配置策略
使用 Session Recording 策略控制台创建录制策略、事件日志记录策略和录制件查看策略。创建策略时,可以同时从 Citrix Cloud 和本地环境中指定 Delivery Controller。
重要提示:
必须手动安装 Broker PowerShell 管理单元 (Broker_PowerShellSnapIn_x64.msi) 或 Citrix Virtual Apps and Desktops Remote PowerShell SDK (CitrixPoshSdk.exe),才能使用 Session Recording 策略控制台。安装程序不会自动安装管理单元。在 Citrix Virtual Apps and Desktops ISO (\layout\image- full\x64\Citrix Desktop Delivery Controller) 上找到 Broker PowerShell 管理单元,或者从 Citrix Virtual Apps and Desktops 服务下载页面下载 Citrix Virtual Apps and Desktops Remote PowerShell SDK。
提示:
可以编辑注册表以防止在 Session Recording Server 可能意外出现故障的情况下录制文件丢失。以管理员身份登录安装了 Session Recording Agent 的计算机,打开注册表编辑器,然后在
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
下添加 DWORD 值DefaultRecordActionOnError
=1
。
录制策略
可以激活在安装 Session Recording 时可用的系统定义策略,也可以创建并激活自己的自定义录制策略。系统定义的录制策略会将单个规则应用于所有用户、已发布的应用程序和服务器。将录制指定要录制哪些用户、已发布应用程序和服务器的自定义录制策略。
活动录制策略确定要录制的会话。每次只能有一个录制策略处于活动状态。
系统定义的录制策略
Session Recording 提供以下系统定义的录制策略:
- 不录制。默认策略。如果未指定其他策略,则不会录制会话。
- 录制每个人并通知。如果选择此策略,则会录制所有会话。此时将显示一个弹出窗口,通知出现录制事件。
- 录制每个人但不通知。如果选择此策略,则会录制所有会话。此时不显示弹出窗口以通知出现录制事件。
无法修改或删除系统定义的录制策略。
创建自定义录制策略
创建您自己的录制策略时,您可以制定规则以指定哪些用户或组、已发布的应用程序或桌面、交付组或 VDA 计算机以及 Citrix Workspace 应用程序客户端 IP 地址已录制了会话。Session Recording 策略控制台中的向导可帮助您创建规则。要获取已发布的应用程序或桌面的列表以及交付组或 VDA 计算机的列表,您必须具有作为站点管理员所拥有的读取权限。在站点的 Delivery Controller 上配置管理员读取权限。
对于创建的每条规则,您都需要指定录制操作以及规则条件。录制操作将应用到满足规则条件的会话。
对于每条规则,请选择一种录制操作:
- 不录制。(在规则向导中选择禁用会话录制。)此录制操作将指定不录制满足规则条件的会话。
- 录制并通知。(在规则向导中选择启用会话录制并通知。)此录制操作将指定录制满足规则条件的会话。此时将显示一个弹出窗口,通知出现录制事件。
- 录制但不通知。(在规则向导中选择启用会话录制但不通知。)此录制操作将指定录制满足规则条件的会话。用户不知道系统正在录制其会话。
对于每条规则,请至少选择以下项目之一来创建规则条件:
- 用户或组。创建要应用规则的操作的用户或组列表。Session Recording 允许您使用 Active Directory 组和将用户加入白名单。
- 已发布的应用程序或桌面。创建要应用规则的操作的已发布应用程序或桌面列表。在规则向导中,请选择包含这些应用程序或桌面的一个或多个 Citrix Virtual Apps and Desktops 站点。
- 交付组或计算机。创建要应用规则的操作的交付组或计算机列表。在规则向导中,请选择交付组或计算机所在的位置。
- IP 地址或 IP 范围。创建要应用规则的操作的 IP 地址或 IP 地址范围列表。在选择 IP 地址和 IP 范围屏幕中,添加将为其启用或禁用录制的有效 IP 地址或 IP 范围。此处提到的 IP 地址是指 Citrix Workspace 应用程序的 IP 地址。
注意:
Session Recording 策略控制台支持在一条规则中配置多个条件。规则适用时,将使用 AND 和 OR 逻辑运算符来计算最终操作。一般而言,OR 运算符在某个条件内部的项目之间使用,AND 运算符在多个条件之间使用。如果结果为 true,Session Recording 策略引擎将执行规则的操作。否则,将转至下一条规则并重复该过程。
在一个录制策略中创建多条规则时,某些会话可能满足多条规则的条件。在这些情况下,具有最高优先级的规则会应用到这些会话。
规则的录制操作决定其优先级:
- 不录制操作的规则优先级最高
- 录制并通知操作的规则优先级次之
- 录制但不通知操作的规则优先级最低
某些会话可能不满足录制策略中的任何规则条件。对于这些会话,将应用策略回退规则的操作。回退规则的操作始终为不录制。您无法修改或删除回退规则。
要创建自定义录制策略,请执行以下操作:
- 以授权策略管理员身份登录安装了 Session Recording 策略控制台的服务器。
- 启动 Session Recording 策略控制台,然后选择左侧窗格中的录制策略。从菜单栏中选择添加新策略。
- 右键单击新建策略并选择添加规则。
- 选择录制选项 - 在规则向导中,选择禁用会话录制、启用会话录制并通知(或启用会话录制但不通知),然后单击下一步。
- 选择规则条件 - 可以选择一个或多个规则条件:
用户或组
已发布的应用程序或桌面
交付组或计算机
IP 地址或 IP 范围 -
编辑规则条件 - 要进行编辑,请单击带下划线的值。这些值会根据上一步选择的条件加上下划线。
注意:
如果选择已发布的应用程序或桌面的带下划线的值,站点地址将为 IP 地址、URL 或计算机名称(如果 Controller 位于本地网络中)。应用程序名称列表显示显示名称。
选择已发布的应用程序或桌面或交付组或计算机时,请为 Session Recording 策略控制台指定要与之通信的 Delivery Controller。
Session Recording 策略控制台是与 Citrix Cloud 和本地环境中的 Delivery Controller 通信的唯一通道。
例如,选择交付组或计算机时,单击前面的屏幕截图中的步骤 3 中对应的超链接,然后单击添加将查询添加到 Controller 中。
有关涵盖本地和 Citrix Cloud Delivery Controller 的用例的说明,请参见下表:
用例 必需执行的操作 本地 Delivery Controller - 安装 Broker_PowerShellSnapIn_x64.msi。2. 取消选中 Citrix Cloud Controller 复选框。
Citrix Cloud Delivery Controller - 安装 Citrix Virtual Apps and Desktops Remote PowerShell SDK。2. 验证 Citrix Cloud 帐户凭据。3. 选中 Citrix Cloud Controller 复选框。
从本地 Delivery Controller 切换到 Citrix Cloud Delivery Controller - 卸载 Broker_PowerShellSnapIn_x64.msi 并重新启动计算机。2. 安装 Citrix Virtual Apps and Desktops Remote PowerShell SDK。3. 验证 Citrix Cloud 帐户凭据。4. 选中 Citrix Cloud Controller 复选框。
从 Citrix Cloud Delivery Controller 切换到本地 Delivery Controller - 卸载 Citrix Virtual Apps and Desktops Remote PowerShell SDK 并重新启动计算机。2. 安装 Broker_PowerShellSnapIn_x64.msi。3. 取消选中 Citrix Cloud Controller 复选框。
验证 Citrix Cloud 凭据
要查询 Citrix Cloud 中托管的 Delivery Controller,请在安装了 Session Recording 策略控制台的计算机上手动验证 Citrix Cloud 凭据。不符合规定可能会导致出现错误,Session Recording 策略控制台可能无法按预期工作。
要进行手动验证,请执行以下操作:
-
登录 Citrix Cloud 控制台并找到身份识别和访问管理 > API 访问。创建 API 访问安全客户端,以获取可跳过 Citrix Cloud 身份验证提示的身份验证配置文件。下载您的安全客户端,重命名并将其保存在安全的位置。文件名默认为 secureclient.csv。
-
打开 PowerShell 会话并运行以下命令以使(在上面的步骤中获得的)身份验证配置文件生效。
asnp citrix.* Set-XDCredentials -CustomerId "citrixdemo" -SecureClientFile "c:\temp\secureclient.csv" -ProfileType CloudAPI –StoreAs "default" <!--NeedCopy-->
根据需要设置 CustomerId 和 SecureClientFile。上述命令将为客户
citrixdemo
创建默认身份验证配置文件,以跳过当前和所有后续 PowerShell 会话中的身份验证提示。
- 按照向导完成配置。
注意: 关于预启动的应用程序会话的限制:
- 如果活动策略尝试匹配应用程序名称,则不会匹配在预启动会话中启动的应用程序,从而导致不录制会话。
- 如果活动策略录制每个应用程序,则当用户登录适用于 Windows 的 Citrix Workspace 应用程序(同时建立预启动会话)时,将显示录制通知,并且录制预启动的(空)会话以及将来在该会话中启动的所有应用程序。
解决方法:根据其录制策略,在单独的交付组中发布应用程序。请勿将应用程序名称用作录制条件。这样可确保能够录制预启动的会话。但是,仍显示通知。
使用 Active Directory 组
Session Recording 允许您在创建策略时使用 Active Directory 组。使用 Active Directory 组代替单个用户可简化规则和策略的创建和管理。例如,如果公司财务部门中的用户包含在名为“Finance”的 Active Directory 组中,那么您可以通过在创建规则时在 规则向导中选择“Finance”组来创建此组的所有成员要应用的规则。
将用户加入白名单
可以创建 Session Recording 策略,确保绝不会录制组织中某些用户的会话。这种情况称为将这些用户 加入白名单。加入白名单对负责处理隐私相关信息的用户非常有用,在贵组织不希望录制某些级别的员工的会话时也非常有用。
例如,如果公司内的所有经理都属于名为 Executive 的 Active Directory 组中的成员,那么您可以创建规则来禁用 Executive 组的会话录制,从而确保这些用户的会话绝不会被录制。包含此规则的策略处于活动状态时,不会录制“Executive”组成员的会话。组织内其他成员的会话根据活动策略中的其他规则进行录制。
将 Director 配置为使用 Session Recording Server
可以使用 Director 控制台创建并激活录制策略。
- 对于 HTTPS 连接,请在 Director 服务器的可信根证书中安装证书以信任 Session Recording Server。
- 要配置 Director 服务器以使用 Session Recording Server,请运行 C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording 命令。
- 在 Director 服务器上键入 Session Recording Server 的 IP 地址或 FQDN 以及 Session Recording Agent 用于连接到 Session Recording Broker 的端口号和连接类型 (HTTP/HTTPS)。
事件日志记录策略
Session Recording 支持集中配置事件日志记录策略。可以在 Session Recording 策略控制台中创建策略以记录各种事件。
注意:
要记录 USB 大容量存储设备的插入以及应用程序的启动和结束,请将 Session Recording Administration 组件(Session Recording 数据库、Session Recording Server 和 Session Recording 策略控制台)和 Session Recording Agent 升级到版本 1811 或更高版本。
要记录文件操作事件和 Web 浏览活动,请将 Session Recording Administration 组件(Session Recording 数据库、Session Recording Server 和 Session Recording 策略控制台)和 Session Recording Agent 升级到版本 1903 或更高版本。
系统定义的事件日志记录策略
系统定义的事件日志记录策略是不记录日志。默认情况下,它处于非活动状态。当它处于活动状态时,不会记录任何事件。
您无法修改或删除系统定义的事件日志记录策略 。
创建自定义事件日志记录策略
创建您自己的事件日志记录策略时,您可以制定规则以指定哪些用户或组、已发布的应用程序或桌面、交付组或 VDA 计算机以及 Citrix Workspace 应用程序客户端 IP 地址在会话录制期间记录了特定事件。Session Recording 策略控制台中的向导可帮助您创建规则。要获取已发布的应用程序或桌面的列表以及交付组或 VDA 计算机的列表,您必须具有作为站点管理员所拥有的读取权限。在站点的 Delivery Controller 上配置管理员读取权限。
要创建自定义事件日志记录策略 ,请执行以下操作:
-
以授权策略管理员身份登录安装了 Session Recording 策略控制台的服务器。
-
启动 Session Recording 策略控制台。 默认情况下,没有活动事件日志记录策略 。
-
在左侧窗格中选择 事件日志记录策略 。从菜单栏中,选择添加新策略以创建事件日志记录策略。
-
(可选)右键单击新的事件日志记录策略并对其重命名。
-
右键单击新的事件日志记录策略并选择添加规则。
-
通过选中每个事件类型旁边的复选框,指定一个或多个要监视的目标事件。
-
对 CDM 映射的 USB 事件记录日志:记录安装了适用于 Windows 或适用于 Mac 的 Citrix Workspace 应用程序的客户端设备中由客户端驱动器映射 (CDM) 所映射的大容量存储设备的插入,并且在录制件中标记事件。
-
对通用重定向的 USB 事件记录日志:记录安装了适用于 Windows 或适用于 Mac 的 Citrix Workspace 应用程序的客户端设备中通用重定向大容量存储设备的插入,并且在录制件中标记事件。
-
对应用程序启动事件记录日志:记录目标应用程序的启动并在录制件中标记事件。
-
对应用程序结束事件记录日志:记录目标应用程序的结束并在录制件中标记事件。
注意:
在未对应用程序启动进行日志记录的情况下,Session Recording 无法对应用程序的结束进行日志记录。因此,在“规则”向导中,在选择对应用程序启动事件记录日志之前,对应用程序结束事件记录日志复选框将处于灰显状态。
-
应用程序监视列表:当您选择对应用程序启动事件记录日志和对应用程序结束事件记录日志时,使用 应用程序监视列表可指定要监视的目标应用程序,并避免过量事件充斥在录制件中。默认情况下,不指定任何应用程序,这意味着默认情况下不会捕获任何应用程序。
注意:
- 要捕获应用程序的启动和结束,请在应用程序监视列表中添加应用程序的进程名称。例如,要捕获远程桌面连接的启动,请在应用程序监视列表中添加进程名称 mstsc.exe。向应用程序监视列表中添加进程时,所添加的进程及其子进程驱动的应用程序全部受到监视。
- 用分号 (;) 分隔进程名称。
- 仅支持精确匹配。不支持通配符。
- 添加的进程名称不区分大小写。
- 为了避免大量事件充斥在录制件中,请勿将任何系统进程名称(例如 explorer.exe)和 Web 浏览器添加到注册表中。
-
记录敏感文件事件:在录制件中记录对目标文件的操作。
-
文件监视列表:选择记录敏感文件事件时,请使用文件监视列表指定要监视的目标文件。可以指定文件夹以在其中捕获所有文件。默认情况下,不指定任何文件,这意味着默认不捕获任何文件。
注意:
- 要捕获对某个文件执行的重命名、创建、删除或移动操作,请在文件监视列表中添加该文件的文件夹的路径字符串(而非该文件的名称或该文件的文件夹根路径)。例如,要捕获对
C:\User\File
中的sharing.ppt
文件执行的重命名、创建、删除和移动操作,请在文件监视列表中添加路径字符串C:\User\File
。 - 支持本地文件路径和远程共享文件夹路径。例如,要捕获对
\\remote.address\Documents
文件夹中的 RemoteDocument.txt 文件执行的各种操作,请在文件监视列表中添加路径字符串\\remote.address\Documents
。 - 用分号 (;) 分隔监视的路径。
- 仅支持精确匹配。不支持通配符。
- 路径字符串不区分大小写。
限制:
- 无法捕获将文件或文件夹从受监视的文件夹到未受监视的文件夹。
- 当包含某个文件或文件夹名称的文件或文件夹路径的长度超过最大长度(260 个字符)时,将无法捕获对该文件或文件夹执行的操作。
- 请注意数据库大小。为防止捕获大量事件,请定期备份或删除“事件”表。
- 在时间间隔内捕获到大量事件时,将显示 Player 且数据库仅针对每个事件类型存储一个事件项以避免存储扩大。
- 要捕获对某个文件执行的重命名、创建、删除或移动操作,请在文件监视列表中添加该文件的文件夹的路径字符串(而非该文件的名称或该文件的文件夹根路径)。例如,要捕获对
-
记录 Web 浏览活动:在支持的浏览器上记录用户活动,并在录制件中标记浏览器名称、URL 和页面标题。
支持的浏览器列表:
浏览器 版本 Chrome 69 及更高版本 Internet Explorer 11 Firefox 61 及更高版本 -
记录最前面的窗口的活动:记录最前面的窗口的活动,并在录制件中标记进程名称、标题和进程编号。
-
-
选择并编辑规则条件。
与创建自定义录制策略类似,您可以选择一个或多个规则条件:用户或组、已发布的应用程序或桌面、交付组或计算机以及 IP 地址或 IP 范围。有关详细信息,请参阅创建自定义录制策略部分中的说明。
注意:
某些会话可能不符合事件日志记录策略中的任何规则条件。对于这些会话,请应用回退规则的事件日志记录操作,即始终为不记录日志。您无法修改或删除回退规则。
-
请按照向导完成配置。
-
与注册表配置的兼容性
新安装或升级 Session Recording 时,默认情况下没有可用的活动事件日志记录策略。此时,每个 Session Recording Agent 都表示 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents 下的注册表值,以确定是否记录特定事件。有关注册表值的说明,请参阅下表:
注册表值 | 说明 |
---|---|
EnableSessionEvents | 1:全局启用事件日志记录;0:全局禁用事件日志记录(默认值数据)。 |
EnableCDMUSBDriveEvents | 1:启用 CDM 映射的 USB 大容量存储设备的插入的日志记录;0:禁用 CDM 映射的 USB 大容量存储设备的插入的日志记录(默认值数据)。 |
EnableGenericUSBDriveEvents | 1:启用通用重定向 USB 大容量存储设备的插入的日志记录;0:禁用通用重定向 USB 大容量存储设备的插入的日志记录(默认值数据)。 |
EnableAppLaunchEvents | 1:启用仅应用程序启动的日志记录;2:启用应用程序启动和结束的日志记录;0:禁用应用程序启动和结束的日志记录(默认值数据)。 |
AppMonitorList | 指定要监视的目标应用程序。默认情况下,不指定任何应用程序,这意味着默认情况下不会捕获任何应用程序。 |
EnableFileOperationMonitorEvents | 1:启用日志记录文件操作;0:禁用日志记录文件操作(默认值数据)。 |
FileOperationMonitorList | 指定要监视的目标文件夹。默认情况下,不指定任何文件夹,这意味着默认不捕获任何文件操作。 |
EnableWebBrowsingActivities | 1:启用日志记录 Web 浏览活动;0:禁用日志记录 Web 浏览活动(默认值数据)。 |
下面是一些兼容方案:
-
Session Recording 1912 是新安装的或从早期不支持事件日志记录的版本(1811 之前的版本)升级的,并且每个 Session Recording Agent 上的相关注册表值均为默认值。因为默认情况下没有活动事件日志记录策略,所以不会记录任何事件。
-
如果 Session Recording 1912 是从早期支持事件日志记录且在升级之前禁用了该功能的版本(1811 之前的版本)升级的,则每个 Session Recording Agent 上的相关注册表值都将保留为默认值。因为默认情况下没有活动事件日志记录策略,所以不会记录任何事件。
-
如果 Session Recording 1912 是从早期支持事件日志记录且在升级之前部分或完全启用了该功能的版本(1811 之前的版本)升级的,则每个 Session Recording Agent 上的相关注册表值都将保留为默认值。因为默认情况下没有活动事件日志记录策略,所以事件日志记录行为保持不变。
-
如果 Session Recording 1912 是从 1811 升级的,则在策略控制台中配置的事件日志记录策略将继续使用。
警告:
在 Session Recording 策略控制台中激活系统定义的或自定义事件日志记录策略时,每个 Session Recording Agent 上的相关注册表设置将被忽略且无法再使用注册表设置进行事件日志记录。
录制件查看策略
Session Recording Player 支持基于角色的访问控制。可以在 Session Recording 策略控制台中创建录制件查看策略,并向每个策略添加多个规则。每条规则确定哪个用户或用户组可以查看来自其他用户和用户组、已发布的应用程序和桌面以及您指定的交付组和 VDA 的录制件。
创建自定义录制件查看策略
在创建录制件查看策略之前,请按如下所示启用该功能:
- 登录到托管 Session Recording Server 的计算机。
- 从开始菜单中选择 Session Recording Server 属性。
- 在 Session Recording Server 属性中,单击 RBAC 选项卡。
-
选中允许配置录制件查看策略复选框。
要创建自定义录制件查看策略,请执行以下操作:
注意: 与录制策略和事件日志记录策略不同,录制件查看策略(包括在其中添加的所有规则)在创建时立即处于活动状态。您无需将其激活。
-
以授权策略管理员身份登录安装了 Session Recording 策略控制台的服务器。
-
启动 Session Recording 策略控制台。默认情况下,没有录制件查看策略。
注意: 除非您在 Session Recording Server 属性中启用了该功能,否则录制件查看策略菜单将不可用。
-
在左侧窗格中选择录制件查看策略 。从菜单栏中,选择添加新策略以创建录制件查看策略。
-
(可选)右键单击新策略并对其重命名。
-
右键单击新策略并选择添加规则。
-
指定哪个用户或用户组可以查看来自您指定的其他用户和用户组的录制件。
注意:
在每个规则中,只能选择一个用户或用户组作为录制件观看者。如果选择多个用户或用户组,则只有最近的选择才会生效并显示在文本框中。
指定录音件观看者时,请确保已将该观看者指定给播放者角色。如果用户没有播放录制的会话所需的权限,则在尝试播放录制的会话时会收到一条错误消息。有关详细信息,请参阅向用户授权。 - 选择并编辑规则条件以指定之前指定的查看者可以查看的录制件:
- 用户或组
- 已发布的应用程序或桌面
- 交付组或计算机
注意: 如果未指定规则条件,之前指定的观看者将没有可查看的录制件。
-
请按照向导完成配置。
-
激活策略
- 以管理员身份登录安装了 Session Recording 策略控制台的计算机。
- 启动 Session Recording 策略控制台。
- 如果出现连接到 Session Recording Server窗口,请确保 Session Recording Server 名称、协议和端口正确无误。单击确定。
- 在 Session Recording 策略控制台中,根据需要展开录制策略或事件日志记录策略。
- 选择要激活的策略 。
- 从菜单栏中,选择激活策略。
修改策略
- 以管理员身份登录安装了 Session Recording 策略控制台的计算机。
- 启动 Session Recording 策略控制台。
- 如果出现连接到 Session Recording Server窗口,请确保 Session Recording Server 名称、协议和端口正确无误。单击确定。
- 在 Session Recording 策略控制台中,根据需要展开录制策略或事件日志记录策略。
- 选择要修改的策略。策略规则将显示在右侧窗格中。
- 要添加、修改或删除规则,请执行以下操作:
- 从菜单栏中,选择添加新规则。如果策略处于活动状态,系统将显示一个弹出窗口,请求您确认该操作。使用规则向导创建规则。
- 选择要修改的规则,单击鼠标右键,并选择属性。使用规则向导修改规则。
- 选择要删除的规则,单击鼠标右键,并选择删除规则。
删除策略
注意:
无法删除系统定义的策略或处于活动状态的策略。
- 以管理员身份登录安装了 Session Recording 策略控制台的计算机。
- 启动 Session Recording 策略控制台。
- 如果出现连接到 Session Recording Server窗口,请确保 Session Recording Server 名称、协议和端口正确无误。单击确定。
- 在 Session Recording 策略控制台中,根据需要展开录制策略或事件日志记录策略。
- 在左侧窗格中,选择要删除的策略。如果该策略处于活动状态,必须激活其他策略。
- 从菜单栏中,选择删除策略。
- 选择是确认该操作。
了解滚动行为
激活策略之后,之前的活动策略仍然有效,直至录制的会话结束或会话录制文件被滚动更新。文件达到最大大小时会发生滚动。有关录制件的最大文件大小的详细信息,请参阅指定录制件的文件大小。
下表详细说明了在录制会话并发生滚动更新的过程中应用新策略时会出现的情况:
如果之前的录制策略为: | 并且新的录制策略为: | 滚动更新后,录制策略将变为: |
---|---|---|
不录制 | 任何其他策略 | 不更改。仅当用户登录到新会话时新策略才生效。 |
录制但不通知 | 不录制 | 停止录制。 |
录制但不通知 | 录制并通知 | 继续录制并显示一条通知消息。 |
录制并通知 | 不录制 | 停止录制。 |
录制并通知 | 录制但不通知 | 继续录制。下次用户登录时不显示任何消息。 |