Citrix Analytics for Security

解决数据源的事件传输问题

本节帮助您解决 Citrix Analytics for Security 中的数据传输问题。当数据源无法准确传输用户事件时,您可能会遇到未发现用户和风险指示器等问题。

清单

序列 检查
1 您是否拥有使用 Security Analytics 的正确权利?
2 您所在的区域是否支持该数据源?
3 您的环境是否满足所有系统要求?
4 是否在 Analytics 上发现了所有数据源并启用了数据处理?
5 数据源上的用户活动是否将事件准确地传输到 Analytics?
6 虚拟应用程序和桌面事件是否会传输到 Analytics?
7 用户事件是否显示在 Analytics 的自助搜索页面上?
8 用户是否被 Analytics 发现?

检查 1 - 您是否拥有使用 Security Analytics 的正确权利

Citrix Analytics for Security 是一项基于订阅的产品。有关更多信息,请参阅 入门

检查2-您的本地区域是否支持数据源

以下主区域支持 Citrix Analytics for Security:

  • 美国 (US)

  • 欧洲联盟(EU)

  • 亚太南部 (APS)

根据组织所在的位置,您可以在其中一个主区域加入 Citrix Cloud。

但是,并非所有主区域都支持某些数据源。 [数据源]((/en-us/security-analytics/data-sources.html))是 Citrix Analytics for Security 从中接收用户事件的产品。

如果您的组织在不支持数据源的主区域中加入了 Citrix Cloud,则不会从数据源获取用户事件。

使用下表查看数据源及其受支持的区域。

数据源 在美国地区受支持 在欧盟地区受支持 APS 区域支持
Citrix Endpoint Management
Citrix Gateway(本地)
Citrix 身份提供程序
Citrix Secure Browser
Citrix Secure Private Access
Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
Citrix Virtual Apps and Desktops 本地
Microsoft Active Directory
Microsoft Graph 安全性

检查3-您的环境是否满足所有系统要求

Citrix Analytics 可能需要几分钟时间才能从数据源接收用户事件。如果在数据源站点卡上看不到任何用户事件,请确保您的环境满足必备条件和 系统要求

必备条件

  1. 您的所有 Citrix Cloud 订阅都必须处于活动状态。在 Citrix Cloud 页面上,确保所有 Citrix Cloud 服务均处于活动状态。

  2. 如果使用本地部署 Citrix Virtual Apps and Desktops,则必须将站点添加到 Citrix Workspace 并配置站点聚合。Citrix Analytics 会自动发现添加到 Citrix Workspace 的站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  3. 如果要为站点使用 StoreFront 部署,请将 StoreFront 服务器配置为使 Citrix Workspace 应用程序能够向 Citrix Analytics 发送用户事件。确保 StoreFront 版本为 1906 或更高版本。如果不配置 StoreFront 服务器,Citrix Analytics 将无法从本地 Citrix Virtual Apps and Desktops 接收用户事件。要配置 StoreFront 部署,请参阅 StoreFront 文档中的 Citrix Analytics Service 一文。

  4. Citrix Virtual Apps and Desktops 用户和 Citrix DaaS 用户必须在其端点使用指定版本的 Citrix Workspace 应用程序或 Citrix Receiver。否则,Analytics 不会从用户端点接收用户事件。Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源中提供了受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本列表。

  5. 要从已发布的安全浏览器会话中接收用户的事件,请在安全浏览器中启用 主机名跟踪 设置。默认情况下,禁用此设置。有关更多信息,请参阅管理已发布的安全浏览器

  6. 如以下文章所述,载入数据源:

检查4-Analytics上是否发现了所有数据源并启用了数据处理

确保已发现所有数据源,并且已为它们启用了数据处理。如果不为数据源启用数据处理,则不会发现使用该数据源的用户。这种情况可能会造成潜在的安全风险。

启用数据处理可确保 Citrix Analytics 正在处理您的用户事件。只有在用户主动使用数据源时,才会将事件发送到 Citrix Analytics。

注意

Citrix Analytics 不会主动从您的环境中提取数据。

要发现数据源并启用分析,请执行以下操作:

  1. 单击“设置”>“数据源”>“安全”以查看发现的数据源。Citrix Analytics 会自动发现您已订阅 Citrix Cloud 账户的数据源。

    数据源页面

  2. 在“数据源”页面上,发现的数据源将显示为站点卡。默认情况下,数据处理处于关闭状态。

    重要提示

    Citrix Analytics 会在您同意后处理您的数据。

    站点卡

  3. 在希望 Citrix Analytics 为其处理事件的站点卡片上,单击打开数据 处理。例如,在 Citrix Secure Private Access 站点卡片上,单击“打开数据处理”。

    网站卡访问

  4. 打开数据处理功能后,Citrix Analytics 将处理数据源的事件。网站卡的状态更改为数据处理。您可以根据所选时间段查看用户数量和接收的事件。

    访问事件

  5. 对于所有发现的数据源,请按照 入门 中指定的步骤启用分析。

检查5-数据源上的用户活动是否将事件准确地传输到 Analytics

当用户主动使用数据源时,Citrix Analytics 会从数据源接收用户事件。用户必须在数据源上执行某些活动才能生成事件。例如,要接收来自应用程序和桌面数据源的事件,应用程序和桌面用户必须共享、上传或下载某些文件。

注意

Citrix Analytics 不会主动从您的环境中提取数据。

如果您在 Citrix Analytics 中看不到数据源的任何用户事件,则用户很有可能此时未处于活动状态。

要验证 Citrix Analytics 是否准确地接收了用户事件,请执行以下活动。此活动使用 Citrix 应用程序和桌面数据源。您可以根据您的订阅使用其他 Citrix 产品(数据源)执行类似的活动。

  1. 登录 Citrix 应用程序和桌面服务。

  2. 执行一些常见的用户活动,例如创建文件夹、下载文件、上传文件或删除文件。

    用户活动

  3. 例如,创建一个 Test 文件夹。

    测试文件夹

  4. 上载一些本地文件。

    上载本地文件

  5. 删除文件夹中的一些文件。

    删除文件

  6. 返回 Citrix Analytics,在 “数据源” 页面上查看 “ 应用程序和桌面 ” 侧卡。Citrix Analytics 接收来自应用程序和桌面数据源的用户事件,并将其显示在网站卡上。

    用户事件

检查6:虚拟应用程序和桌面事件是否传输到Analytics

某些版本的 Citrix Workspace 应用程序或 Citrix Receiver 客户端无法向 Citrix Analytics 发送用户事件。当用户通过这些客户端启动虚拟应用程序和桌面时,Citrix Analytics 无法发现用户,直到他们执行受支持的事件。

例如,适用于 Linux 2006 或更高版本的 Citrix Workspace 应用程序不会将 SaaS 应用程序启动SaaS 应用程序结束 事件发送到 Citrix Analytics。Citrix Analytics 上未发现使用适用于 Linux 的 Citrix Workspace 应用程序启动 SaaS 应用程序的用户。

支持的事件

请参阅下表以查看每个客户端版本支持的用户事件。

  • -事件由客户端发送给 Citrix Analytics。

  • -客户端不会将事件发送给 Citrix Analytics。

  • 适用-该事件不适用于客户端。

事件 适用于 Windows 的 Workspace 应用程序 1907 或更高版本 适用于 Mac 的 Workspace 应用程序 1910.2 或更高版本 适用于 Linux 的 Workspace 2006 或更高版本 适用于 Android 的 Workspace 应用程序 - Google Play 中提供的最新版本 适用于 iOS 的 Workspace 应用程序 - Apple App Store 中提供的最新版本 适用于 Chrome 的 Workspace 应用程序 - Chrome 网上应用店中提供的最新版本 适用于 HTML5 的 Workspace 2007 或更高版本
帐户登录
会话登录
会话启动
会话结束
应用程序启动
应用程序结束
文件下载
打印
SaaS 应用程序启动
SaaS 应用程序结束
SaaS 应用程序 URL 导航
SaaS 应用剪贴板访问
SaaS 应用程序文件下载
SaaS 应用程序文件打印

根据事件传输状态,您可能会遇到以下问题:

  • 当用户使用其客户端连接到 Citrix Virtual Apps and Desktops 或 Citrix DaaS 时,在执行受支持的事件(活动)之前,用户可能不会在 Citrix Analytics 中被发现。例如,考虑两个用户事件-应用程序启动和 SaaS 应用程序启动。使用适用于 iOS 的 Citrix Workspace 应用程序的用户,Citrix Analytics 会收到应用程序启动事件,但不接收 SaaS 应用程序启动事件。因此,当用户启动任何虚拟应用程序时,应用程序启动事件都会传输到 Citrix Analytics,然后发现该用户。但是,如果用户启动 SaaS 应用程序,Citrix Analytics 将不会收到 SaaS 应用程序启动事件,也不会发现该用户。有关已发现用户的信息,请参阅 发现的用户

  • 表格上标记为“”的事件不会显示在自助搜索页面上。有关如何使用自助服务页面的信息,请参阅 关于自助搜索

建议

为了获得分析的最大优势,Citrix 建议采取以下措施:

  • Windows 用户:使用适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本连接到您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS。

  • Mac 用户: Citrix Virtual Apps and Desktops 和 Citrix DaaS 使用适用于 Mac 1910.2 或更高版本的 Citrix Workspace 应用程序连接到你的。

检查7-用户事件是否显示在Analytics(分析)的自助搜索页面上

执行最后一次检查以确保事件准确地传输到 Citrix Analytics。

  1. 在顶部栏上,单击 “ 高级搜索 ” 以转到自助服务搜索页面。

    “搜索”选项卡

  2. 选择数据源以查看相应的搜索页面和事件。

    搜索页面

  3. 要查看与应用程序和桌面事件相关的数据,请从列表中选择 应用程序和桌面 ,选择时间段,然后单击 搜索

    搜索结果

有关详细信息,请参阅 自助搜索

检查8-分析是否发现了用户

当事件开始流向 Citrix Analytics 时,系统会发现生成事件的用户并将其显示在用户控制板上。此过程通常需要大约几分钟时间,然后您才能在控制板上查看它们。

  1. 单击“用户”控制板上的“已发现用户”链接,以查看 Citrix Analytics 发现的用户的完整列表。

    发现的用户

  2. 用户”页面显示过去 31 天内发现的所有用户的列表。选择时间段以查看风险指示器发生次数。

    注意

    如果您尝试设置的值大于 31 天,系统会显示一条错误消息,指出 - 日期范围无效。开始日期和结束日期之间的最大允许范围为 31 天

    “已发现用户”页

如果事件成功传输,则表明您的 Citrix Analytics 环境将按预期执行。当发现异常时,会生成风险指示器。