Citrix Analytics for Security

应用程序和桌面的自助式搜索

使用自助搜索深入了解从 Citrix Virtual Apps and Desktops 数据源和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)数据源收到的用户事件。当用户使用虚拟应用程序或虚拟桌面时,将生成与其活动和操作相对应的事件。用户事件的示例包括文件下载、帐户登录和应用程序启动。Citrix Analytics for Security 接收这些用户事件并将其显示在自助服务页面上您可以跟踪用户及其事件。

有关搜索功能的详细信息,请参阅 自助搜索

选择应用程序和桌面数据源

要查看来自 Citrix Virtual Apps and Desktops 或 Citrix DaaS 的事件,请从列表中选择应用程序和桌面。默认情况下,自助服务页面显示最近一天的事件。您还可以选择要查看事件的时间段。

选择 Citrix Virtual Apps and Desktops

默认情况下,自助服务页面会显示过去一个月的事件。该页面还为您提供了多个方面和一个搜索框,用于筛选和关注所需事件。

选择要过滤事件的平面

使用与应用程序和桌面事件关联的以下方面。

Virtual Apps and Desktops 方面

  • 事件类型 - 根据帐户登录、应用程序结束和会话结束等事件类型搜索事件。

  • -根据域(如 citrate.net)搜索事件。

  • 操作系统-根据用户设备中使用的 Chrome、iOS 和 Windows 等操作系统搜索事件。选择操作系统名称和版本以筛选事件。有关操作系统版本的详细信息,请参阅 搜索查询支持的值

指定搜索查询以筛选事件

将光标置于搜索框中可查看应用程序和桌面事件的维度列表。使用维度和 运算符 指定查询并搜索所需的事件。

Virtual Apps and Desktops 维度

例如,您想要搜索正在使用 Windows 操作系统的用户“John Doe”的事件。

  1. 在搜索框中输入“U”以获取相关建议。

    Virtual Apps and Desktops 搜索查询 1

  2. 单击用 户名 ,然后使用等于运算符输入值“John”。

    Virtual Apps and Desktops 搜索查询 2

  3. 选择 AND 运算符和操作 系统名称 维度。使用等于运算符分配值“Windows 7”。

    Virtual Apps and Desktops 搜索查询 3

  4. 选择时间段,然后单击搜索以查看基于 DATA 表的事件。

事件类型和支持的字段

以下字段适用于除 vda.print 之外的所有事件类型:

  • 城市

  • 客户端 IP

  • 国家/地区

  • 设备 ID

  • 操作系统名

  • 操作系统版本

  • OS 额外信息

  • Time(时间)

  • 用户名

  • Workspace 应用程序版本

  • Workspace 应用程序状态

下表描述了应用程序和桌面数据源中可用的事件类型以及每种事件类型的特定字段。

说明 字段
Account.Logon 当您通过 Citrix Workspace 应用程序登录应用商店时触发。 注意:Account.Logon 不适用于 HTML5 客户端。 如上所述,检查常用字段。
Session.Logon 登录虚拟会话时触发。 应用程序保护策略、域、会话启动类型、会话服务器名称、会话用户名
Session.End 在您终止虚拟会话时触发。 域、会话启动类型、会话服务器名称、会话用户名
App.Start 当您启动虚拟应用程序会话时触发。注意:当应用程序在桌面会话中启动时,此事件类型不适用。 应用程序名称、域、会话启动类型、会话服务器名称、会话用户名
App.End 在您终止虚拟应用程序会话时触发。注意:当应用程序在桌面会话中启动时,此事件类型不适用。 应用程序名称、域、会话启动类型、会话服务器名称、会话用户名
File.Download 当用户将文件从远程虚拟会话复制到客户端设备时触发。虚拟会话中发生的文件传输不会被触发。注意:仅当服务器允许文件重定向(有关更多详细信息,请查看“文件重定向设置”)并且客户端工作区“文件访问”首选项设置为“读取和写入”时,才会发送此事件类型。 域、下载设备类型、下载文件名、下载文件路径、下载文件大小、会话服务器名称、会话用户名
Printing 当您使用 Citrix Workspace 应用程序通过客户端打印机启动的会话打印文件时触发。注意:Citrix Workspace 应用程序有两个影响打印事件的技术限制。首先,由于所有平台变体都存在已知问题,打印文档名称遥测未包含在打印事件中。其次,由于另一个已知的技术限制,打印文件大小遥测不包含在 Windows 的打印事件中。要收集这些数据集(文件名/文件大小),请使用 VDA.Print 事件。有关详细信息,请参阅为 Citrix DaaS 启用打印遥测 浏览器名称、浏览器版本、域、打印机名称、打印文件格式、打印文件大小、会话服务器名称、会话用户名
AppProtection.ScreenCapture 当用户在受保护会话中尝试捕获屏幕截图时触发。注意:有关更多信息,请参阅 应用程序保护 受保护的应用程序标题、屏幕捕获工具名称、屏幕捕获工具路径
App.SaaS.Launch 当 Citrix Workspace 应用程序在 Citrix Enterprise Browser 中启动 SaaS 应用程序时触发。 浏览器名称、浏览器版本、SaaS 应用程序名称、SaaS 应用程序 URL
App.SaaS.End 当 Citrix Workspace 应用程序在 Citrix Enterprise Browser 中关闭 SaaS 应用程序时触发。 浏览器名称、浏览器版本、SaaS 应用程序 URL
App.SaaS.Clipboard 在 Citrix Enterprise Browser 中执行剪贴板操作时触发。 浏览器名称、浏览器版本、剪贴板详细信息格式大小、剪贴板详细信息格式类型、剪贴板详细信息启动器、剪贴板详细信息结果、剪贴板操作、SaaS 应用程序 URL
App.SaaS.File.Download 在 Citrix Enterprise Browser 中下载文件时触发。 浏览器名称、浏览器版本、下载设备类型、下载文件路径、下载文件大小
App.SaaS.File.Print 在 Citrix Enterprise Browser 中启动打印时触发。 浏览器名称、浏览器版本、打印文件名、SaaS 应用程序名称、SaaS 应用程序 URL
App.SaaS.Url.Navigate 在 Citrix Enterprise Browser 浏览 URL 时触发。 浏览器名称、浏览器版本、SaaS 应用程序名称、SaaS 应用程序 URL
Citrix.EventMonitor.AppStart 当添加到会话录制服务器的 应用程序监视列表中的应用程序 在虚拟桌面会话中启动时触发。 应用程序名称
Citrix.EventMonitor.AppEnd 当添加到会话录制服务器的 应用程序监视列表)在虚拟桌面会话中停止时触发。 应用程序名称
Citrix.EventMonitor.Clipboard 在会话录制中执行剪贴板操作时触发。 剪贴板数据格式类型、进程名称、窗口标题
Citrix.EventMonitor.FileTransfer 当用户在虚拟桌面会话和用户计算机之间传输文件时触发。 文件大小、操作方向(主机到客户端、客户机到主机)、源路径、目标路径
Citrix.EventMonitor.RegistryChange 在执行注册表操作时触发。可能的注册表操作包括创建、删除、重命名、设置值和删除值。 注册表操作、注册表名称、注册表路径、进程 ID、进程文件路径
Citrix.EventMonitor.SessionEnd 会话录制结束时触发。 说明
Citrix.EventMonitor.SessionLaunch 会话录制开始时触发。 会话录制类型
Citrix.EventMonitor.TopMost 当最上面的窗口发生变化时触发。 应用程序名称
Citrix.EventMonitor.IdleStart 会话变为空闲时触发。 如上所述,检查常用字段。
Citrix.EventMonitor.IdleEnd 空闲会话结束时触发。 如上所述,检查常用字段。
Citrix.EventMonitor.WebBrowsing 当用户在虚拟桌面会话中与浏览器上的网页进行交互时触发。 应用程序名称、网址
Citrix.EventMonitor.FileCreate 在受监视文件系统路径内的虚拟桌面会话中创建文件或文件夹时触发。 文件名、文件路径、文件大小
Citrix.EventMonitor.FileRename 在受监视文件系统路径内的虚拟桌面会话中重命名文件或文件夹时触发。 如上所述,检查常用字段。
Citrix.EventMonitor.FileMove 在虚拟桌面会话中或会话主机 (vDA) 与客户端设备之间移动受监视文件系统路径中的文件或文件夹时触发。 如上所述,检查常用字段。
Citrix.EventMonitor.FileDelete 在虚拟桌面会话中删除受监视文件系统路径中的文件或文件夹时触发。 文件名、文件路径、文件大小
Citrix.EventMonitor.CDMUSBDriveAttach 在连接虚拟应用程序和桌面会话的客户端中插入客户端驱动器映射 (CDM) 映射的 USB 大容量存储设备时触发。 如上所述,检查常用字段。
Citrix.EventMonitor.GenericUSBDriveAttach 在连接虚拟应用程序和桌面会话的客户端中插入通用重定向 USB 大容量存储设备时触发。 如上所述,检查常用字段。
Citrix.EventMonitor.RDPConnection 当用户在 VDA 计算机中创建远程桌面连接时触发。 目标 IP,进程 ID
Citrix.EventMonitor.UserAccountModification 触发所有类型的用户帐户操作,包括帐户创建、启用、禁用、删除、名称更改和密码修改。 描述,目标用户名
VDA.Print 在应用程序和桌面中启动打印作业时触发。注意:此事件仅适用于 Citrix DaaS 数据源。有关详细信息,请参阅为 Citrix DaaS 启用打印遥测 文档用户名、计算机名称、打印文件名、打印文件大小、打印机名称、时间、打印总份数、打印总页数
VDA.Clipboard 在应用程序和桌面中执行剪贴板操作时触发。注意:此事件仅适用于 Citrix DaaS 数据源。有关更多信息,请参阅为 Citrix DaaS 启用剪贴板遥测 剪贴板格式类型、剪贴板操作、剪贴板操作方向、允许的剪贴板操作、剪贴板大小、计算机名称

注意

所有会话录制事件都要求在会话录制服务器上启用记录其事件的策略。有关详细信息,请参阅创建自定义事件检测策略

搜索查询支持的值

为维度输入以下值以定义搜索查询。

维度 类型 说明
App-Name 应用程序或桌面会话。 字符串 启动的应用程序或桌面的名称。
  示例应用程序会话:没有服务器场名称的会话:#Cloud - Excel 2016 以及具有服务器场名称的会话:XA65PROD#Concur    
  桌面会话示例:没有场名称的会话:#SINXIAP0616 $S1-1 以及带有场名称的会话:XA65PROD#SINXIAP0616 $S1-1    
App-Protection-Policies 示例:AntiScreenCaptureEnabled 字符串 会话的有效应用程序保护策略。
Browser-Name 示例:Google Chrome、Citrix Enterprise Browser、Microsoft Edge、FIREFOX、SAFARI 字符串 浏览器名称
Browser-Version 示例:80.0.3987.122、101.0.9999.0 字符串 浏览器版本
City 示例:圣克拉拉、休斯敦、芝加哥 字符串 用户的城市名称。
Client-IP 一个 IP 地址。示例:10.10.10.10 字符串 用户终端节点的 IP 地址。
Client-Type Android、Windows、Macintosh、Chrome、HTML5、Unix/Linux、iOS、SessionRecording、Monitor 字符串 表示基于操作系统或原始数据源的不同类型的 Citrix Workspace 应用程序。
Clipboard-Format-Type 示例:文本、html、CF_UNICODETEXT 字符串 复制到剪贴板的数据格式。
Clipboard-Initiator 示例:键盘、上下文菜单、JavaScript 字符串 指示剪贴板操作是如何启动的。注意:只有 SaaS 应用程序支持。
Clipboard-Operation 复制、剪切、粘贴或置入 字符串 指示执行哪个剪贴板操作。注意 入操作表示数据已放置在剪贴板上。这不能保证剪贴板中的数据是否由客户端粘贴或使用。此操作仅支持 VDA.Clipboard 事件。
Clipboard-Operation-Direction 客户机到主机,主机到客户端 字符串 指示剪贴板的操作方向。注意:仅 Apps and Desktop (Citrix DaaS) 剪贴板操作支持。
Clipboard-Operation-Permitted 允许或拒绝 字符串 表示是否允许在应用程序和桌面会话中执行剪贴板操作。注意:仅 Apps and Desktop (Citrix DaaS) 剪贴板操作支持。
Clipboard-Result 成功或已阻止 字符串 表示剪贴板操作的结果。注意:只有 SaaS 应用程序支持。
Clipboard-Size 示例:10、20 数量 当前存储在剪贴板中的数据的大小(以字节为单位)。
Country 示例:美国、印度 字符串 用户的国家/地区名称。
Description 对于 Citrix.EventMonitor.UserAccountModification 事件:创建了用户帐户,启用了用户帐户,尝试重置帐户的密码。 字符串 描述用户帐户修改状态,例如帐户已创建、删除、重命名或尝试重置密码。
  适用于 Citrix.EventMonitor.SessionEnd 事件:未知、注销、翻转、触发和未完成   描述会话录制结束的原因。
Destination-IP 示例:10.60.110.xxx 字符串 远程桌面的 IP 地址。
Destination-Path 示例:\H$\Desktop\Folder\example.txt 字符串 传输完成后文件的最终路径。
Device-ID 示例:cb781185-18ad-4f45-b75f 字符串 用于许可、客户端名称或操作系统硬件 ID 的设备 ID。
Domain 示例:example.com 结构 发送请求的服务器的域名。
Download-Device-Type 示例:USB、硬盘驱动器、RemoteDrive、cdrom 或浏览器下载。 字符串 下载或传输文件的设备类型。
Download-File-Format 示例:txt、PDF、xlsx、docx 字符串 下载的文件的格式。
Download-File-Name 示例:example-file.txt 字符串 下载文件的名称。
Download-File-Path 示例:C:\Users\admin\Desktop 字符串 下载文件的路径。
Download-File-Size 示例:8.05 数量 已下载文件的大小(以千字节为单位)。
Event-Type Account.Logon, Session.Logon, Session.End, App.Start, App.End, File.Download, Printing, AppProtection.ScreenCapture, App.SaaS.Launch, App.SaaS.End, App.SaaS.Clipboard, App.SaaS.File.Download, App.SaaS.File.Print, App.SaaS.Url.Navigate, Citrix.EventMonitor.AppStart, Citrix.EventMonitor.AppEnd, Citrix.EventMonitor.TopMost, Citrix.EventMonitor.WebBrowsing, Citrix.EventMonitor.FileCreate, Citrix.EventMonitor.FileRename, Citrix.EventMonitor.FileMove, Citrix.EventMonitor.FileDelete, Citrix.EventMonitor.CDMUSBDriveAttach, Citrix.EventMonitor.GenericUSBDriveAttach, Citrix.EventMonitor.RDPConnection, Citrix.EventMonitor.UserAccountModification, VDA.Print, VDA.Clipboard, Citrix.EventMonitor.RegistryChange, Citrix.EventMonitor.SessionLaunch, Citrix.EventMonitor.SessionEnd, Citrix.EventMonitor.Clipboard, Citrix.EventMonitor.FileTransfer 字符串 有关更多详细信息,请参阅 事件类型和支持的字段。
Jail-Broken 是或否 字符串 指示设备是否已获得 root 用户权限。注意:如果不存在此维度,则设备未获得 root 权限。此密钥适用于适用于 iOS 和 Android 设备的 Citrix Workspace 应用程序。
Operation-Direction 主机到客户机/客户机对主机 字符串 表示文件传输的方向。
OS-Extra-Info 示例:20G80,Service Pack 1,19043 字符串 表示操作系统的其他信息,例如内部版本号、服务包和补丁。
OS-Name 示例:macOS 11、Windows 7、Android 8.1、Windows 10 Enterprise 字符串 表示操作系统的名称。
OS-Version 示例:11.5.1、14.7.1、2009 字符串 表示操作系统的版本
Print-File-Format 示例:PDF、PS、DOCX 字符串 打印文件的格式。
Print-File-Name 示例:example-file.pdf 字符串 打印文件的名称。
Print-File-Size 示例:10、20 字符串 打印文件的大小(以字节为单位)。
Printer-Name 示例:testprester-1 字符串 使用的打印机的名称。
Process-ID 示例:11248 字符串 指进程 ID,用于识别执行以下两项操作的特定进程: 创建新进程建立远程桌面连接。Process-ID 目前仅与 Citrix.EventMonitor.RDPConnection 事件相关联。
Protected-App-Titles 示例:管理员桌面-Citrix Workspace 字符串 在受保护会话中运行的应用程序的名称。
Registry-Name 修改后的注册表的名称 字符串 修改后的注册表的名称。
Registry-Operation 重命名、创建、删除、设置值、删除值 字符串 表示执行了哪个注册表操作。
Registry-Path 修改后的注册表的路径 字符串 修改后的注册表的路径。
SaaS-App-Name 示例:Workday 字符串 SaaS 应用程序的名称。
SaaS-App-URL 示例:https://xyz.com|String 字符串 SaaS 应用程序的 URL 或网关/代理 URL。注意:最初启动 SaaS 应用程序时,网关/代理 URL 会出现在 App.SaaS.Launch 事件中。
Screen-Capture-Tool-Name 示例:ScreenShotTool.exe 字符串 屏幕捕获工具的名称。
Screen-Capture-Tool-Path 示例:c:\Program files (x86)\ScreenContent Client 字符串 屏幕捕获工具的路径。
Session-Launch-Type 应用程序或桌面 字符串 指示启动的会话是应用程序还是桌面类型。
Session-Recording-Type 传统录制/仅限活动录制 字符串 表示已启动的会话录制的类型。
Session-Server-Name 示例:托管桌面、云 VDA-1 字符串 从服务器接收到的应用程序或桌面的名称。
Session-User-Name 示例:演示用户、测试用户 字符串 从服务器收到的用户名。
Source-Path 示例:C:\Users\admin\Desktop\example.txt 字符串 文件传输前的初始路径。
Target-User-Name 示例:user01 字符串 目前,Target-User-Name 仅用于 Citrix.EventMonitor.UserAccountModification 事件,在该事件中,修改的是用户帐户。
Total-Copies-Printed 示例:1、2 数量 用户打印的总份数。
Total-Pages-Printed 示例:1,2 数量 用户打印的文档总页数。
User-Name 用户名或域\ 用户名 字符串 用户名或域\ 用户名。用于 StoreFront 登录。如果 StoreFront 登录不是通过适用于 HTML5 或 Chrome 的 Citrix Workspace 应用程序,则此值与从服务器接收的值相同。
VDA-Name 示例:TSVDA-19-01.xd.local 字符串 指示 VDA 计算机的名称。
Window-Title 示例:管理员 - 01 命令提示符 字符串 表示执行剪贴板操作的窗口的标题。
Workspace-App-Version 示例:20.8.0.3 (2008) 字符串 安装在用户设备上的 Citrix Workspace 应用程序或 Citrix Receiver 版本,用于启动远程虚拟应用程序和桌面会话。
Workspace-App-Status 支持或不支持 字符串 指示 Citrix Analytics for Security 是否支持用户设备上安装的 Citrix Workspace 应用程序或 Citrix Receiver 版本。当不支持 Workspace 应用程序时,将鼠标悬停在“不支持”上。将出现一个弹出窗口,其中包含查看支持版本列表的链接。当 Workspace 应用程序版本接近其不支持状态时,自助搜索页面上会显示一个横幅,列出您可以启动升级的可用支持版本。

操作系统命名格式

Citrix Analytics 接收用户设备的操作系统 (OS) 详细信息,并将其转换为操作系统名称、操作系统版本和操作系统额外信息。

  • 操作系统名 称表示操作系统的名称。

  • 操作系统版本 表示操作系统的发行 ID 或发行版本。

  • OS Extra Info 表示操作系统的其他信息,例如内部版本号、服务包和修补程序。

下表提供了操作系统版本编号格式的几个示例。

操作系统名 操作系统版本 OS 额外信息
macOS 11 11.5.1 20G80
iOS 14 14.7.1 不可用
Windows 10 Enterprise 2009 19043
Windows 7 6.1 Service Pack 1
Android 8.1 8.1.0 不可用

备注

  • 要获取 Mac 版本 11.x 或更高版本的操作系统详细信息,建议使用适用于 Mac 2108 或更高版本的 Citrix Workspace 应用程序的客户端版本。

  • Windows 10 的操作系统详细信息目前不可用。

应用程序和桌面的自助式搜索