适用于 Apps and Desktops 的自助搜索
使用自助搜索深入了解从 Citrix Virtual Apps and Desktops 数据源和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)数据源接收的用户事件。当用户使用虚拟应用或虚拟桌面时,会生成与其活动和操作相对应的事件。用户事件的示例包括文件下载、帐户登录和应用启动。Citrix Analytics for Security 会接收这些用户事件,并将其显示在自助服务页面上。可以跟踪用户及其活动。
有关搜索功能的更多信息,请参阅 自助搜索。
选择 Apps and Desktops 数据源
要查看来自 Citrix Virtual Apps and Desktops 或 Citrix DaaS 的事件,请从列表中选择 Apps and Desktops。默认情况下,自助服务页面会显示过去一天的事件。还可以选择要查看事件的时间段。
默认情况下,自助服务页面会显示过去一个月的事件。该页面还提供了多个方面和一个搜索框,用于筛选和关注所需的事件。
选择方面以筛选事件
使用与 Apps and Desktops 事件关联的以下方面。
-
事件类型 - 根据事件类型(例如帐户登录、应用结束和会话结束)搜索事件。
-
域 - 根据域(例如 citrate.net)搜索事件。
-
操作系统 - 根据用户设备中使用的操作系统(例如 Chrome、iOS 和 Windows)搜索事件。选择操作系统名称和版本以筛选事件。有关操作系统版本的更多信息,请参阅 搜索查询支持的值。
指定搜索查询以筛选事件
将光标置于搜索框中,以查看 Apps and Desktops 事件的维度列表。使用维度和 运算符 来指定查询并搜索所需的事件。
例如,要搜索使用 Windows 操作系统的用户“John Doe”的事件。
-
在搜索框中输入“U”以获取相关建议。
-
单击 User-Name,然后使用等号运算符输入值“John”。
-
选择 AND 运算符和 OS-Name 维度。使用等号运算符分配值“Windows 7”。
-
选择时间段,然后单击 Search 以查看基于 DATA 表的事件。
事件类型和支持的字段
除 VDA.Print 之外,以下字段适用于所有事件类型:
-
城市
-
客户端 IP
-
国家/地区
-
设备 ID
-
操作系统名称
-
操作系统版本
-
操作系统额外信息
-
时间
-
用户名
-
Workspace 应用程序版本
-
Workspace 应用程序状态
下表介绍了 Apps and Desktops 数据源可用的事件类型以及每个事件类型特有的字段。
| 值 | 描述 | 字段 |
|---|---|---|
Account.Logon |
通过 Citrix Workspace 应用程序登录到 Store 时触发。注意:Account.Logon 不适用于 HTML5 客户端。 | 检查如上所述的常见字段。 |
Session.Logon |
登录到虚拟会话时触发。 | 应用保护策略、域、会话启动类型、会话服务器名称、会话用户名 |
Session.End |
终止虚拟会话时触发。 | 域、会话启动类型、会话服务器名称、会话用户名 |
App.Start |
启动虚拟应用会话时触发。注意:当应用程序在桌面会话中启动时,此事件类型不适用。 | 应用名称、域、会话启动类型、会话服务器名称、会话用户名 |
App.End |
终止虚拟应用会话时触发。注意:当应用程序在桌面会话中启动时,此事件类型不适用。 | 应用名称、域、会话启动类型、会话服务器名称、会话用户名 |
File.Download |
当用户将文件从远程虚拟会话复制到客户端设备时触发。对于在虚拟会话中发生的文件传输,不会触发此事件。注意:仅当服务器允许文件重定向(有关更多详细信息,请查看 文件重定向设置)且客户端 Workspace 文件访问首选项设置为读取和写入时,才会发送此事件类型。 | 域、下载设备类型、下载文件名、下载文件路径、下载文件大小、会话服务器名称、会话用户名 |
Printing |
通过客户端打印机使用 Citrix Workspace 应用程序启动的会话打印文件时触发。注意:Citrix Workspace 应用程序存在两个影响打印事件的技术限制。首先,由于所有平台变体中都存在已知问题,打印事件中不包含打印文档名称遥测数据。其次,由于另一个已知技术限制,Windows 的打印事件中不包含打印文件大小遥测数据。要收集这些数据集(文件名/文件大小),请使用 VDA.Print 事件。有关更多信息,请参阅 为 Citrix DaaS 启用打印遥测。 | 浏览器名称、浏览器版本、域、打印机名称、打印文件格式、打印文件大小、会话服务器名称、会话用户名 |
AppProtection.ScreenCapture |
当用户在受保护的会话中尝试捕获屏幕截图时触发。注意:有关更多信息,请参阅 应用保护。 | 受保护的应用标题、屏幕捕获工具名称、屏幕捕获工具路径 |
App.SaaS.Launch |
当 Citrix Workspace 应用程序在 Citrix Enterprise Browser 中启动 SaaS 应用程序时触发。 | 浏览器名称、浏览器版本、SaaS 应用程序名称、SaaS 应用程序 URL |
App.SaaS.End |
当 Citrix Workspace 应用程序在 Citrix Enterprise Browser 中关闭 SaaS 应用程序时触发。 | 浏览器名称、浏览器版本、SaaS 应用程序 URL |
App.SaaS.Clipboard |
在 Citrix Enterprise Browser 中执行剪贴板操作时触发。 | 浏览器名称、浏览器版本、剪贴板详细信息格式大小、剪贴板详细信息格式类型、剪贴板详细信息发起方、剪贴板详细信息结果、剪贴板操作、SaaS 应用程序 URL |
App.SaaS.File.Download |
在 Citrix Enterprise Browser 中下载文件时触发。 | 浏览器名称、浏览器版本、下载设备类型、下载文件路径、下载文件大小 |
App.SaaS.File.Print |
在 Citrix Enterprise Browser 中启动打印时触发。 | 浏览器名称、浏览器版本、打印文件名、SaaS 应用程序名称、SaaS 应用程序 URL |
App.SaaS.Url.Navigate |
当 Citrix Enterprise Browser 导航 URL 时触发。 | 浏览器名称、浏览器版本、SaaS 应用程序名称、SaaS 应用程序 URL |
Citrix.EventMonitor.AppStart |
当添加到会话录制服务器的 应用程序监视列表 中的应用程序在虚拟桌面会话中启动时触发。 | 应用名称 |
Citrix.EventMonitor.AppEnd |
当添加到会话录制服务器的 应用程序监视列表 中的应用程序在虚拟桌面会话中停止时触发。 | 应用名称 |
Citrix.EventMonitor.Clipboard |
在会话录制中执行剪贴板操作时触发。 | 剪贴板数据格式类型、进程名称、窗口标题 |
Citrix.EventMonitor.FileTransfer |
当用户在虚拟桌面会话和用户计算机之间传输文件时触发。 | 文件大小、操作方向(主机到客户端、客户端到主机)、源路径、目标路径 |
Citrix.EventMonitor.RegistryChange |
执行注册表操作时触发。可能的注册表操作包括创建、删除、重命名、设置值和删除值。 | 注册表操作、注册表名称、注册表路径、进程 ID、进程文件路径 |
Citrix.EventMonitor.SessionEnd |
会话录制结束时触发。 | 描述 |
Citrix.EventMonitor.SessionLaunch |
会话录制启动时触发。 | 会话录制类型 |
Citrix.EventMonitor.TopMost |
最顶层窗口更改时触发。 | 应用名称 |
Citrix.EventMonitor.IdleStart |
会话空闲时触发。 | 检查如上所述的常见字段。 |
Citrix.EventMonitor.IdleEnd |
空闲会话结束时触发。 | 检查如上所述的常见字段。 |
Citrix.EventMonitor.WebBrowsing |
当用户在虚拟桌面会话中的浏览器上与网页交互时触发。 | 应用名称、URL |
Citrix.EventMonitor.FileCreate |
当在受监视文件系统路径内的虚拟桌面会话中创建文件或文件夹时触发。 | 文件名、文件路径、文件大小 |
Citrix.EventMonitor.FileRename |
当在受监视文件系统路径内的虚拟桌面会话中重命名文件或文件夹时触发。 | 检查如上所述的常见字段。 |
Citrix.EventMonitor.FileMove |
当受监视文件系统路径中的文件或文件夹在虚拟桌面会话中或在会话主机 (VDA) 和客户端设备之间移动时触发。 | 检查如上所述的常见字段。 |
Citrix.EventMonitor.FileDelete |
当在受监视文件系统路径内的虚拟桌面会话中删除文件或文件夹时触发。 | 文件名、文件路径、文件大小 |
Citrix.EventMonitor.CDMUSBDriveAttach |
当从连接虚拟 Apps and Desktop 会话的客户端插入客户端驱动器映射 (CDM) 映射的 USB 大容量存储设备时触发。 | 检查如上所述的常见字段。 |
Citrix.EventMonitor.GenericUSBDriveAttach |
当从连接虚拟 Apps and Desktop 会话的客户端插入通用重定向的 USB 大容量存储设备时触发。 | 检查如上所述的常见字段。 |
Citrix.EventMonitor.RDPConnection |
当用户在 VDA 计算机中创建远程桌面连接时触发。 | 目标 IP、进程 ID |
Citrix.EventMonitor.UserAccountModification |
触发所有类型的用户帐户操作,包括帐户创建、启用、禁用、删除、名称更改和密码修改。 | 描述、目标用户名 |
VDA.Print |
在 Apps and Desktops 中启动打印作业时触发。注意:此事件仅适用于 Citrix DaaS 数据源。有关更多信息,请参阅 为 Citrix DaaS 启用打印遥测。 | 文档用户名、计算机名称、打印文件名、打印文件大小、打印机名称、时间、打印总份数、打印总页数 |
VDA.Clipboard |
在 Apps and Desktops 中执行剪贴板操作时触发。注意:此事件仅适用于 Citrix DaaS 数据源。有关更多信息,请参阅 为 Citrix DaaS 启用剪贴板遥测。 | 剪贴板格式类型、剪贴板操作、剪贴板操作方向、剪贴板操作允许、剪贴板大小、计算机名称 |
注意
所有会话录制事件都需要在会话录制服务器上启用其事件日志记录策略。有关更多信息,请参阅 创建自定义事件检测策略。
搜索查询支持的值
输入以下维度值以定义搜索查询。
| 维度 | 值 | 类型 | 描述 |
|---|---|---|---|
App-Name |
应用程序或桌面会话。 | 字符串 | 启动的应用程序或桌面的名称。 |
应用程序会话示例:不带场名称的会话:#Cloud - Excel 2016 带场名称的会话:XA65PROD#Concur
|
|||
桌面会话示例:不带场名称的会话:#SINXIAP0616 $S1-1 带场名称的会话:XA65PROD#SINXIAP0616 $S1-1
|
|||
App-Protection-Policies |
示例:AntiScreenCaptureEnabled
|
字符串 | 会话的活动应用程序保护策略。 |
Browser-Name |
示例:Google Chrome、Citrix Enterprise Browser™、Microsoft Edge、FIREFOX、SAFARI | 字符串 | 浏览器名称 |
Browser-Version |
示例:80.0.3987.122、101.0.9999.0 | 字符串 | 浏览器版本 |
City |
示例:Santa Clara、Houston、Chicago | 字符串 | 用户的城市名称。 |
Client-IP |
IP 地址。示例:10.10.10.10 | 字符串 | 用户端点的 IP 地址。 |
Client-Type |
Android、Windows、Macintosh、Chrome、HTML5、Unix/Linux、iOS、SessionRecording、Monitor | 字符串 | 指示基于操作系统或原始数据源的不同类型的 Citrix Workspace 应用程序。 |
Clipboard-Format-Type |
示例:text、html、CF_UNICODETEXT | 字符串 | 复制到剪贴板的数据格式。 |
Clipboard-Initiator |
示例:键盘、上下文菜单、javascript | 字符串 | 指示剪贴板操作是如何启动的。注意:仅 SaaS 应用程序支持。 |
Clipboard-Operation |
复制、剪切、粘贴或放置 | 字符串 | 指示执行了哪个剪贴板操作。注意:放置操作表示数据被放置在剪贴板上。这不保证剪贴板中的数据是否被客户端粘贴或使用。此操作仅支持 VDA.Clipboard 事件。 |
Clipboard-Operation-Direction |
客户端到主机、主机到客户端 | 字符串 | 指示剪贴板操作的方向。注意:仅 Apps and Desktop (Citrix DaaS™) 剪贴板操作支持。 |
Clipboard-Operation-Permitted |
允许或拒绝 | 字符串 | 指示 Apps and Desktop 会话中是否允许剪贴板操作。注意:仅 Apps and Desktop (Citrix DaaS) 剪贴板操作支持。 |
Clipboard-Result |
成功或已阻止 | 字符串 | 指示剪贴板操作的结果。注意:仅 SaaS 应用程序支持。 |
Clipboard-Size |
示例:10、20 | 数字 | 当前存储在剪贴板中的数据大小(以字节为单位)。 |
Country |
示例:USA、India | 字符串 | 用户的国家/地区名称。 |
Description |
对于 Citrix.EventMonitor.UserAccountModification 事件:已创建用户帐户、已启用用户帐户、尝试重置帐户密码。 |
字符串 | 描述用户帐户修改状态,例如帐户已创建、已删除、已重命名或尝试重置密码。 |
对于 Citrix.EventMonitor.SessionEnd 事件:未知、注销、翻转、触发和不完整 |
描述会话录制结束的原因。 | ||
Destination-IP |
示例:10.60.110.xxx | 字符串 | 远程桌面的 IP 地址。 |
Destination-Path |
示例:\H$\Desktop\Folder\example.txt | 字符串 | 传输完成后文件的最终路径。 |
Device-ID |
示例:cb781185-18ad-4f45-b75f | 字符串 | 用于许可、客户端名称或操作系统硬件 ID 的设备 ID。 |
Domain |
示例:example.com | 结构 | 发送请求的服务器的域名。 |
Download-Device-Type |
示例:USB、硬盘驱动器、远程驱动器、cdrom 或浏览器下载。 | 字符串 | 下载或传输文件的设备类型。 |
Download-File-Format |
示例:txt、PDF、xlsx、docx | 字符串 | 下载文件的格式。 |
Download-File-Name |
示例:example-file.txt | 字符串 | 下载文件的名称。 |
Download-File-Path |
示例:C:\Users\admin\Desktop | 字符串 | 下载文件的路径。 |
Download-File-Size |
示例:8.05 | 数字 | 下载文件的大小(以千字节为单位)。 |
Event-Type |
Account.Logon、Session.Logon、Session.End、App.Start、App.End、File.Download、Printing、AppProtection.ScreenCapture、App.SaaS.Launch、App.SaaS.End、App.SaaS.Clipboard、App.SaaS.File.Download、App.SaaS.File.Print、App.SaaS.Url.Navigate、Citrix.EventMonitor.AppStart、Citrix.EventMonitor.AppEnd、Citrix.EventMonitor.TopMost、Citrix.EventMonitor.WebBrowsing、Citrix.EventMonitor.FileCreate、Citrix.EventMonitor.FileRename、Citrix.EventMonitor.FileMove、Citrix.EventMonitor.FileDelete、Citrix.EventMonitor.CDMUSBDriveAttach、Citrix.EventMonitor.GenericUSBDriveAttach、Citrix.EventMonitor.RDPConnection、Citrix.EventMonitor.UserAccountModification、VDA.Print、VDA.Clipboard、Citrix.EventMonitor.RegistryChange、Citrix.EventMonitor.SessionLaunch、Citrix.EventMonitor.SessionEnd、Citrix.EventMonitor.Clipboard、Citrix.EventMonitor.FileTransfer | 字符串 | 有关更多详细信息,请参阅 事件类型和支持的字段。 |
Jail-Broken |
是或否 | 字符串 | 指示设备是否已 Root。注意:如果此维度不存在,则设备未 Root。此密钥适用于适用于 iOS 和 Android 设备的 Citrix Workspace™ 应用程序。 |
Operation-Direction |
主机到客户端/客户端到主机 | 字符串 | 指示文件传输的方向。 |
OS-Extra-Info |
示例:20G80、Service Pack 1、19043 | 字符串 | 指示操作系统的附加信息,例如内部版本号、Service Pack 和修补程序。 |
OS-Name |
示例:macOS 11、Windows 7、Android 8.1、Windows 10 Enterprise | 字符串 | 指示操作系统的名称。 |
OS-Version |
示例:11.5.1、14.7.1、2009 | 字符串 | 指示操作系统的版本 |
Print-File-Format |
示例:PDF、PS、DOCX | 字符串 | 打印文件的格式。 |
Print-File-Name |
示例:example-file.pdf | 字符串 | 打印文件的名称。 |
Print-File-Size |
示例:10、20 | 字符串 | 打印文件的大小(以字节为单位)。 |
Printer-Name |
示例:testprinter-1 | 字符串 | 使用的打印机名称。 |
Process-ID |
示例:11248 | 字符串 | 指的是用于识别执行两个操作的特定进程的进程 ID:创建新进程和建立远程桌面连接。Process-ID 当前仅与 Citrix.EventMonitor.RDPConnection 事件关联。 |
Protected-App-Titles |
示例:Admin Desktop - Citrix Workspace | 字符串 | 在受保护会话中运行的应用程序的名称。 |
Registry-Name |
修改后的注册表名称 | 字符串 | 已修改的注册表的名称。 |
Registry-Operation |
重命名、创建、删除、设置值、删除值 | 字符串 | 指示执行了哪个注册表操作。 |
Registry-Path |
修改后的注册表路径 | 字符串 | 已修改的注册表的路径。 |
SaaS-App-Name |
示例:Workday | 字符串 | SaaS 应用程序的名称。 |
SaaS-App-URL |
示例:<https://xyz.com>|String
|
字符串 | SaaS 应用程序的 URL 或网关/代理 URL。注意:当 SaaS 应用程序最初启动时,网关/代理 URL 会出现在 App.SaaS.Launch 事件中。 |
Screen-Capture-Tool-Name |
示例:ScreenShotTool.exe | 字符串 | 屏幕捕获工具的名称。 |
Screen-Capture-Tool-Path |
示例:c:\Program files (x86)\ScreenContent Client | 字符串 | 屏幕捕获工具的路径。 |
Session-Launch-Type |
应用程序或桌面 | 字符串 | 指示启动的会话是应用程序类型还是桌面类型。 |
Session-Recording-Type |
传统录制/仅事件录制 | 字符串 | 指示启动的会话录制类型。 |
Session-Server-Name |
示例:Hosted Desktop、Cloud-VDA-1 | 字符串 | 从服务器接收到的所连接的应用程序或桌面的名称。 |
Session-User-Name |
示例:demo-user、test-user | 字符串 | 从服务器接收到的用户名。 |
Source-Path |
示例:C:\Users\admin\Desktop\example.txt | 字符串 | 文件传输前的初始路径。 |
Target-User-Name |
示例:user01 | 字符串 | 当前,Target-User-Name 仅用于 Citrix.EventMonitor.UserAccountModification 事件,其中它是已修改的用户帐户。 |
Total-Copies-Printed |
示例:1、2 | 数字 | 用户打印的总份数。 |
Total-Pages-Printed |
示例:1、2 | 数字 | 用户打印的文档总页数。 |
User-Name |
用户名或域\用户名 | 字符串 | 用户名或域\用户名。用于 StoreFront 登录。如果 StoreFront 登录不是通过适用于 HTML5 或 Chrome 的 Citrix Workspace 应用程序进行的,则此值与从服务器接收到的值相同。 |
VDA-Name |
示例:TSVDA-19-01.xd.local | 字符串 | 指示 VDA 计算机的名称。 |
Window-Title |
示例:Administrator - 01 Command Prompt | 字符串 | 指示执行剪贴板操作的窗口的标题。 |
Workspace-App-Version |
示例:20.8.0.3 (2008) | 字符串 | 安装在用户设备上并用于启动远程虚拟 Apps and Desktop 会话的 Citrix Workspace 应用程序或 Citrix Receiver 版本。 |
Workspace-App-Status |
支持或不支持 | 字符串 | 指示用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 版本是否受 Citrix Analytics for Security 支持。当 Workspace 应用程序不受支持时,将鼠标悬停在 不支持 上。将出现一个弹出窗口,其中包含一个用于查看支持版本列表的链接。当 Workspace 应用程序版本接近其不受支持状态时,自助服务搜索页面上会显示一个横幅,列出可用的支持版本,您可以启动升级。 |
操作系统命名格式
Citrix Analytics 接收用户设备的操作系统 (OS) 详细信息,并将其转换为操作系统名称、操作系统版本和操作系统额外信息。
-
操作系统名称 指示操作系统的名称。
-
操作系统版本 指示操作系统的发布 ID 或发布版本。
-
操作系统额外信息 指示操作系统的附加信息,例如内部版本号、Service Pack 和修补程序。
下表提供了一些操作系统版本编号格式的示例。
| 操作系统名称 | 操作系统版本 | 操作系统额外信息 |
|---|---|---|
| macOS 11 | 11.5.1 | 20G80 |
| iOS 14 | 14.7.1 | 不可用 |
| Windows 10 Enterprise | 2009 | 19043 |
| Windows 7 | 6.1 | Service Pack 1 |
| Android 8.1 | 8.1.0 | 不可用 |
注意
要获取 Mac 11.x 或更高版本的操作系统详细信息,建议的客户端版本是适用于 Mac 2108 或更高版本的 Citrix Workspace 应用程序。
Windows 10 的操作系统详细信息目前不可用。
适用于 Apps and Desktops 的自助搜索
已复制!
失败!