Citrix Analytics für Sicherheit

Self-Service-Suche nach Gateway

Verwenden Sie die Self-Service-Suchfunktion, um Einblicke in die Benutzerereignisse zu erhalten, die von der Citrix Gateway-Datenquelle Wenn Benutzer über Citrix Gateway auf ihre Netzwerkressourcen wie Dateiserver, Anwendungen und Websites zugreifen, werden Ereignisse für jede Benutzerverbindung generiert. Einige Beispiele für Benutzerereignisse sind wie Authentifizierungsphase, Autorisierungstyp und VPN-Sitzungscode. Citrix Analytics for Security empfängt diese Ereignisse und zeigt sie auf der Self-Service-Suchseite an. Sie können die Benutzer und ihre Zugangsdaten einsehen.

Weitere Informationen zu den Suchfunktionen finden Sie unter Self-Service-Suche.

Auswählen der Gateway-Datenquelle

Um die Gateway-Ereignisse anzuzeigen, wählen Sie im Suchfeld Gateway aus der Liste aus. Wählen Sie den Zeitraum aus, für den Sie die Ereignisse anzeigen möchten, und klicken Sie dann auf Suchen.

Wählen Sie Gateway-Datenquelle

Standardmäßig werden auf der Self-Service-Seite die Ereignisse des letzten Monats angezeigt. Die Seite bietet Ihnen auch mehrere Facetten und ein Suchfeld, um die gewünschten Ereignisse zu filtern und zu fokussieren.

Gateway-Übersichtsseite

Hinweis

Alternativ können Sie auf die Seite Self-Service-Suche nach Gateway über das Dashboard Sicherheit > Benutzer > Zugriffsübersicht zugreifen. In erfolgreichen Anmeldeszenarien können Sie über den Statuscode auf die Daten zugreifen. Weitere Informationen finden Sie im Dashboard Zugriffsübersicht.

Verwenden der Facetten zum Filtern von Ereignissen

Die Facetten werden basierend auf den Ereignissen kategorisiert, die von Ihrer Datenquelle empfangen werden. Verwenden Sie die folgenden Facetten, um Ihre Ereignisse zu filtern:

Gateway-Facetten

  • Authentifizierungsstufe: Suchen Sie Ereignisse basierend auf verschiedenen Phasen der Clientauthentifizierung, wie z. B. primäre, sekundäre und tertiäre Ereignisse.

  • Authentifizierungstyp- Suchen Sie Ereignisse basierend auf den Clientauthentifizierungstypen wie Lokal, RADIUS, LDAP, TACACS, Clientzertifikatauthentifizierung einschließlich Smartcard-Authentifizierung.

  • Device Agent- Suchen Sie Ereignisse basierend auf den Client-Geräten wie iPhone, iPad, Windows Mobile.

  • Record Type- Suchen Sie Ereignisse basierend auf den Arten von VPN-Datensätzen. Folgende VPN-Datensatztypen stehen zur Verfügung:

    Datensatztyp Beschreibung
    VPN_AI Filtert Benutzerereignisse im Zusammenhang mit Authentifizierung.
    VPN_IF Filtert Benutzerereignisse im Zusammenhang mit ICA-Datei.
    VPN_ST Filtert Benutzerereignisse im Zusammenhang mit der Sitzungsabmeldung.
  • Browser- Suche Ereignisse basierend auf den Browsern wie Internet Explorer, Chrome, Firefox, Safari.

  • Betriebssystem- Suche Ereignisse basierend auf den Client-Betriebssystemen wie Windows, Mac, Linux, Android, iOS.

  • Statuscode- Suche Ereignisse basierend auf den VPN-Statuscodes wie SSL-Umleitungsfehler, Autorisierungsfehler, Single Sign-On fehlgeschlagen.

  • Sitzungsstatus- Sucht Ereignisse basierend auf den VPN-Sitzungszuständen wie Clientstatus, Autorisierungsstatus, SSO-Status, Anwendungsbandbreitenaktualisierung.

  • Sitzungsmodus- Suchen Sie Ereignisse basierend auf den VPN-Sitzungsmodi wie Vollständiger Tunnel, ICA-Proxy, Clientless.

  • SSO-Authentifizierungsmethode- Suche Ereignisse basierend auf verschiedenen Methoden der Single Sign-On-Authentifizierung wie Basic, Digest, NTLM, Kerberos, AG basic, formularbasierte SSO.

  • Abmeldemodus- Sucht Ereignisse basierend auf den VPN-Abmeldemodi wie interne Fehlerabmeldung, Sitzungstimeout-Abmeldung, vom Benutzer initiierte Abmeldung, Administratorsitzung.

Angeben der Suchabfrage zum Filtern von Ereignissen

Platzieren Sie den Cursor in das Suchfeld, um die Liste der Dimensionen für die Gateway-Ereignisse anzuzeigen. Verwenden Sie die Dimensionen und den Betreiber, um Ihre Abfrage anzugeben und nach den erforderlichen Ereignissen zu suchen.

Gateway-Dimensionsliste

Sie möchten beispielsweise die Ereignisse für einen Benutzer “ns133” anzeigen, bei dem der VPN-Statuscode “erfolgreiche Anmeldung” lautet.

  1. Geben Sie “Benutzer” in das Suchfeld ein, um die zugehörige Dimension auszuwählen.

    Gateway-Suchanfrage 1

  2. Wählen Sie Benutzername aus und geben Sie den Wert “ns133” mit dem Gleichheitsoperator ein.

    Gateway-Suchanfrage 2

    Gateway-Suchanfrage 3

  3. Wählen Sie den Operator AND aus, und wählen Sie dann die Dimension Statuscode aus. Geben Sie die Zeichenfolge “Erfolgreiche Anmeldung” für Statuscode mit dem Gleichheitsoperator ein.

    Gateway-Suchanfrage 4

    Um die möglichen Zeichenfolgenwerte für Statuscodezu identifizieren, erweitern Sie die Liste Statuscode-Filter, und verwenden Sie den Filternamen als Zeichenfolge in Ihrer Suchanfrage.

    Statuscode-Werte

  4. Wählen Sie den Zeitraum aus, und klicken Sie auf Suchen, um die Ereignisse in der Tabelle DATA anzuzeigen.

Unterstützte Werte für Ihre Suchanfrage

Geben Sie die folgenden Werte für die Dimensionen ein, um Ihre Suchanfrage zu definieren.

Access-Insight-Flaggen

Zeigt die VPN-Sitzungsstatus an. Geben Sie einen der folgenden Flag-Werte ein:

Status der VPN-Sitzung Flag-Wert
Vor-Authentifizierung 2
Letzter oder letzter Status der nFactor (Multi-Faktor) -Authentifizierung 1
Authentifizierung posten 4

Hinweis

Dieses Flag gilt nur für die vorhergehenden VPN-Sitzungsstatus für die Authentifizierungsereignisse. Für alle anderen Ereignisse ist der Flag-Wert Null.

Anwendungen-Byte-Verbrauch

Geben Sie für die Applications-Byte-Consumption Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiele: 40, 100 Zahl Daten (in Byte), die von der Anwendung verbraucht werden, die Sie verwenden.

Authentifizierungs-Server-IP

Geben Sie für die Authentication-Servers-IP Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:10.xxx.xx.xx Zeichenfolge IP-Adresse des Authentifizierungsservers.

Authentifizierungs-Phase

Geben Sie für die Authentication-Stage Dimension den folgenden Wert ein:

Wert Typ Beschreibung
PrimarySecondary, oder Tertiary Zeichenfolge Verschiedene Phasen der Clientauthentifizierung.

Authentifizierung-Typ

Geben Sie für die Authentication-Type Dimension den folgenden Wert ein:

Wert Typ Beschreibung
LDAP,SAML, Local, Radius, TACACS, SAMLIDP, oder OTP. Zeichenfolge Authentifizieren Sie Ihre Benutzer mit einer der verfügbaren Methoden.

Backend-Server-Name

Geben Sie für die Backend-Server-Name Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:10.xxx.xxx.xx Zeichenfolge IP-Adresse des Back-End-Servers.

Browser

Geben Sie für die Browser Dimension den folgenden Wert ein:

Wert Typ Beschreibung
PN Agent, Edge, Firefox, Chrome, oder Safari. Zeichenfolge Verwendeter Browser.

Ort

Geben Sie für die City Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiele: Boston, Beijing Zeichenfolge Stadt, von wo aus sich der Benutzer angemeldet hat.

Client-IP

Geben Sie für die Client-IP Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:10.xxx.xxx.xx Zeichenfolge IP-Adresse des Benutzergeräts.

Client-IP-Typ

Geben Sie für die Client-IP-Type Dimension den folgenden Wert ein:

Wert Typ Beschreibung
öffentlich, privat Zeichenfolge Gibt an, ob die IP-Adresse des Benutzers öffentlich oder privat ist.

Hinweis

Bei den Werten wird Groß-/Kleinschreibung beachtet Geben Sie die Werte in Kleinbuchstaben ein.

Client-Port

Geben Sie für die Client-Port Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:45334 Zahl Portnummer des Benutzergeräts.

Land

Geben Sie für die Country Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiele: United States, India Zeichenfolge Land, aus dem sich der Benutzer angemeldet hat.

Hinweis

Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Land = “Vereinigt Staaten”.

Event-Typ

Geben Sie für die Event-Type Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Authentifizierung, ICA-Datei, Sitzungsabmeldung Zeichenfolge Art der Benutzerereignisse.

Gateway-FQDN

Geben Sie für die Gateway-FQDN Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:Gateway-test Zeichenfolge Domainname Ihres Citrix Gateway.

Gateway-IP

Geben Sie für die Gateway-IP Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:10.xxx.xxx.xx Zeichenfolge IP-Adresse Ihres Citrix Gateway.

Gateway-Port

Geben Sie für die Gateway-Port Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:443 Zeichenfolge Portnummer Ihres Citrix Gateway.

Abmelde-Modus

Geben Sie für die Logout-Mode Dimension den folgenden Wert ein:

Wert Typ Beschreibung
"Internal error", "Inactive time out", "User initiated logout", oder "Administrator killed session". Zeichenfolge Grund für das Timeout oder die Beendigung der VPN-Sitzung.

Hinweis

Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Logout-Modus = "Internal error".

NetScaler-IP

Geben Sie für die NetScaler-IP Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:10.xxx.xx.xx Zeichenfolge IP-Adresse Ihrer Citrix ADC Appliance.

Betriebssystem

Geben Sie für die OS Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiele: MAC_OS, WINDOWS Zeichenfolge Betriebssystem des Benutzergeräts.

Datensatztyp

Geben Sie für die Record Type Dimension den folgenden Wert ein:

Wert Typ Beschreibung
VPN_AI Zeichenfolge Zeigt Benutzerereignisse im Zusammenhang mit Authentifizierung an.
VPN_IF Zeichenfolge Zeigt Benutzerereignisse im Zusammenhang mit ICA-Datei an.
VPN_ST Zeichenfolge Zeigt Benutzerereignisse im Zusammenhang mit der Sitzungsabmeldung an.

SSO-Authentifizierungsmethode

Geben Sie für die SSO-Authentication-Method Dimension den folgenden Wert ein:

Wert Typ Beschreibung
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASIC, NSAUTH_NEGOTIATE, NSAUTH_NTLM, oder NSAUTH_BASIC. Zeichenfolge Verschiedene Methoden der Single Sign-On-Authentifizierung.

Server-IP

Geben Sie für die Server-IP Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:10.xx.xxx.xx Zeichenfolge IP-Adresse des Back-End-Servers.

Server-Port

Geben Sie für die Server-Port Dimension den folgenden Wert ein:

Wert Typ Beschreibung
Beispiel:47054 Zahl Portnummer des Back-End-Servers.

Sitzungs-Status

Geben Sie für die Session-State Dimension den folgenden Wert ein:

Wert Typ Beschreibung
"Set Client State", "Authorization State", "SSO State", und "Application Bandwidth Update" Zeichenfolge Der Status der VPN-Sitzung.

Hinweis

Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-State = "Set Client State".

Status-Code

Geben Sie für die Status-Code Dimension den folgenden Wert ein:

Wert Typ Beschreibung
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached" Zeichenfolge Der VPN-Statuscode.

Hinweis

Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-Code = "Successful login".

Benutzer-Agent

Geben Sie für die User-Agent Dimension den folgenden Wert ein:

Wert Typ Beschreibung
IPHONEIPAD, oder WINPHONE Zeichenfolge Der Agent oder das Gerät, mit dem auf das VPN zugegriffen wurde.

VPN-Session-ID

Geben Sie für die VPN-Session-ID Dimension den folgenden Wert ein:

Wert Typ Beschreibung
c2c290c61dfe4e07247bde1e22142a12 Zeichenfolge Sitzungs-ID, die vom Server für die VPN-Sitzung eines Benutzers zugewiesen wurde.

VPN-Sitzungsmodus

Geben Sie für die VPN-Session-Mode Dimension den folgenden Wert ein:

Wert Typ Beschreibung
"Full Tunnel""ICA Proxy", oder Clientless Zeichenfolge Verschiedene Modi der VPN-Sitzung eines Benutzers.

Hinweis

Schließen Sie den Wert in “” ein, wenn der Wert Leerzeichen enthält. Beispiel: Session-Code = "Full Tunnel".

Self-Service-Suche nach Gateway