Protokollieren von Ereignissen
Die Sitzungsaufzeichnung kann Ereignisse protokollieren und Ereignisse in Aufzeichnungen für die spätere Suche und Wiedergabe markieren. So können Sie nach interessanten Ereignissen aus einer großen Anzahl von Aufzeichnungen suchen und die Ereignisse während der Wiedergabe im Sitzungsaufzeichnungsplayer finden.
Systemdefinierte Ereignisse
Folgende systemdefinierte Ereignisse können in der Sitzungsaufzeichnung protokolliert werden:
-
Anschluss von USB-Massenspeichergeräten
-
Starten und Beenden von Anwendungen
-
Umbenennen, Erstellen, Löschen und Verschieben von Dateien in Sitzungen und Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte)
-
Webbrowsingaktivitäten
-
Aktivitäten im obersten Fenster
-
Zwischenablageaktivitäten
Anschluss von USB-Massenspeichergeräten
Die Sitzungsaufzeichnung kann das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten oder generisch umgeleiteten USB-Massenspeichergeräts an einen Client protokollieren, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist. Die Sitzungsaufzeichnung kennzeichnet diese Ereignisse in der Aufzeichnung.
Hinweis:
Um ein angeschlossenes USB-Massenspeichergerät zu verwenden und die Einfügeereignisse zu protokollieren, legen Sie in Citrix Studio für die Richtlinie Client-USB-Geräteumleitung den Wert Zugelassen fest.
Derzeit kann nur das Anschließen von USB-Massenspeichergeräten (USB-Klasse 08) protokolliert werden. Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.
Starten und Beenden von Anwendungen
Die Sitzungsaufzeichnung unterstützt das Protokollieren von Starten und Beenden der Anwendung. Wenn Sie einen Prozess in der App-Überwachungsliste hinzufügen, werden Apps überwacht, die vom hinzugefügten Prozess und seinen untergeordneten Prozessen gesteuert werden. Untergeordnete Prozesse eines Prozesses, der vor dem Ausführen der Sitzungsaufzeichnung gestartet wurde, können ebenfalls erfasst werden.
Die Sitzungsaufzeichnung fügt standardmäßig die Prozessnamen cmd.exe
, powershell.exe
und wsl.exe
zur App-Überwachungsliste hinzu. Wenn Sie App-Startereignisse protokollieren und App-Endereignisse protokollieren für eine Ereignisprotokollierungsrichtlinie auswählen, werden Starts und Beenden der Apps Eingabeaufforderung, PowerShell und Windows-Subsystem für Linux (WSL) unabhängig davon protokolliert, ob Sie die zugehörigen Prozessnamen manuell zur App-Überwachungsliste hinzugefügt haben. Die Standardprozessnamen sind in der App-Überwachungsliste nicht sichtbar.
Darüber hinaus bietet die Sitzungsaufzeichnung eine Befehlszeile für jedes protokollierte App-Startereignis.
Umbenennen, Erstellen, Löschen und Verschieben von Dateien in Sitzungen und Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten
Die Sitzungsaufzeichnung kann Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben in Zieldateien und -ordnern protokollieren, die Sie in der Dateiüberwachungsliste angeben. Die Sitzungsaufzeichnung kann auch Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte) protokollieren. Wenn Sie die Option Vertrauliche Dateiereignisse protokollieren auswählen, wird die Protokollierung von Dateiübertragungen ausgelöst, unabhängig davon, ob Sie die Dateiüberwachungsliste angeben. Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.
Hinweis:
Um Drag & Drop von Dateien zu aktivieren und die Drag & Drop-Ereignisse zu erfassen, legen Sie in Citrix Studio für die Richtlinie Drag & Drop den Wert Aktiviert fest.
Webbrowsingaktivitäten
Sie können Benutzeraktivitäten in unterstützten Browsern protokollieren und die Ereignisse in der Aufzeichnung markieren. Der Browsername, die URL und der Seitentitel werden protokolliert. Ein Beispiel sehen Sie im folgenden Screenshot.
Wenn Sie den Cursor von einer Webseite wegbewegen, die den Fokus hat, wird Ihr Browsing auf dieser Webseite markiert, ohne den Browsernamen anzuzeigen. Dieses Feature kann verwendet werden, um zu schätzen, wie lange ein Benutzer auf einer Webseite verbleibt. Ein Beispiel sehen Sie im folgenden Screenshot.
Liste der unterstützten Browser:
Browser | Version |
---|---|
Chrome | 69 und höher |
Internet Explorer | 11 |
Firefox | 61 und höher |
Aktivitäten im obersten Fenster
Die Sitzungsaufzeichnung kann die Aktivitäten im obersten Fenster protokollieren und die Ereignisse in der Aufzeichnung kennzeichnen. Der Prozessname, der Titel und die Prozessnummer werden protokolliert.
Zwischenablageaktivitäten
Die Sitzungsaufzeichnung kann protokollieren, wenn Text, Bilder und Dateien mithilfe der Zwischenablage kopiert werden. Beim Kopieren einer Datei werden Prozessname und Dateipfad protokolliert. Beim Kopieren eines Texts werden Prozessname und Titel protokolliert. Beim Kopieren eines Bilds wird der Prozessname protokolliert.
Hinweis: Der Inhalt kopierter Texte wird standardmäßig nicht protokolliert. Um Textinhalte zu protokollieren, rufen Sie den Sitzungsaufzeichnungsagenten auf und legen HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\SmartAuditor\Agent\CaptureClipboardContent
auf 1
fest (der Standardwert ist 0
).
Benutzerdefinierte Ereignisse
Mit der IUserApi-COM-Schnittstelle im Sitzungsaufzeichnungsagenten können Anwendungen von Drittanbietern anwendungsspezifische Ereignisdaten zu aufgezeichneten Sitzungen hinzufügen. Je nach Ereignisanpassung können vertrauliche Informationen dann in der Sitzungsaufzeichnung blockiert und Ereignisse zur Sitzungspause und Sitzungsfortsetzung entsprechend protokolliert werden.
Blockieren vertraulicher Informationen
Bei der Bildschirmaufzeichnung können Sie bestimmte Zeitabschnitte überspringen und vertrauliche Informationen, die in dieser Zeit angezeigt werden, bei der anschließenden Sitzungswiedergabe blockieren. Für diese Funktion benötigen Sie die Sitzungsaufzeichnung 2012 und höher.
Führen Sie die folgenden Schritte aus, um die Funktion zu nutzen:
-
Aktivieren Sie unter Sitzungsaufzeichnungsagent - Eigenschaften das Kontrollkästchen Anwendungen von Dritten können benutzerdefinierte Daten auf dieser VDA-Maschine aufzeichnen und klicken Sie auf Übernehmen.
-
Gewähren Sie Benutzern die Berechtigung zum Aufrufen der Sitzungsaufzeichnungs-Ereignis-API (IUserApi-COM-Schnittstelle).
Die Zugriffssteuerung der Ereignis-API-COM-Schnittstelle wurde der Sitzungsaufzeichnung in Version 7.15 hinzugefügt. Nur autorisierte Benutzer können mit dieser Funktionalität Ereignismetadaten in eine Aufzeichnung einfügen.
Lokalen Administratoren wird diese Berechtigung standardmäßig erteilt. Um anderen Benutzern diese Berechtigung zu erteilen, verwenden Sie das Windows DCOM-Konfigurationstool:
-
Öffnen Sie das Windows DCOM-Konfigurationstool im Sitzungsaufzeichnungsagenten durch Ausführen von
dcomcnfg.exe
. -
Klicken Sie mit der rechten Maustaste auf Citrix Sitzungsaufzeichnungsagent und wählen Sie Eigenschaften.
-
Wählen Sie die Registerkarte Sicherheit und klicken Sie auf Bearbeiten, um Benutzer mit der Berechtigung Lokale Aktivierung im Abschnitt Start- und Aktivierungsberechtigungen hinzuzufügen.
Hinweis:
Die DCOM-Konfiguration wird sofort wirksam. Es ist nicht notwendig, Dienste oder die Maschine neu zu starten.
-
-
Starten Sie eine virtuelle Citrix-Sitzung.
-
Starten Sie PowerShell und ändern Sie das aktuelle Laufwerk in den Ordner <Sitzungsaufzeichnungsagent-Installationspfad>\Bin, um das Modul SRUserEventHelperSnapin.dll zu importieren.
-
Führen Sie die Cmdlets
Session-Pause
undSession-Resume
aus, um Parameter festzulegen, mit denen vertrauliche Informationen blockiert werden.Parameter Beschreibung Erforderlich oder optional -APP
Der App-Name, der das Cmdlet aufruft. Erforderlich -Reason
Der Grund, warum der Inhalt blockiert wird. Wenn Sie diesen Parameter nicht festlegen, wird die Standardeinstellung angezeigt: Inhalt blockiert und Vorhandener sensibler Inhalt wird blockiert. Wenn Sie diesen Parameter festlegen, wird der von Ihnen angegebene Grund angezeigt, wenn Sie bei der Sitzungswiedergabe zum blockierten Zeitabschnitt navigieren. Optional Sie können beispielsweise
Session-Pause
ausführen, wie im folgenden Beispiel:
Suchen nach und Wiedergeben von Aufzeichnungen mit markierten Ereignissen
Suchen nach Aufzeichnungen mit markierten Ereignissen
Im Sitzungsaufzeichnungsplayer können Sie erweiterte Suchen nach Aufzeichnungen mit markierten Ereignissen durchführen.
- Klicken Sie im Sitzungsaufzeichnungsplayer auf der Symbolleiste auf Erweiterte Suche oder wählen Sie auf der Symbolleiste Extras > Erweiterte Suche.
- Legen Sie die Suchkriterien im Dialogfeld Erweiterte Suche fest.
Auf der Registerkarte Ereignisse können Sie markierte Ereignisse in Sitzungen nach Ereignistext und nach Ereignistyp oder beiden suchen. Sie können die Filter Ereignisse, Allgemein, Datum/Uhrzeit und Andere in Kombination verwenden, um nach Aufzeichnungen zu suchen, die Ihren Kriterien entsprechen.
Hinweis:
- Die Liste Ereignistyp zeigt alle Ereignistypen an, die von der Citrix Sitzungsaufzeichnung protokolliert wurden. Sie können für die Suche einen beliebigen Ereignistyp auswählen. Wenn Sie Jedes von Citrix definierte Ereignis auswählen, wird nach allen Aufzeichnungen mit Ereignissen gesucht, die von der Citrix Sitzungsaufzeichnung protokolliert wurden.
- Der Filter Ereignistext unterstützt teilweise Übereinstimmungen. Platzhalter werden nicht unterstützt.
- Bei dem Filter Ereignistext spielt die Groß-/Kleinschreibung keine Rolle.
- Für den Ereignistyp werden die Wörter
App Start
,App End
,Client drive mapping
undFile Rename
nicht berücksichtigt, wenn Sie nach Ereignistext suchen. Daher wird keine Entsprechung gefunden, wenn SieApp Start
,App End
,Client drive mapping
oderFile Rename
in das Feld Ereignistext eingeben.
Wiedergeben von Aufzeichnungen mit markierten Ereignissen
Wenn Sie eine Aufzeichnung mit Ereignissen wiedergeben sind die Ereignisse im Bereich Ereignisse und Textmarken sichtbar und werden im unteren Teil des Sitzungsaufzeichnungsplayers als gelbe Punkte angezeigt:
Sie können mit Ereignissen durch eine aufgezeichnete Sitzung navigieren oder zu den Punkten springen, an denen die Ereignisse markiert sind.