用程序字节数、VPN 会话状态、VPN 会话模式、SSO 身份验证方法、IIP 地址、VPN 请求 URL、SSO 请求 URL、后端服务器名称、VPN 会话注销模式、登录票证文件信息、STA 票证、会话共享密钥、资源名称、SNIP 地址、临时 VPN 会话 ID

  • http： 实际模板代码， http req 方法， http req url， http req 用户代理， http 内容类型， http req 主机， Http req 授权， Http req cookie， Http req referer， Http res set cookie， ic cont grp name， ic flags， ic nostore flags， ic policy name， response media type， ingress interface client， origin res status， origin rsp len， srv 流标志 rx， srv 流标志 tx， 流标志 rx， 流标志 tx， 应用程序名称， 观察点 ID， 导出进程 ID， 观察域 ID， http 传输结束时间， 事务 ID， http rsp 状态， 传输 clt ipv4 地址， 传输 clt dst ipv4 地址， 后端 svr dst ipv4 地址， 后端 svr ipv4 地址， http rsp len， 传输 svr rtt， 跨 clt rtt， http req rcv FB， Http res rcv LB， Http res rcv FB， Http res rcv LB， Http req forw FB， Http res forw LB， Http res forw FB， Http res forw LB， Http req x forwarded for， http 域名， Http res 位置， 协议标识符， 出口接口， 后端 svr ipv6 地址， SSL 标志 BE， SSL 标志 FE、SSL 会话 IDFE、SSL 会话 IDBE、SSL 密码值 FE、SSL 密码值 BE、SSL 签名哈希 ALG BE、SSL 签名哈希 ALG FE、SSL SRVR 证书 SIG 哈希 BE、SSL SRVR 证书 SIG 哈希 FE、SSL clnt 证书 sig 哈希 FE、SSL clnt 证书 sig 哈希 BE、SSL 服务器证书大小 FE、 SSL 服务器证书大小 BE， SSL 客户端证书大小 FE， SSL 客户端证书大小 BE， SSL 错误应用程序名称， SSL 错误标志， SSL 握手错误消息， 客户端 IP， 虚拟服务器 IP， 连接链 ID， 连接链跃点计数， 跨 clt tot rx oct cnt， 跨 clt totTx oct cnt， 跨 clt src 端口， 跨 clt dtst 端口， Trans Srv 源端口， Trans Srv Dst 端口， VLAN 编号， 客户端 mss， trans 信息， Trans Clt 流结束 usec rx， trans clt 流结束 usec tx， 跨 clt 流启动 usec rx， 跨 clt 流启动 usec tx， trans svr 流结束 usec rx， trans svr 流结束 usec tx， trans svr 流启动 usec rx， trans svr 流启动 usec tx， trans svr tot rx oct cnt， trans svr tot tx oct cnt， clt 流标志 tx， clt 流标志 rx， trans clt ipv6 地址， trans clt dst ipv6 地址， 订阅者标识符， SSLi 域名， SSLi 域类别， SSLi 域类别组， SSLi 域信誉， SSLi 策略作， SSLi 执行作， SSLi作原因、匹配的 SSLi URL 集、私有 SSLi URL 集、URL 类别、URL 类别组、URL 类别信誉、响应方作类型、匹配的 URL 集、URL 集私有、类别域名、类别域源、AAA 用户名、VPN 会话 ID、租户名称

• 指标事件：

  • VServer LB：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、表示、架构类型、时间、CPU、GSLB 服务器、GSLB VServer、接口、内存池、服务器服务组、服务器服务配置、VServer 身份验证、VServer Cr、VServer Cs、VServer LB：Si Tot 请求字节数、Si Tot 请求数、Si Tot 响应字节数、Si Tot 响应数、Si Tot Clt Ttlb 事务数、Si Tot Clt Ttlb Pkt Rcvd 率、Si Tot Clt Ttlb Pkt 已发送率、Vsvr Tot 命中数、Si Cur 客户端、Si Cur Conn 已建立、Si Cur 服务器、Si Cur 状态、Si Tot 请求字节数、Si Tot 响应、Si Tot Clt Ttlb、Si Tot Clt Ttlb 事务数、Si Tot Pkt Rcvd、Si Tot Pkt Sent、Si Tot Ttlb Frustrating Transactions、Si Tot Ttlb Tolerating Transactions、Vsvr Active Svcs、Vsvr Tot Hits、Vsvr Tot Req Resp Invalid、Vsvr Tot Req Resp Invalid Dropped

  • CPU：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、表示、架构类型、时间、Cc CPU 使用 GSLB 服务器、GSLB Vserver、接口、内存池、NetScaler、服务器服务组、服务器服务配置、VServer Authn、VServer Cr、VServer Cs、VServer Lb、VServer SSL、VServer 用户

  • 服务器服务组：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、表示、架构类型、时间、抄送 CPU 使用率、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、服务器服务组：Si 总请求字节数、Si 总请求数、Si 总响应字节数、Si 总响应数、Si 总 Clt Ttlb 数、Si 总 Clt Ttlb 事务数、Si 总 Svr Ttfb 事务数、Si 总 Svr Ttfb 事务数、Si 总 Svr Ttlb 事务数、Si 总 Svr Ttlb 令人沮丧的事务数、Si 总 Ttlb 容忍的事务数、Si 当前状态、Si请求字节总数、请求总数、响应字节总数、响应总数、Clt Ttlb 总数、Clt Ttlb 事务总数、Ttfb 服务总数、Ttfb 服务总数、Tlb 服务总数、Tlb 服务总数、令人沮丧的 Ttlb 事务总数、容忍的 Ttlb 事务总数

  • 服务器 SVC CFG：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、表示、架构类型、时间、CPU 使用率、GSLB 服务器、GSLB Vserver、接口、内存池、NetScaler、VServer Authn、VServer Cr、VServer Cs、VServer Lb、VServer SSL、VServer 用户、服务器 Svc Cfg：Si Tot 请求字节数、Si Tot 请求数、Si Tot 响应字节数、Si Tot 响应数、Si Tot Clt Ttlb、Si Tot Clt Ttlb 事务数、Si Tot Pkt Rcvd 速率、Si Tot Pkt Sent 速率、Si Tot Svr Busy Err 速率、Si Tot Svr Ttfb 速率、Si Tot Svr Ttfb 事务速率、Si Tot Svr Ttlb、Si Tot Svr Ttlb 事务速率Si Tot Ttlb 令人沮丧的交易率、Si Tot Ttlb 容忍的交易率、Si Cur 状态、Si Cur 传输、Si Tot 请求字节数、Si Tot 请求数、Si Tot 响应字节数、Si Tot 响应数、Si Tot Clt Ttlb、Si Tot Clt Ttlb 交易数、Si Tot Pkt Rcvd、Si Tot Pkt Sent、Si Tot Svr Busy Err、Si Tot Svr Ttfb、Si Tot Svr Ttfb 交易数、Si Tot Svr Ttlb、Si Tot Svr Ttlb 交易数、Si Tot Ttlb 令人沮丧的交易、Si Tot Ttlb 容忍的交易

  • NetScaler：绑定实体名称、实体名称、mon 服务绑定、NetScaler ID、表示形式、架构类型、时间、GSLB 服务器、GSLB VServer、接口、内存池、服务器服务组、服务器 svc cfg、VServer authn、VServer cr、VServer cs、VServer lb、VServer SSL、VServer 用户、NetScaler：RATE 所有 Nic Tot Rx Mbits、RATE 所有 Nic Tot Rx Mbits、RATE dns Tot 查询、 RATE dns tot neg nxdmn 条目，RATE http tot gets，RATE http tot 其他， RATE http tot 帖子， RATE http tot 请求， RATE http tot 请求 1.0， RATE http tot 请求 1.1， RATE http tot 响应， RATE http tot rx 请求字节， RATE http tot rx 响应字节， RATE ip tot rx mb， RATE ip tot Rx 字节， RATE ip tot Rx 包， RATE ip tot tx Mbits， RATE ip tot tx 字节， RATE ip tot tx 包， RATE SSL tot 十二字节， RATE SSL tot Enc 字节， RATE SSL tot SSL 信息会话命中数， RATE SSL tot SSL 信息总 tx 计数， RATE tcp err rst， RATE tcp tot 客户端打开， RATE tcp tot 服务器打开， RATE tcp tot rx 字节， RATE tcp tot rx 包， RATE tcp tot syn， RATE tcp tot tx 字节， RATE tcp tot tx 包， RATE udp tot rx 字节， RATE udp tot rx 包， RATE udp tot tx 字节， RATE UDP tot tx 包， 所有 nic tot rx mbts， 所有 nic tot tx mbts， cpu use， dns tot 查询， dns tot neg nxdmn entries， http tot gets， http tot others， http tot posts， http tot requests， http tot requests1.0， http tot requests1.1， http tot 响应， http tot rx 请求字节， http tot rx 响应字节， ip tot rx mbts， ip tot rx bytes， ip tot rx pkts， ip tot tx mbts， ip tot tx bytes， ip tot tx 包， 内存当前可用大小， 内存当前可用大小实际， 内存当前使用大小， 内存可用， 管理额外 CPU 使用， 管理中央处理器 0 使用， 管理中央处理器使用， SSL 总十二字节， SSL 总 Enc 字节数， SSL 总 SSL 信息会话命中数， SSL 总 tx 计数， 系统 cpus， tcp 当前客户端连接， tcp cur 客户端连接关闭， tcp cur 客户端连接 est， tcp cur 服务器连接， tcp cur 服务器连接关闭， tcp cur 服务器连接 est， tcp err rst， tcp tot 客户端打开， tcp tot 服务器打开， tcp tot rx 字节， tcp tot rx pkts， tcp tot syn， tcp tot tx 字节， tcp tot tx 字节， udp tot rx 字节， Udp Tot Rx Pkts, Udp Tot Tx Bytes, Udp Tot Tx Pkts

  • 内存池：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb VServer、接口、NetScaler、服务器服务组、服务器服务配置、VServer Authn、VServer Cr、VServer Cs、VServer Lb、VServer SSL、VServer 用户、内存池：Mem Cur Alloc 大小、Mem Err Alloc 失败、Mem Tot 可用

  • 监控服务绑定：绑定实体名称、实体名称、NetScalerId、SchemaType、时间、CPU、Gslb 服务器、Gslb VServer、接口、内存池、NetScaler、服务器服务组、服务器服务配置、VServer Authn、VServer Cr、VServer Cs、Vserver Lb、VServer SSL、VServer 用户、Mon 服务绑定：RATE Mon Tot 探测器、Mon Tot 探测器

  • 接口：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb VServer、内存池、NetScaler、服务器服务组、服务器服务配置、VServer 身份验证、VServer Cr、VServer Cs、Vserver Lb、VServer SSL、VServer 用户、接口：NIC 总 Rx 字节数、NIC 总 Rx 数据包数、NIC 总 Tx 字节数、NIC 总 Tx 数据包数、NIC 总 Rx 字节数、NIC 总 Rx 数据包数

  • VServer CS：绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb VServer、内存池、NetScaler、服务器服务组、服务器服务配置、VServer Authn、VServer Cr、VServer Cs、Vserver Lb、VServer SSL、VServer 用户、VServer Cs：Si Tot 请求字节数、Si Tot 请求数、Si Tot 响应字节数、Si Tot 响应数、Si Tot Clt Ttlb 交易数、Si Tot Clt Ttlb 交易数、Si Tot Pkt Rcvd 交易数、Si Tot Pkt Sent 交易数、Si Tot Ttlb 令人沮丧的交易数、Si Tot Ttlb 容忍交易数、Vsvr Tot Hits 命中数、Si Cur 状态、Si Tot 请求字节数、Si Tot 请求数、Si Tot 响应字节数、Si Tot 响应数、Si Tot Clt Ttlb、Si Tot Clt Ttlb 事务数、Si Tot Pkt Rvd、Si Tot Pkt Sent、Si Tot Ttlb 令人沮丧的事务数、Si Tot Tlb 容忍的事务数、Vsvr Tot Hits、Vsvr Tot Req Resp Invalid、Vsvr Tot Req Resp Invalid Dropped

安全浏览器日志

• 申请岗位：

  • 应用程序发布前的日志：身份验证、浏览器、变更 ID、已创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

  • 应用程序发布后的日志：身份验证、浏览器、更改 ID、已创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

• 应用程序删除：

  • 应用程序发布前的日志：身份验证、浏览器、变更 ID、已创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

  • 应用程序发布后的日志：身份验证、浏览器、更改 ID、已创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

• 应用程序更新：

  • 应用程序发布前的日志：身份验证、浏览器、变更 ID、已创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

  • 应用程序发布后的日志：身份验证、浏览器、更改 ID、已创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

• 权利创建：

  • 授权创建前的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

  • 授权创建后的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

• 权利更新：

  • 授权更新前的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

  • 授权更新后的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

• 会话访问主机：接受主机、客户端 IP、日期时间、主机、会话、用户名

• 会话连接：

  • 会话连接前的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新时间、启动源、用户名

  • 会话连接后的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新时间、启动源、用户名

• 会议启动：

  • 会话启动前的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新时间、启动源、用户名

  • 会话启动后的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新时间、启动源、用户名

• 会话标记：

  • 会话勾选前的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新时间、启动源、用户名

  • 会话勾选后的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新时间、启动源、用户名

Microsoft Graph 安全日志

• 租户 ID

• 用户身份

• 指标 ID

• 指标UUID

• 活动时间

• 创建时间

• 警报类别

• 登录位置

• 登录IP

• 登录类型

• 用户帐户类型

• 供应商信息

• 供应商提供商信息

• 脆弱性状态

• 漏洞严重程度

Microsoft Active Directory 日志

• 租户 ID

• 收集时间

• 类型

• 目录上下文

• 团体

• 身份

• 用户类型

• 帐户名称

• 错误密码计数

• 城市

• 通用名称

• 公司

• 国家

• 密码到期前天数

• 部门

• 说明

• 显示名称

• 专有名称

• 电子邮件

• 传真号码

• 名

• 团体类别

• 组范围

• 住宅电话

• 首字母

• IP电话

• 账户是否已启用

• 账户被锁定

• 是安全组

• 姓

• 经理

• 成员

• 手机

• 寻呼机

• 密码永不过期

• 实物交割办公室名称

• 邮政信箱

• 邮政编码

• 主要组 ID

• 状态

• 街道地址

• 标题

• 用户帐户控制

• 用户组列表

• 用户主体名称

• 工作电话

Citrix Analytics 性能日志

• 动作ID

• 行动原因

• 动作类型

• 管理文件夹

• 代理版本

• 分配类型

• 应用程序ID

• 应用程序名称

• 应用程序路径

• 应用程序类型

• 应用程序版本

• 关联用户全名

• 关联用户名

• 关联用户名

• 关联用户

• 身份验证时长

• 自动重新连接计数

• 自动重新连接类型

• 平均端点吞吐量接收字节数

• 平均端点吞吐量已发送字节数

• 斑点容器

• 斑点点

• blobpath

• 经纪商申请已更改

• 经纪人申请已创建

• 经纪人申请已删除

• 经纪日期

• 经纪时长

• 经纪人负载指数

• 经纪商注册已开始

• 浏览器名称

• 目录更改事件

• catalogcreatedevent

• catalogdeletedevent

• 目录编号

• 目录名称

• catalogsync

• 客户地址

• 客户名称

• 客户端平台

• 客户端会话验证日期

• 客户端版本

• 收集日期

• 通过主机名连接

• 通过 IP 地址连接

• 连接ID

• 连接信息

• 连接状态

• 连接类型

• 控制器DNS名称

• 中央处理器

• CPU索引

• 创建日期

• 当前负载索引号

• 当前电源状态

• 当前注册状态

• 当前会话计数

• 日期时间

• 配送组已添加

• 递送组已更改

• 递送组已删除

• 配送组 ID

• 交付组维护模式已更改

• 递送组名称

• deliverygroupsync

• 配送类型

• 注销原因

• 桌面组删除事件

• 桌面组ID

• 桌面组名称

• 桌面类型

• 断开代码

• 断开连接原因

• 磁盘

• 磁盘索引

• 域名

• 域名

• 有效负荷指数

• 结束日期

• 错误信息

• 成立日期

• 事件报告日期

• 事件时间

• 退出代码

• 故障类别

• 故障代码

• 故障数据

• 失败日期

• 失败原因

• 故障类型

• 故障状态

• 功能层面

• 日期

• 启动日期

• hdxenddate

• hdx开始日期

• 主持人

• 托管机器 ID

• 托管机器名称

• 托管服务器名称

• 虚拟机管理程序连接更改事件

• 虚拟机管理程序连接创建事件

• 虚拟机管理程序

• 虚拟机管理程序名称

• 虚拟机管理程序同步

• 艾卡特

• 伊卡特姆

• ID

• 空闲时间

• 可用输入带宽

• 使用的输入带宽

• 实例数

• 互动结束日期

• 互动开始日期

• IP地址

• 已分配

• 处于维护模式

• 是机器物理的

• 正在更新

• 正在准备

• 远程电脑

• 伊塞塞卡

• 最后注销代码

• 通过主机名启动

• 通过IP地址启动

• 生命周期状态

• 链接速度

• 持续时间

• 登录结束日期

• 登录脚本发送日期

• 登录脚本开始日期

• 登录开始日期

• 长的

• machineaddedtodesktopgroup事件

• 机器分配已更改

• 机器目录变更事件

• machinecreateevent

• machinedeletedevent

• 机器注销事件

• 机器DNS名称

• 机器故障状态改变事件

• 机器硬注册事件

• 机器号

• 机器维护模式变更事件

• 机器名

• machinepvdstatechanged

• 机器注册结束事件

• machineremovedfromdesktopgroup事件

• 机械角色

• 机器标识符

• machineupdate事件

• 机器windows连接设置已更改

• 记忆

• 记忆索引

• 修改日期

• NGS连接器.ICA连接.启动

• NGS连接器.NGS合成指标

• NGS连接器.NGSPassiveMetrics

• NGS连接器.NGS系统指标

• 网络

• 网络索引

• 网络延迟

• 网络信息周期

• 网络接口类型

• 操作系统类型

• 可用输出带宽

• 输出带宽使用

• 小路

• 百分比CPU

• 持久用户变更

• 电源状态

• 进程名称

• profileloadenddate

• profileloadstartdate

• 协议

• 供应方案ID

• 配置类型

• 出版名称

• 注册州

• 服务器会话验证日期

• 会话计数

• 会话结束

• 会话失败

• 会话ID

• 会话空闲时间

• 会话索引

• 会话密钥

• 会话启动

• 会话状态

• 会话支持

• 会话终止

• 会话类型

• 席德

• 信号强度

• 站点 ID

• 网站名称

• 开始日期

• 总内存

• 触发间隔

• 触发级别

• 触发期

• 触发值

• 已用内存

• 用户身份

• 用户输入延迟

• 用户名

• 用户ID

• 持续时间

• vda进程数据

• vdaresourcedata

• version

• 虚拟机开始结束日期

• 虚拟机启动日期

• windows连接设置

• xd.会话开始