Citrix Analytics for Security 故障排除

排查来自数据源的事件传输问题

本部分可帮助您解决 Citrix Analytics for Security 中的数据传输问题。当数据源无法准确传输用户事件时,您可能会遇到诸如未发现用户和风险指标等问题。

清单

序列 检查
1 您的组织是否位于受支持的地理区域-美国、欧盟还是南部亚太区域?
2 你有使用安全分析的正确权利吗?
3 您的环境是否满足所有系统要求?
4 是否在 Analytics 上发现了所有数据源并启用了数据处理?
5 数据源上的用户活动是否准确地向 Analytics 传输事件?
6 虚拟应用程序和桌面事件是否传输到 Analytics?
7 用户事件是否显示在 Analytics 的自助搜索页面上?
8 分析是否发现了用户?

检查 1-您的组织是否在受支持的地理区域中?

如果您在 Citrix Analytics 中看不到用户事件,则表明您的组织可能已加入当前不受支持的主区域。Citrix Analytics 不会接收来自不受支持的区域的事件。

要使用 Citrix Analytics,必须选择美国欧盟作为主区域才能加入组织。如果您的组织位于亚太南部区域,则必须选择美国区域才能加入您的组织。有关详细信息,请参阅地理方面的注意事项

要验证您的组织所在的 Citrix Cloud 区域,请执行以下操作:

在 Citrix Cloud 帐户上,选择帐户设置 > 公司帐户

云账户

基于位置支持的数据源

Citrix Analytics 根据其地理区域支持以下数据源。数据源是向 Analytics 发送数据的产品。有关详细信息,请参阅数据源

数据源 在美国地区受支持 在欧盟地区支持
Citrix 访问控制
Citrix Content Collaboration
Citrix Endpoint Management
Citrix Gateway
Citrix Virtual Apps and Desktops 服务
Citrix Virtual Apps and Desktops 本地
Citrix Secure Browser
Microsoft Active Directory
Microsoft Graph 安全
Splunk

检查 2-你有使用安全分析的正确权利吗?

Citrix Analytics for Security 是一种基于订阅的产品。您可以使用有限试用版或购买订阅来使用此产品。有关详细信息,请参阅入门

检查 3-您的环境是否满足所有系统要求?

Citrix Analytics 可能需要几分钟时间才能从数据源接收用户事件。如果在数据源站点卡片上看不到任何用户事件,请确保您的环境满足先决条件和 系统要求

必备条件

  1. 您的所有 Citrix Cloud 订阅都必须处于活动状态。在 Citrix Cloud 页面上,确保所有 Citrix Cloud 服务都处于活动状态。

  2. 如果您使用的是本地 Citrix Virtual Apps and Desktops,则必须将站点添加到 Citrix Workspace 并配置站点聚合。Citrix Analytics 会自动发现添加到 Citrix Workspace 的站点。有关详细信息,请参阅在工作区中聚合本地虚拟应用程序和桌面

  3. 如果您为站点使用 StoreFront 部署,请配置 StoreFront 服务器以启用 Citrix Workspace 应用程序向 Citrix Analytics 发送用户事件。确保 StoreFront 版本是 1906 或更高版本。如果未配置 StoreFront 服务器,Citrix Analytics 将无法从 Citrix Virtual Apps and Desktops 接收用户事件。要配置 StoreFront 部署,请参阅 StoreFront 文档中的文章 Citrix Analytics 服务

  4. 如以下文章中提到的那样载入数据源:

  5. Citrix Virtual Apps and Desktops 用户必须在其端点上使用指定版本的 Citrix Workspace 应用程序或 Citrix Receiver。否则,Analytics 不会从用户终端点接收用户事件。中提供了 Citrix Workspace 应用程序或 Citrix Receiver 的受支持版本的列表 Citrix Virtual Apps and Desktops 数据源

检查 4-是否在 Analytics 上发现了所有数据源并启用了数据处理?

确保发现了所有数据源,并且您已为它们启用了数据处理。如果未为数据源启用数据处理,则不会发现使用该数据源的用户。这种情况可能会造成潜在的安全风险。

启用数据处理可确保 Citrix Analytics 处理您的用户事件。仅当用户主动使用数据源时,事件才会发送到 Citrix Analytics。

注意

Citrix Analytics 不会主动从您的环境中提取数据。

要发现数据源并启用分析,请执行以下操作:

  1. 单击“设置”>“数据源”>“安全性”以查看发现的数据源。Citrix Analytics 会自动发现您在 Citrix Cloud 帐户上订阅的数据源。

    “数据源”页

  2. 数据源页面上,发现的数据源显示为站点卡。默认情况下,数据处理处于关闭状态。

    重要

    Citrix Analytics 将在您同意后处理您的数据。

    网站卡

  3. 在希望 Citrix Analytics 处理事件的站点卡上单击打开数据处理。例如,在访问控制站点卡上,单击打开数据处理

    网站卡访问

  4. 启用数据处理后,Citrix Analytics 将处理数据源的事件。站点卡的状态更改为“数据处理”。您可以根据选定的时间段查看用户数量和接收的事件。

    访问事件

  5. 对于所有发现的数据源,请按照中指定的步 入门 骤启用分析。

检查 5-数据源上的用户活动是否准确地向 Analytics 传输事件?

当用户主动使用数据源时,Citrix Analytics 会从数据源接收用户事件。用户必须在数据源上执行某些活动才能生成事件。例如,要从 Content Collaboration 数据源接收事件,Content Collaboration 用户必须共享、上载或下载某些文件。

注意

Citrix Analytics 不会主动从您的环境中提取数据。

如果在 Citrix Analytics 中没有看到数据源的任何用户事件,则用户当时处于不活动状态的可能性很高。

要验证 Citrix Analytics 是否准确接收用户事件,请执行以下活动。本练习使用 Citrix Content Collaboration 数据源。您可以根据订阅使用其他 Citrix 产品(数据源)执行类似活动。

  1. 登录到 Citrix Content Collaboration 服务。

  2. 执行一些常见的用户活动,如创建文件夹、下载文件、上载文件或删除文件。

    用户活动

  3. 例如,创建测试文件夹。

    测试文件夹

  4. 上载一些本地文件。

    上载本地文件

  5. 删除文件夹中的一些文件。

    删除文件

  6. 返回 Citrix Analytics 并在“数据源”页面上查看 Content Collaboration 边卡。Citrix Analytics 接收来自 Content Collaboration 数据源的用户事件,并显示在站点卡片上。

    用户事件

检查 6:虚拟应用程序和桌面事件是否传输到 Analytics?

某些版本的 Citrix Workspace 应用程序或 Citrix Receiver 客户端无法将用户事件发送 Citrix Analytics 当用户通过这些客户端启动虚拟应用程序和桌面时,Citrix Analytics 无法发现用户,直到他们执行支持的事件。

例如,适用于 Linux 的 Citrix Workspace 应用程序 2006 或更高版本不会将 SaaS 应用程序启动SaaS 应用程序结束事件发送到 Citrix Analytics。在 Citrix Analytics 中未发现使用适用于 Linux 的 Citrix Workspace 应用程序启动 SaaS 应用程序的用户。

支持的事件

请参阅下表以查看每个客户端版本支持的用户事件。

  • -该事件由客户端发送给 Citrix Analytics。

  • -客户端不会将事件发送给 Citrix Analytics。

  • 不适用-事件不适用于客户端。

事件 适用于 Windows 的 Workspace 应用程序 1907 或更高版本 适用于 Mac 的 Workspace 应用程序 1910.2 或更高版本 适用于 Linux 的 Workspace 应用程序 2006 或更高版本 适用于 Android 的 Workspace 应用程序 - Google Play 中提供的最新版本 适用于 iOS 的 Workspace 应用程序 - Apple App Store 中提供的最新版本 适用于 Chrome 的 Workspace 应用程序 - Chrome Web Store 中提供的最新版本 适用于 HTML5 的 Workspace 应用程序 2007 或更高版本
帐户登录
会话登录
会话启动
会话结束
应用程序启动
应用程序结束
文件下载
打印
SaaS 应用程序启动
SaaS 应用程序结束
SaaS 应用程序 URL 导航
SaaS 应用程序剪贴板访问
SaaS 应用程序文件下载
SaaS 应用程序文件打印

建议

为了获得 Analytics 的最大好处,Citrix 建议采取以下措施:

  • Windows 用户:使用适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本连接到 Citrix Virtual Apps and Desktops。

  • Mac 用户:使用适用于 Mac 的 Citrix Workspace 应用程序 应用程序 1910.2 或更高版本连接到 Citrix Virtual Apps and Desktops。

检查 7-用户事件是否显示在 Analytics 中的自助搜索页面上?

执行此最终检查以确保事件准确地传输到 Citrix Analytics。

  1. 在顶部栏上,单击搜索以转到自助搜索页面。

    “搜索”选项卡

  2. 选择数据源以查看相应的搜索页面和事件。

    搜索页

  3. 要查看与 Content Collaboration 事件关联的数据,请从列表中选择 Content Collaboration,选择时间段,然后单击搜索

    搜索结果

有关详细信息,请参阅自助搜索

检查 8-分析是否发现了用户?

当事件开始流向 Citrix Analytics 时,会发现生成事件的用户并显示在用户控制板上。此过程通常需要大约几分钟才能在仪表板上查看它们。

  1. 单击用户控制板上的已发现用户链接以查看 Citrix Analytics 发现的用户的完整列表。

    发现的用户

  2. 用户 ” 页面显示过去 13 个月内发现的所有用户的列表。选择时间段以查看风险指示器的发生情况。

    “发现的用户”页

如果事件成功传输,则 Citrix Analytics 环境将按预期执行。当发现异常时,会生成风险指示器。

触发 Virtual Apps and Desktops 事件、SaaS 事件并验证其传输到 Analytics

本节介绍了触发 Virtual Apps and Desktops 事件、SaaS 事件以及验证 Citrix Analytics 是否正在积极接收这些用户事件的过程。

必备条件

  • 将 Citrix Virtual Apps and Desktops 载入 Citrix Analytics,然后启用数据处理。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

  • 在用户的终端设备中使用正确版本的 Citrix Workspace 应用程序或 Citrix Receiver,以便将事件准确地发送到 Citrix Analytics。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

  • 在从虚拟桌面触发打印事件之前,请确保已在 Citrix Virtual Apps and Desktops 环境中配置和置备打印机。有关管理打印机的详细信息,请参阅打印

  • 要触发 SaaS 事件,例如 SaaS 应用程序启动、SaaS 应用程序 URL 导航、SaaS 应用程序文件下载,必须使用 Workspace 中配置的 SaaS 应用程序。常用 SaaS 应用程序包括 Salesforce、Workday、Concur、GoToMeeting。

    • 如果没有配置 SaaS 应用程序,则必须配置和发布 SaaS 应用程序。 有关详细信息,请参阅支持软件即服务应用程序。配置 SaaS 应用程序时,请确保禁用以下安全选项:

      • 限制剪贴板访问

      • 限制打印

      • 限制导航

      • 限制下载

    • 如果要使用 Workspace 中已配置的 SaaS 应用程序来触发事件,请确保为 SaaS 应用程序禁用指定的增强安全选项:

      1. 转到您的 Citrix Cloud 帐户,然后选择

        Citrix Cloud 库

      2. 页面上,确定要用于验证事件的 SaaS 应用程序。例如,Workday。

      3. 单击省略号,然后选择编辑

        编辑 Workday

      4. 编辑应用程序页面上,单击向下箭头以获取增强安全性。

        增强的安全性

      5. 确保未选择以下安全选项。

        禁用增强的安全

已知问题

很少有几个版本的 Citrix Workspace 应用程序和 Citrix Receiver 无法向 Citrix Analytics 发送因此,Citrix Analytics 无法为这些事件提供见解和生成风险指示器。有关此问题及其解决方法的详细信息,请参阅已知问题 - CAS-16151

过程

按顺序执行以下步骤以触发 Citrix Virtual Apps and Desktops 部署中的事件,并验证 Citrix Analytics 是否正在积极接收这些事件。

注意

  • 这些活动可能需要一些时间才能到达 Citrix Analytics。如果看不到触发的事件,请刷新 Citrix Analytics 页面。

  • 为了触发 SaaS 事件,此过程使用 Workday 应用程序作为示例。您可以使用 Workspace 中的任何配置的 SaaS 应用程序来触发 SaaS 事件。

  • 账户登录

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 输入您的凭据以登录到 Citrix Workspace 应用程序或 Citrix Receiver。

      Workspace 应用程序登录

    3. 转到 Citrix Analytics。

    4. 单击搜索,然后从列表中选择应用程序和桌面

      顶部栏

    5. 在搜索页面中,查看帐户登录事件的数据。展开该行以查看事件详细信息。

      账户登录

  • 应用程序启动

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动计算器之类的应用程序。

    3. 转到 Citrix Analytics。

    4. 单击搜索并选择应用程序和桌面

    5. 在搜索页面中,查看 App.Start 事件数据的数据。展开该行以查看事件详细信息。

      应用程序启动

  • 应用程序终止

    1. 关闭已在 Workspace 或 StoreFront 中启动的计算器。

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.End 事件数据的数据。展开该行以查看事件详细信息。

      应用程序终止

  • 会话登录和会话启动

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动虚拟桌面。

    3. 转到 Citrix Analytics。

    4. 单击搜索并选择应用程序和桌面

    5. 在搜索页中,查看 Session.LogonSession.Launch 事件的数据。展开该行以查看事件详细信息。

      会话登录并启动

  • 文件下载

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动虚拟桌面。

    3. 将文件从虚拟桌面复制到本地计算机。

    4. 转到 Citrix Analytics。

    5. 单击搜索并选择应用程序和桌面

    6. 在搜索页面中,查看 File.Download 事件的数据。展开该行以查看事件详细信息。

      文件下载

  • 打印

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问 Workspace。

    2. 启动虚拟桌面。

    3. 使用配置虚拟桌面的打印机打印文档。

    4. 转到 Citrix Analytics。

    5. 单击搜索并选择应用程序和桌面

    6. 在“搜索”页面中,查看打印事件的数据。展开该行以查看事件详细信息。

      打印

  • 会话结束

    1. 从虚拟桌面注销。例如,如果您使用的是 Windows 虚拟桌面,请选择注销选项。

      注销虚拟桌面

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 Session.End 事件的数据。展开该行以查看事件详细信息。

      会话结束

  • SaaS 应用启动和 SaaS 应用程序 URL 导航

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动 SaaS 应用程序(如 Workday),然后等待 Workday 页面加载。在 Workday 中浏览网页。

      注意

      确保“增强安全性”部分中禁用限制导航选项。有关详细信息,请参阅必备条件

    3. 转到 Citrix Analytics。

    4. 单击搜索并选择应用程序和桌面

    5. 搜索页面中,查看 App.SaaS.LaunchApp.SaaS.URL.Navigation 事件的数据。展开该行以查看事件详细信息。

      会话应用启动

  • SaaS 应用程序文件打印

    1. 打印您当前正在查看的“Workday”页面。

      注意

      确保“增强安全性”部分中禁用限制打印选项。有关详细信息,请参阅必备条件

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.SaaS.File.Print 事件的数据。展开该行以查看事件详细信息。

      SaaS 文件打印

  • SaaS 应用程序剪贴板访问

    1. 从“Workday”页面,将一些文本复制到系统剪贴板。

      注意

      确保“增强安全性”部分中禁用限制剪贴板访问选项。有关详细信息,请参阅必备条件

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.SaaS.Clipboard 事件的数据。展开该行以查看事件详细信息。

      SaaS 剪贴板访问

  • SaaS 应用程序文件下载

    1. 在“Workday”页面上,搜索白皮书等公共文档并下载文档。

      注意

      确保“增强安全性”部分中禁用限制下载选项。有关详细信息,请参阅必备条件

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择 应用程序和桌面

    4. 在“搜索”页面中,查看 App.SaaS.File.Download 事件的数据。展开该行以查看事件详细信息。

      SaaS 文件下载

  • SaaS 应用程序结束

    1. 关闭“Workday”页面。

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.SaaS.End 事件的数据。展开该行以查看事件详细信息。

      SaaS 应用程序结束

联系技术支持

Citrix 致力于帮助您成功使用我们的解决方案。要确保将您的支持请求发送到正确的资源,请选择我们 联系技术支持 页面上提到的选项。

Citrix Analytics for Security 故障排除