Gateway 自助搜索
使用自助搜索功能,深入了解从 Citrix Gateway 数据源接收到的用户事件。当用户通过 Citrix Gateway 访问其网络资源(例如文件服务器、应用程序、网站)时,会为每个用户连接生成事件。用户事件的一些示例包括身份验证阶段、授权类型和 VPN 会话代码。Citrix Analytics for Security™ 接收这些事件并将其显示在自助搜索页面上。您可以查看用户及其访问详细信息。
有关搜索功能的更多信息,请参阅 自助搜索。
选择 Gateway 数据源
要查看 Gateway 事件,请从列表中选择 Gateway。默认情况下,自助服务页面显示过去一天的事件。您还可以选择要查看事件的时间段。
注意
此外,您还可以从 Security > Users > Access Summary 控制板访问 Gateway 自助搜索页面。在成功登录场景中,您可以通过状态代码访问数据。有关更多信息,请参阅 Access Summary 控制板。
使用分面筛选事件
分面根据从数据源接收到的事件进行分类。使用以下分面筛选事件:
-
身份验证阶段 - 根据客户端身份验证的不同阶段(例如主要、次要和三级)搜索事件。
-
身份验证类型 - 根据客户端身份验证类型(例如本地、RADIUS、LDAP、TACACS、客户端证书身份验证,包括智能卡身份验证)搜索事件。
-
设备代理 - 根据客户端设备(例如 iPhone、iPad、Windows Mobile)搜索事件。
-
记录类型 - 根据 VPN 记录类型搜索事件。以下 VPN 记录类型可用:
记录类型 描述 VPN_AI 筛选与身份验证相关的用户事件。 VPN_IF 筛选与 ICA® 文件相关的用户事件。 VPN_ST 筛选与会话注销相关的用户事件。 -
浏览器 - 根据浏览器(例如 Internet Explorer、Chrome、Firefox、Safari)搜索事件。
-
操作系统 - 根据客户端操作系统(例如 Windows、Mac、Linux、Android、iOS)搜索事件。
-
状态代码 - 根据 VPN 状态代码(例如 SSL 重定向响应失败、授权失败、单点登录失败)搜索事件。
-
会话状态 - 根据 VPN 会话状态(例如客户端状态、授权状态、SSO 状态、应用程序带宽更新)搜索事件。
-
会话模式 - 根据 VPN 会话模式(例如完全隧道、ICA 代理、无客户端)搜索事件。
-
SSO 身份验证方法 - 根据单点登录身份验证的不同方法(例如基本、摘要、NTLM、Kerberos、AG 基本、基于表单的 SSO)搜索事件。
-
注销模式 - 根据 VPN 注销模式(例如内部错误注销、会话超时注销、用户发起注销、管理员终止会话)搜索事件。
指定搜索查询以筛选事件
将光标置于搜索框中,以查看 Gateway 事件的维度列表。使用维度和 运算符 指定查询并搜索所需事件。
例如,您想要查看用户“ns133”的事件,其中 VPN 状态代码为“successful login”。
-
在搜索框中输入“user”以选择相关维度。
-
选择 User-Name 并使用等号运算符输入值“ns133”。
-
选择 AND 运算符,然后选择 Status Code 维度。使用等号运算符为 Status Code 输入字符串“Successful login”。
要识别 Status Code 的可能字符串值,请展开 Status Code 筛选器列表,并将筛选器名称用作搜索查询中的字符串。
-
选择时间段并单击 Search 以在 DATA 表中查看事件。
搜索查询支持的值
为维度输入以下值以定义搜索查询。
Access-Insight-Flags
指示 VPN 会话状态。输入以下标志值之一:
| VPN 会话状态 | 标志值 |
|---|---|
| 预身份验证 | 2 |
| nFactor(多重身份验证)的最后或最终状态 | 1 |
| 后身份验证 | 4 |
注意
此标志仅适用于身份验证事件的上述 VPN 会话状态。对于所有其他事件,标志值为零。
Applications-Byte-Consumption
对于 Applications-Byte-Consumption 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:40、100
|
数字 | 您正在使用的应用程序消耗的数据(以字节为单位)。 |
Authentication-Servers-IP
对于 Authentication-Servers-IP 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:10.xxx.xx.xx
|
字符串 | 身份验证服务器的 IP 地址。 |
Authentication-Stage
对于 Authentication-Stage 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
Primary、Secondary 或 Tertiary
|
字符串 | 客户端身份验证的不同阶段。 |
Authentication-Type
对于 Authentication-Type 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
LDAP、SAML、Local、Radius、TACACS、SAMLIDP 或 OTP。 |
字符串 | 通过其中一种可用方法对用户进行身份验证。 |
Backend-Server-Name
对于 Backend-Server-Name 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | 后端服务器的 IP 地址。 |
Browser
对于 Browser 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
PN Agent、Edge、Firefox、Chrome 或 Safari。 |
字符串 | 使用的浏览器。 |
City
对于 City 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:Boston、Beijing
|
字符串 | 用户登录的城市。 |
注意
如果值包含空格,请将其用双引号引起来。示例:Country = “Unites States”。
Client-IP
对于 Client-IP 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | 用户设备的 IP 地址。 |
Client-IP-Type
对于 Client-IP-Type 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
| public、private | 字符串 | 指示用户 IP 地址是公共的还是私有的。 |
注意
这些值区分大小写。请输入小写值。
Client-Port
对于 Client-Port 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:45334
|
数字 | 用户设备的端口号。 |
Country
对于 Country 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:United States、India
|
字符串 | 用户登录的国家/地区。 |
注意
如果值包含空格,请将其用双引号引起来。示例:Country = “Unites States”。
Event-Type
对于 Event-Type 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
| Authentication、ICA file、Session logout | 字符串 | 用户事件的类型。 |
Gateway-FQDN
对于 Gateway-FQDN 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:Gateway-test
|
字符串 | Citrix Gateway 的域名。 |
Gateway-IP
对于 Gateway-IP 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | Citrix Gateway 的 IP 地址。 |
Gateway-Port
对于 Gateway-Port 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:443
|
字符串 | Citrix Gateway 的端口号。 |
Logout-Mode
对于 Logout-Mode 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
"Internal error"、"Inactive time out"、"User initiated logout" 或 "Administrator killed session"。 |
字符串 | VPN 会话超时或终止的原因。 |
注意
如果值包含空格,请将其用双引号引起来。示例:Logout-Mode =
"Internal error"。
NetScaler-IP
对于 NetScaler-IP 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:10.xxx.xx.xx
|
字符串 | Citrix ADC 设备 的 IP 地址。 |
OS
对于 OS 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:MAC_OS、WINDOWS
|
字符串 | 用户设备的操作系统。 |
记录类型
对于 记录类型 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
VPN_AI |
字符串 | 指示与身份验证相关的用户事件。 |
VPN_IF |
字符串 | 指示与 ICA 文件相关的用户事件。 |
VPN_ST |
字符串 | 指示与会话注销相关的用户事件。 |
SSO-Authentication-Method
对于 SSO-Authentication-Method 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
NSAUTH_BEARER、NSAUTH_FORM、NSAUTH_CITRIXAGBASIC、NSAUTH_NEGOTIATE、NSAUTH_NTLM 或 NSAUTH_BASIC。 |
字符串 | 单点登录身份验证的不同方法。 |
Server-IP
对于 Server-IP 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:10.xx.xxx.xx
|
字符串 | 后端服务器的 IP 地址。 |
Server-Port
对于 Server-Port 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
示例:47054
|
数字 | 后端服务器的端口号。 |
Session-State
对于 Session-State 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
"Set Client State"、"Authorization State"、"SSO State" 和 "Application Bandwidth Update"
|
字符串 | VPN 会话状态。 |
注意
如果值包含空格,请将其用双引号引起来。示例:Session-State =
"Set Client State"。
Status-Code
对于 Status-Code 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
"Successful login"、"Invalid credentials passed"、"Post auth failed and connection quarantined"、"Login not permitted"、"Maximum login failures reached"
|
字符串 | VPN 状态代码。 |
注意
如果值包含空格,请将其用双引号引起来。示例:Session-Code =
"Successful login"。
User-Agent
对于 User-Agent 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
IPHONE、IPAD 或 WINPHONE
|
字符串 | 用于访问 VPN 的代理或设备。 |
VPN-Session-ID
对于 VPN-Session-ID 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
字符串 | 服务器为用户 VPN 会话分配的会话 ID。 |
VPN-Session-Mode
对于 VPN-Session-Mode 维度,请输入以下值:
| 值 | 类型 | 描述 |
|---|---|---|
"Full Tunnel"、"ICA Proxy" 或 Clientless
|
字符串 | 用户 VPN 会话的不同模式。 |
注意
如果值包含空格,请将其用双引号引起来。示例:Session-Code =
"Full Tunnel"。