Citrix Analytics for Security

Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

应用程序和桌面数据源代表组织中的本地 Citrix Virtual Apps and Desktops 以及 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。

Citrix Analytics for Security 支持这两种产品,并从数据源接收用户事件。本文将向您介绍在这两种产品上启用 Analytics 的必备条件和步骤。

Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 数据源的以下组件接收用户事件:

  • 用户设备上安装的 Citrix Workspace 应用程序

  • 适用于本地部署的 Citrix Director

  • Citrix 监视器服务

  • Session Recording Server

当用户使用虚拟应用程序或虚拟桌面时,将在 Citrix Analytics for Security 中实时接收用户事件。

支持的客户版本

当在用户终端节点上使用受支持的客户端版本时,Citrix Analytics 会收到用户事件。如果用户使用的是任何不受支持的客户端版本,则必须将其客户端升级到以下版本之一:

  • 适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本

  • 适用于 Mac 的 Citrix Workspace 应用程序 1910.2 或更高版本

  • 适用于 HTML5 的 Citrix Workspace 2007 或更高版本

  • 适用于 Chrome 的 Citrix Workspace 应用程序 -Chrome 网上应用店中提供的最新版本

  • 适用于 Android 的 Citrix Workspace 应用程序 Google Play 中提供了最新版本

  • 适用于 iOS 的 Citrix Workspace 应用程序 - Apple App Store 中提供的最新版本

  • 适用于 Linux 的 Citrix Workspace 2006 或更高版本

在 Citrix DaaS 上启用分析

必备条件

  • 订阅 Citrix Cloud 上提供的 Citrix DaaS。要了解如何开始使用 Citrix DaaS,请参阅安装和配置

  • 查看 系统要求 部分并确保满足要求。

查看数据源并打开数据处理

Citrix Analytics 会自动发现与您的 Citrix Cloud 帐户关联的 Citrix DaaS。

要查看数据源,请执行以下操作

在顶栏中,单击 设置 > 数据源 > 安全性

应用程序和桌面 - Workspace 应用程序站点卡显示在“数据源”页面上。单 击打开数据处理 以允许 Citrix Analytics 开始处理此数据源的数据。

链接的数据源

查看云站点、用户和接收的事件

站点卡显示应用程序和桌面用户的数量、发现的云站点以及过去一小时(默认时间选择)内收到的事件。还可以选择 1 周 (1 W) 并查看数据。

单击接收的事件数可在 自助搜索 页面上查看事件。

链接的数据源

启用数据处理后,站点卡片可能会显示“未收到数据”状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Analytics 在过去一小时内未收到来自数据源的任何事件。

    没有数据虚拟应用

在本地的 Citrix Virtual Apps and Desktops 上启用分析

Citrix Analytics 从添加到 Workspace 的本地站点和通过 StoreFront 部署访问的站点接收用户事件。

如果您的组织正在使用本地站点,则必须使用以下方法之一来加载站点,以便 Analytics 发现站点:

必备条件

  • 您必须拥有许可证才能使用 Citrix Virtual Apps and Desktops 本地解决方案。要了解如何在本地开始使用 Citrix Virtual Apps and Desktops,请参阅安装和配置

  • 查看 系统要求 部分并确保满足要求。

  • 您的 Director 使用的是 1912 CU2 或更高版本。有关详细信息,请参阅功能兼容性列表

  • 订阅 Citrix Workspace。如果要将站点添加到 Citrix Workspace,则必须需要 Workspace 订阅。

    要购买 Citrix Workspace 订阅,请访问 https://www.citrix.com/products/citrix-workspace/get-started.html 并联系可以为您提供帮助的 Citrix Workspace 专家。

  • 已添加到 Workspace 的站点。Citrix Analytics 会自动发现添加到Citrix Workspace 站点。在继续在 Citrix Analytics 上进行登录之前,将站点添加到 Citrix Workspace 此过程称为 站点聚合

    站点聚合要求您安装 Cloud Connector,配置 NetScaler Gateway STA 服务器以实现与 Workspace 资源的内部和外部连接,然后将站点添加到 Workspace 中。有关站点聚合的详细说明,请参阅聚合工作区中的本地虚拟应用程序和桌面

  • StoreFront 版本。如果您正在为站点使用 StoreFront 部署,请确保 StoreFront 版本为 1906 或更高版本。

使用 StoreFront 载入 Citrix Virtual Apps and Desktops 本地站点

有关必备条件和入门步骤的信息,请参阅 Citrix Analytics 平台文档中的 Citrix Virtual Apps and Desktops 数据源 文章。

使用 Workspace 上载 Citrix Virtual Apps and Desktops 本地站点

已添加到 Citrix Workspace 的站点

Citrix Analytics 会自动发现已添加到 Citrix Workspace 的本地站点,并将其显示在数据源站点卡片上。

要查看数据源,请执行以下操作:

在顶栏中,单击 设置 > 数据源 > 安全性

应用程序和桌面”站点卡显示添加到 Workspace 的站点数量以及连接到这些站点的用户。单击站点计数以查看发现的站点。单击用户计数可在“用户”页面上查看发现的 用户

链接的数据源

未添加到 Citrix Workspace 的站点

如果您尚未将本地站点添加到 Workspace,Analytics 将无法发现您的站点。站点卡片显示 0 个已发现的站点。

要将站点添加到 Workspace,请执行以下操作:

  1. 单击站点卡片上的 +。

    数据源

  2. 在“Workspace 配置”页面上,单击 +添加站点

    Workspace

  3. 按照屏幕上的说明添加站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  4. 添加站点后,重新登录到 Citrix Analytics 并刷新“数据源”页面以在站点卡片上查看最近添加的站点。

打开数据处理并查看接收的事件

要允许 Analytics 开始处理已发现站点的数据,请单击站点卡片上的“打开数据处理”,然后按照屏幕上的提示进行操作。

如果您有多个站点添加到同一个 Workspace,Analytics 将处理并存储工作区中所有站点的数据。在所有网站上成功启用 Analytics 后,您会收到一条成功消息。

成功启用分析

站点卡片显示最近一小时内收到的事件,这是默认的时间选择。还可以选择 1 周 (1 W) 并查看数据。单击接收的事件数可在相应的 自助搜索 页面上查看事件。

启用数据处理后,站点卡片可能会显示“未收到数据”状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Analytics 在过去一小时内未收到来自数据源的任何事件。

    没有数据虚拟应用

添加站点

如果要向 Workspace 添加另一个本地站点,可以通过 Analytics 进行添加:

  1. 在“Workspace 配置”页面上,单击 +添加站点

    Workspace

  2. 按照屏幕上的说明添加站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  3. 添加站点后,请转到 Citrix Analytics 并刷新“数据源”页面以查看站点卡上最近添加的站点。

连接到适用于本地站点的 Citrix Director

Citrix Director 是适用于 Citrix Virtual Apps and Desktops 的监视和故障排除控制台。您可以使用 Director 为 Citrix Analytics for Security (Security Analytics). 配置本地站点。配置站点后,Director 会将监视事件发送到 Security Analytics。

如果您使用的是 Citrix DaaS,Citrix Monitor 服务会将事件从您的云站点发送到 Security Analytics。

在同时进行云和本地部署的混合环境中,Security Analytics 会接收来自 Citrix Monitor 服务和 Citrix Director 上载站点的事件。

先决条件和配置步骤

备注

  • 目前,Director 用户界面显示与 Citrix Analytics for Performance (Performance Analytics) 相关的配置步骤。这些配置步骤也适用于 Citrix Analytics for Security (Security Analytics)。如果您拥有 Security Analytics 的有效 Citrix Cloud 授权,则可以按照以下步骤连接到 Citrix Director。

  • 如果您的 Citrix Cloud 帐户具有 Security Analytics 和 Performance Analytics 的有效授权,并且您已经为站点配置了 Performance Analytics,则无需再次为 Security Analytics 配置 Director。

有关必备条件和配置步骤的信息,请参阅 Citrix Analytics for Performance 文档

查看已连接的站点和接收的事件

  1. 在 Citrix Analytics 中,转到“数 据源”页面。

  2. 单击安全选项卡。

  3. 在“应用程序和桌面-监视”站点卡上,您可以查看本地站点或云站点(以适用者为准)。您还可以查看从站点接收的事件。

    连接的监视站点

    备注

    • 首次在 Director 上配置本地站点时,来自该站点的事件可能需要一些时间(大约一个小时)才能得到处理,从而导致连接的站点在 应用程序和桌面监视 站点卡上的显示延迟。

    • 在监视站点卡片上,默认情况下启用监视器服务或 Director 数据源的数据处理。您还可以根据需要关闭数据处理。但是,建议继续进行数据处理,以便从 Security Analytics 中获得最大收益。

  4. 点击该网站查看详细信息。

    监视站点详情

连接到 Session Recording 部署

Session Recording 允许您在 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 中录制任何用户会话的屏幕活动。您可以将 Session Recording Server 配置为将用户事件发送给 Citrix Analytics for Security。处理用户事件以提供有关用户危险行为的切实可行的见解。

必备条件

在开始之前,请确保执行以下操作:

  • 您的 Session Recording Server 和 VDA 代理必须为 2103 或更高版本。

  • Session Recording Server 必须能够连接到所需的地址。有关 URL 的详细信息,请参阅网络要求

  • Session Recording 部署必须为出站 Internet 连接打开端口 443。网络上的任何代理服务器都必须允许与 Citrix Analytics for Security 进行此通信。

  • 如果您使用的是 Citrix Virtual Apps and Desktops 7 1912 LTSR,支持的 Session Recording 版本为 2103 或更高版本。

注意:

使用 Session Recording 服务时,请务必验证其他连接要求

配置 Session Recording Server

  1. 应用程序和桌面 - Session Recording 站点卡上,单击连接 Session Recording Server

    Session Recording 连接

  2. Connect Session Recording Server(连接 Session Recording Server)页面上,查看核对清单,然后选择所有必须满足的要求。如果未选择必须满足的要求,则会禁用 Download File(下载文件)选项。

    Session Recording 清单

  3. 如果您的网络中有代理服务器,请在 Session Recording Server 的 SsRecStorageManager.exe.config 文件中输入代理地址。

    配置文件位于 <Session Recording Server installation path>\bin\SsRecStorageManager.exe.config

    例如: C:\Program Files\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe.config

    配置文件路径

  4. 单击下载文件以下载 SessionRecordingConfigurationFile.json 文件。

    注意

    该文件包含敏感信息。请将该文件保存在安全的位置。

  5. 请将该文件复制到要连接到 Citrix Analytics for Security 的 Session Recording Server 。

  6. 如果您的部署中有多个 Session Recording Server ,则必须在要连接的每台服务器中复制该文件,然后按照步骤配置每台服务器。

  7. 在 Session Recording Server 上,运行以下命令以导入设置:

    <Session Recording Server installation path>\bin\SsRecUtils.exe -Import_SRCasConfigurations <configuration file path>
    

    例如:

    C:\Program Files\Citrix\SessionRecording\Server\bin\ SsRecUtils.exe -Import_SRCasConfigurations C:\Users\administrator \Downloads\SessionRecordingConfigurationFile.json

  8. 重新启动以下服务:

    • Citrix Session Recording Analytics Service

    • Citrix Session Recording Storage Manager

  9. 配置成功后,转到 Citrix Analytics for Security 查看连接的 Session Recording Server 。单击打开数据处理以允许 Citrix Analytics for Security 处理数据。

    注意

    如果使用的是 Session Recording Server 版本 2103 或 2104,则必须首先启动应用程序和桌面会话,才能在 Citrix Analytics for Security 上查看连接的 Session Recording Server。否则,连接的 Session Recording Server 将无法显示。此要求不适用于 Session Recording Server 版本 2106 及更高版本。

查看已连接的部署

仅当配置成功时,服务器部署才会显示在 Session Recording 站点卡片上。站点卡片显示已与 Citrix Analytics for Security 建立连接的已配置服务器的数量。

如果即使在配置成功之后仍看不到 Session Recording Server,请参阅故障排除一文

Session Recordin 部署

在站点卡片上,单击部署数量以查看与 Citrix Analytics for Security 连接的服务器组。例如,单击 1 Session Recording Deployment(1 Session Recording 部署)可查看连接的一个或多个服务器组。每个 Session Recording Server 都由一个基本 URL 和一个 ServerGroupID 表示。

SR 部署详细信息

查看收到的事件

站点卡片显示连接的 Session Recording 部署以及过去一小时(默认时间选择)从这些部署接收的事件。还可以选择 1 周并查看数据。单击接收的事件数量可在自助搜索页面上查看事件。

启用数据处理后,站点卡片可能会显示 No data received(未收到数据)状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未发生变化,请刷新“Data Sources”(数据源)页面。

  2. Citrix Analytics 在过去一小时内未收到来自数据源的任何事件。

添加 Session Recording Server

要添加 Session Recording Server ,请执行以下操作之一:

  • Connected Session Recording Deployments(已连接的 Session Recording 部署)页面上,单击 Connect to Session recording server(连接到 Session Recording Server)。

    连接部署

  • 应用程序和桌面 - Session Recording 站点卡上,单击垂直省略号 (⋮),然后选择连接 Session Recording Server

    Session Recording 连接

按照步骤下载配置文件并配置 Session Recording Server 。

删除 Session Recording Server

要删除 Session Recording Server ,请执行以下操作:

  1. 在 Citrix Analytics for Security 上,转到 Connected Session Recording Deployments(已连接的 Session Recording 部署)页面,然后选择要删除的服务器部署。

  2. 单击垂直省略号 (⋮),然后选择 Remove Session Recording server from Analytics(从 Analytics 中选择删除 Session Recording Server )。

    删除 Session Recording Server

  3. 在已从 Citrix Analytics 中删除的 Session Recording Server 上,运行以下命令:

    <Session Recording Server installation path>\bin\SsRecUtils.exe -Remove_SRCasConfigurations
    

    例如:

    C:\Program Files\Citrix\SessionRecording\Server\bin\ SsRecUtils.exe -Remove_SRCasConfigurations

为 Citrix DaaS 启用打印遥测

当用户在 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中执行打印作业时,您可以在 Citrix Analytics for Security 中查看与这些打印作业相关的日志。这些打印日志提供有关打印活动的重要信息,例如打印机名称、打印文件名和打印份数总数。

注意

只有 Citrix DaaS 支持此功能。

在 Citrix Analytics for Security 中,在“搜索”页面上,您可以选择 应用程序和桌面 数据源来查看打印日志。作为安全管理员,您可以使用这些日志对用户进行风险分析和调查。

默认情况下,打印遥测功能(即收集和传输这些打印日志)在 Virtual Delivery Agent (VDA) 上处于禁用状态。

要启用打印遥测和将打印日志传输到 Citrix Analytics for Security,您需要创建注册表项并配置 VDA。

重要

信息此配置仅适用于 Windows VDA。

必备条件

  • 您的 VDA 版本必须与 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的基准版本相同。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件

  • 您必须具有完全访问权限才能执行注册表项更新。

在电源管理的计算机中启用打印遥测

电源管理的计算机包括虚拟机或刀片 PC,其情景如下:

  • 现有主映像
  • 新的主映像

为 VDA 版本低于 Citrix Virtual Apps and Desktops 7 2203 LTSR 的现有主映像启用打印遥测

  1. 登录主 VDA 计算机并创建当前状态的快照。

  2. 通过添加以下注册表项启用打印服务日志:

    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关注册表项的更多信息,请参阅 创建注册表项

  3. 将 VDA 升级到 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的基准版本。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件

  4. 关闭计算机电源并拍摄最新状态的快照。

  5. 登录 Citrix Cloud。选择计算机目录,单击 更新计算机,然后按照屏幕上的说明进行操作。有关详细信息,请参阅创建计算机目录

  6. 等待 24 小时。配置会在 24 小时内自动推送。如果配置已经完成,则无需等待。

  7. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

对现有主映像启用打印遥测功能,其中 VDA 版本与 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本相同

选项 1:在主 VDA 中添加打印注册表项并更新虚拟桌面。

  1. 登录主 VDA 计算机并创建当前状态的快照。
  2. 通过添加以下注册表项启用打印服务日志:
    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关注册表项的更多信息,请参阅 创建注册表项

  3. 关闭 VDA 计算机的电源并拍摄最新状态的快照。
  4. 登录 Citrix Cloud,选择计算机目录,单击“更新计算机”,然后按照屏幕上的说明进行操作。
  5. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

选项 2:将虚拟桌面移动到组织单位 (OU) 并使用 GPO 创建注册表项

注意

选项 2 方法仅适用于静态计算机。对于随机计算机,必须遵循选项 1 的方法(如上所述)。

  1. 登录到域控制器计算机。
  2. 通过添加以下注册表项启用打印服务日志:

    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关注册表项的更多信息,请参阅 创建注册表项

注意

在任何域控制器中,创建注册表项都是一次性任务。

  1. 从 Citrix Cloud 重新启动 VDA 计算机。
  2. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

在新主映像中启用打印遥测

  1. 使用虚拟机管理程序的管理工具创建虚拟机 (VM)。此 VM 被视为主 VDA。
  2. 确保已将主 VDA 添加到所需的域中。
  3. 登录主 VDA 并通过添加以下注册表项启用打印服务日志:
    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关更多信息,请参阅 创建注册表项

  4. 安装适用于 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的 VDA 版本。安装 VDA 时,选择主映像选项。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件
  5. 确保已将托管连接添加到 Citrix Cloud。有关详细信息,请参阅创建计算机目录
  6. 使用主映像创建计算机目录。有关详细信息,请参阅创建计算机目录
  7. 创建交付组并添加计算机目录。有关详细信息,请参阅创建交付组
  8. 等待 24 小时。组策略引擎会在 24 小时内自动推送配置。
  9. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

在未进行电源管理的计算机中启用打印遥测

非电源管理的计算机包括具有以下情形的物理计算机:

  • 现有物理 VDA
  • 新的物理 VDA

为 VDA 版本低于 Citrix Virtual Apps and Desktops 7 2203 LTSR 的现有物理 VDA 启用打印遥测

  1. 通过添加以下注册表项启用打印服务日志:

    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关更多信息,请参阅 创建注册表项

  2. 将 VDA 升级到 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的基准版本。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件

  3. 等待 24 小时。配置会在 24 小时内自动推送。如果配置已经完成,则无需等待。

  4. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

为新的物理 VDA 启用打印遥测

  1. 创建物理 VM 并将域更改为所需的域名。
  2. 登录到 VM 并通过添加以下注册表项启用打印服务日志:
    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关更多信息,请参阅 创建注册表项

  3. 安装适用于 Citrix Virtual Apps and Desktops 7 2203 LTSR 版本或更高版本的 VDA 版本。安装 VDA 时,选择“Remote PC Access”选项。
  4. 创建计算机目录。有关详细信息,请参阅创建计算机目录

    注意

    必须将计算机管理选为 非电源管理的计算机(例如,物理机)

  5. 创建交付组并添加计算机目录。有关详细信息,请参阅创建交付组

  6. 等待 24 小时。 组策略引擎会在 24 小时内自动推送配置。

  7. 使用 Citrix Workspace 应用程序启动桌面会话。所有使用客户端打印机触发的打印事件都在 Citrix Analytics for Security 的“搜索”页面中可见。

创建注册表项

在 VDA 中,执行以下选项之一:

  • 手动创建注册表项。此方法适用于主 VDA,且部署中的物理 VDA 数量较少。

  • 使用组策略对象 (GPO) 创建注册表项。当您的部署具有更多物理 VDA 计算机并且必须在所有计算机中启用打印遥测功能时,请使用此方法。

注册表项详情

SL 注册表项名称 密钥的用途 注册表详情
1 Microsoft-Windows-PrintService/Operational 在事件查看器中启用打印服务日志。 注册表路径:HKLM:\SYSTEM\CurrentControlSet\Services\EventLog
2 ShowJobTitleInEventLogs 控制打印事件日志中是否包含打印作业名称,如果不包含,则考虑使用通用作业名称“打印文档”。 注册表配置单元:HKEY_LOCAL_MACHINE
      注册表路径:Software\Policies\Microsoft\Windows NT\Printers
      值名称:ShowJobTitleInEventLogs
      值类型:REG_DWORD
      :1

在 VDA 计算机中手动创建注册表项

使用此方法在 VDA 主映像中创建注册表项。将密钥添加到主映像有助于保持使用主映像创建的所有类型的 VDA 的密钥持久性。

  1. 登录 VDA 主计算机。
  2. 打开运行并键入注册表编辑器以打开 Windows 注册表。
  3. 前往位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  4. 右键单击 EventLog,然后选择 新建 > 密钥

    新密钥

  5. 创建名为 Microsoft-Windows-PrintService/Operational 的键此键启用打印服务日志。

    注册表项名称

  6. 前往位置 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers

    注意

    如果“打印机”文件夹不可用,请在 Windows NT 文件夹中创建名为“打印机”的密钥。

    Printer

  7. 右键单击打印机文件夹,然后选择新建 > DWORD (32 位)值

    新的键值

  8. 创建一个名为 ShowJobTitleInEventLogs 的值。

    打印机值名称

  9. 右键单击 ShowJobTitleInEventLogs,然后选择修改。将值数据输入为 1,然后单击“确定”

    修改数据值

使用 GPO 在多个 VDA 中创建注册表项

此方法仅适用于持久性 VDA,并且需要在创建注册表项后重新启动 VDA。持久 VDA 是指在重新启动后保持其状态的计算机。用户的数据在重启后不会丢失。

使用注册表项创建注册表 GPO

  1. 打开“组策略管理”,然后右键单击组策略对象

    组策略对象

  2. 在“新建 GPO”窗口中,在以下字段中输入值:

    • 名称:启用打印跟踪
    • 源启动器 GPO:(无)

    新 gpo

  3. 选择确定
  4. 右键单击已创建的启用打印跟踪对象,然后选择编辑

    启用 打印跟踪

  5. 计算机配置列表中,选择首选项 > Windows 设置

    Windows 设置

  6. 右键单击 注册表,选择 新建 > 注册表项。输入以下属性以启用打印日志:

    • 操作:更新
    • 注册表配置单元:HKEY_LOCAL_MACHINE
    • 关键路径:SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-PrintService/Operational

    新的注册表项

  7. 选择应用,然后选择确定

  8. 再次右键单击注册表,选择新建 > 注册表项。输入以下属性以启用打印作业名称:

    • 操作:更新
    • 注册表配置单元:HKEY_LOCAL_MACHINE
    • 密钥路径:SOFTWARE\Policies\Microsoft\Windows NT\Printers
    • 值名称:ShowJobTitleInEventLogs
    • 值类型:REG_DWORD
    • 值数据:1
    • 基数:十进制

    注册表属性

为组织单位启用打印跟踪

  1. 打开 组策略管理 并选择域(例如- xd.local)或组织单元(如果是 VDA 的一部分)(例如 VDA-OU)。

  2. 右键单击域 (xd.local) 或 OU (VDA-OU),然后选择 链接现有 GPO

    链接现有 GPO

  3. 选择 GPO 对话框中,选择“启用打印跟踪”并选择确定

    启用打印跟踪 GPO

  4. 验证启用打印跟踪 GPO 是否已链接到 OU。

    启用打印跟踪 GPO 链接

注意

  • 重新启动 VDA 时,队列中的所有事件都将丢失,并且在 Citrix Analytics 中将不可用。
  • 此重新启动对单个会话 VDA 的影响较小,因为在给定时间只能有一个会话处于活动状态,因此事件数量会减少。
  • 此重新启动对多会话 VDA 的影响很大,因为所有活动会话将在重新启动期间终止,队列中的事件将丢失。

为 Citrix DaaS 启用剪贴板遥测

Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)允许用户执行剪贴板操作,相关日志可以在 Citrix Analytics for Security 中查看。这些剪贴板日志提供有价值的信息,例如 VDA 名称、剪贴板大小、剪贴板格式类型、客户端 IP、剪贴板操作、剪贴板操作方向以及是否允许剪贴板操作。

作为安全管理员,您可以通过在 Citrix Analytics for Security 的“搜索”页面上选择应用程序和桌面数据源,使用这些日志进行风险分析和调查。

注意

  • 默认情况下,在 Virtual Delivery Agent (VDA) 上启用这些剪贴板日志的收集和传输。
  • 此配置仅适用于 Windows VDA。

必备条件

  • 您的 VDA 版本必须与 Citrix Virtual Apps and Desktops 7 2305 或更高版本的基准版本相同。有关更多信息,请参阅 Citrix Virtual Apps and Desktops 7 2305
  • 确保 Web Studio 策略页面上的客户端剪贴板重定向设置未配置为禁止状态。有关更多信息,请参阅 客户端剪贴板重定向

您可以使用 安全监视策略的剪贴板放置元数据集合 来启用或禁用剪贴板遥测。默认情况下,此策略处于启用状态。要禁用,必须转到“策略”页面 > 在“VDA 数据收集”下选择“安全”> 查看策略 > 单击“禁用”。

禁用剪贴板策略

有关更多信息,请参见 剪贴板放置元数据集合以进行安全监视

打开或关闭数据源上的数据处理

您可以随时停止特定数据源(Director 和 Workspace 应用程序)的数据处理。在数据源站点卡片上,单击垂直省略号 (⋮) > 关闭数据处理。Citrix Analytics 将停止处理该数据源的数据。也可以从“应用程序和桌面”站点卡停止数据处理。此选项适用于数据源 Director 和 Workspace 应用程序。

要再次启用数据处理,请单击“打开数据处理”。