Sitzungsaufzeichnung 2109

Protokollieren von Ereignissen

Die Sitzungsaufzeichnung kann Ereignisse protokollieren und Ereignisse in Aufzeichnungen für die spätere Suche und Wiedergabe markieren. So können Sie nach interessanten Ereignissen aus einer großen Anzahl von Aufzeichnungen suchen und die Ereignisse während der Wiedergabe im Sitzungsaufzeichnungsplayer finden.

Systemdefinierte Ereignisse

Folgende systemdefinierte Ereignisse, die in aufgezeichneten Sitzungen auftreten, können in der Sitzungsaufzeichnung protokolliert werden.

  • Anschluss von USB-Massenspeichergeräten

  • Starten und Beenden von Anwendungen

  • Umbenennen, Erstellen, Löschen und Verschieben von Dateien in Sitzungen und Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte)

  • Webbrowsingaktivitäten

  • Ereignisse des obersten Fensters

  • Zwischenablageaktivitäten

  • Änderungen in der Windows-Registrierung

Anschluss von USB-Massenspeichergeräten

Die Sitzungsaufzeichnung kann das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten oder generisch umgeleiteten USB-Massenspeichergeräts an einen Client protokollieren, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist. Die Sitzungsaufzeichnung kennzeichnet diese Ereignisse in der Aufzeichnung.

Hinweis:

Um ein angeschlossenes USB-Massenspeichergerät zu verwenden und die Einfügeereignisse zu protokollieren, legen Sie in Citrix Studio für die Richtlinie Client-USB-Geräteumleitung den Wert Zugelassen fest.

Derzeit kann nur das Anschließen von USB-Massenspeichergeräten (USB-Klasse 08) protokolliert werden. Weitere Informationen finden Sie unter Ereigniserkennungsrichtlinien.

Starten und Beenden von Anwendungen

Die Sitzungsaufzeichnung unterstützt das Protokollieren von Starten und Beenden der Anwendung. Wenn Sie einen Prozess in der App-Überwachungsliste hinzufügen, werden Apps überwacht, die vom hinzugefügten Prozess und seinen untergeordneten Prozessen gesteuert werden. Untergeordnete Prozesse eines Prozesses, der vor dem Ausführen der Sitzungsaufzeichnung gestartet wurde, können ebenfalls erfasst werden.

Die Sitzungsaufzeichnung fügt standardmäßig die Prozessnamen cmd.exe, powershell.exe und wsl.exe zur App-Überwachungsliste hinzu. Wenn Sie App-Startereignisse protokollieren und App-Endereignisse protokollieren für eine Ereignisprotokollierungsrichtlinie auswählen, werden Starts und Beenden der Apps Eingabeaufforderung, PowerShell und Windows-Subsystem für Linux (WSL) unabhängig davon protokolliert, ob Sie die zugehörigen Prozessnamen manuell zur App-Überwachungsliste hinzugefügt haben. Die Standardprozessnamen sind in der App-Überwachungsliste nicht sichtbar.

Darüber hinaus bietet die Sitzungsaufzeichnung eine Befehlszeile für jedes protokollierte App-Startereignis.

Start- und Endereignisse für App

Umbenennen, Erstellen, Löschen und Verschieben von Dateien in Sitzungen und Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten

Die Sitzungsaufzeichnung kann Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben in Zieldateien und -ordnern protokollieren, die Sie in der Dateiüberwachungsliste angeben. Die Sitzungsaufzeichnung kann auch Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte) protokollieren. Wenn Sie die Option Vertrauliche Dateiereignisse protokollieren auswählen, wird die Protokollierung von Dateiübertragungen ausgelöst, unabhängig davon, ob Sie die Dateiüberwachungsliste angeben. Weitere Informationen finden Sie unter Ereigniserkennungsrichtlinien.

Hinweis:

Um Drag & Drop von Dateien zu aktivieren und die Drag & Drop-Ereignisse zu erfassen, legen Sie in Citrix Studio für die Richtlinie Drag & Drop den Wert Aktiviert fest.

Webbrowsingaktivitäten

Sie können Benutzeraktivitäten in unterstützten Browsern protokollieren und die Ereignisse in der Aufzeichnung markieren. Der Browsername, die URL und der Seitentitel werden protokolliert. Ein Beispiel sehen Sie im folgenden Screenshot.

Abbildung der Webbrowsingaktivität

Wenn Sie den Cursor von einer Webseite wegbewegen, die den Fokus hat, wird Ihr Browsing auf dieser Webseite markiert, ohne den Browsernamen anzuzeigen. Dieses Feature kann verwendet werden, um zu schätzen, wie lange ein Benutzer auf einer Webseite verbleibt. Ein Beispiel sehen Sie im folgenden Screenshot.

Bild des Cursors weg von einer Webseite, die den Fokus hat

Liste der unterstützten Browser:

Browser Version
Chrome 69 und höher
Internet Explorer 11
Firefox 61 und höher

Hinweis:

Dieses Feature erfordert Sitzungsaufzeichnung Version 1906 oder höher. Weitere Informationen finden Sie unter Ereigniserkennungsrichtlinien.

Ereignisse des obersten Fensters

Die Sitzungsaufzeichnung kann die Ereignisse protokollieren, wenn das Fenster einer App sich über allen anderen befindet, und die Ereignisse des obersten Fensters in der Aufzeichnung markieren. Der Prozessname, der Titel und die Prozessnummer werden protokolliert.

Ereignisse des obersten Fensters

Zwischenablageaktivitäten

Die Sitzungsaufzeichnung kann protokollieren, wenn Text, Bilder und Dateien mithilfe der Zwischenablage kopiert werden. Beim Kopieren einer Datei werden Prozessname und Dateipfad protokolliert. Beim Kopieren eines Texts werden Prozessname und Titel protokolliert. Beim Kopieren eines Bilds wird der Prozessname protokolliert.

Hinweis: Der Inhalt kopierter Texte wird standardmäßig nicht protokolliert. Um Textinhalte zu protokollieren, rufen Sie den Sitzungsaufzeichnungsagenten auf und legen HKEY_LOCAL_MACHINE\SOFTWARE\ Citrix\SmartAuditor\Agent\CaptureClipboardContent auf 1 fest (der Standardwert ist 0).

Zwischenablagenaktivitätsereignisse

Änderungen in der Windows-Registrierung

Ab Version 2109 kann die Sitzungsaufzeichnung folgende Registrierungsänderungen erkennen und protokollieren, während Sitzungen aufgezeichnet werden:

Registrierungsänderung Entsprechendes Ereignis
Hinzufügen eines Schlüssels Registrierung erstellen
Hinzufügen eines Werts Registrierungswert festlegen
Umbenennen eines Schlüssels Registrierung umbenennen
Umbenennen eines Werts Registrierungswert löschen und Registrierungswert festlegen
Ändern eines vorhandenen Werts Registrierungswert festlegen
Löschen eines Schlüssels Registrierung löschen
Löschen eines Werts Registrierungswert löschen

Beispiel:

Registrierungsänderungsereignisse

Um diese Registrierungsüberwachungsfunktion zu aktivieren, wählen Sie die Option Registrierungsänderungen protokollieren für die Ereigniserkennungsrichtlinie. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Ereigniserkennungsrichtlinie.

Benutzerdefinierte Ereignisse

Mit der IUserApi-COM-Schnittstelle im Sitzungsaufzeichnungsagenten können Anwendungen von Drittanbietern anwendungsspezifische Ereignisdaten zu aufgezeichneten Sitzungen hinzufügen. Je nach Ereignisanpassung können vertrauliche Informationen dann in der Sitzungsaufzeichnung blockiert und Ereignisse zur Sitzungspause und Sitzungsfortsetzung entsprechend protokolliert werden.

Blockieren vertraulicher Informationen

Bei der Bildschirmaufzeichnung können Sie bestimmte Zeitabschnitte überspringen und vertrauliche Informationen, die in dieser Zeit angezeigt werden, bei der anschließenden Sitzungswiedergabe blockieren. Für diese Funktion benötigen Sie die Sitzungsaufzeichnung 2012 und höher.

Blockierter Inhalt

Führen Sie die folgenden Schritte aus, um die Funktion zu nutzen:

  1. Aktivieren Sie unter Sitzungsaufzeichnungsagent - Eigenschaften das Kontrollkästchen Anwendungen von Dritten können benutzerdefinierte Daten auf dieser VDA-Maschine aufzeichnen und klicken Sie auf Übernehmen.

    Abbildung: Anpassen von Ereignissen zulassen

  2. Gewähren Sie Benutzern die Berechtigung zum Aufrufen der Sitzungsaufzeichnungs-Ereignis-API (IUserApi-COM-Schnittstelle).

    Die Zugriffssteuerung der Ereignis-API-COM-Schnittstelle wurde der Sitzungsaufzeichnung in Version 7.15 hinzugefügt. Nur autorisierte Benutzer können mit dieser Funktionalität Ereignismetadaten in eine Aufzeichnung einfügen.

    Lokalen Administratoren wird diese Berechtigung standardmäßig erteilt. Um anderen Benutzern diese Berechtigung zu erteilen, verwenden Sie das Windows DCOM-Konfigurationstool:

    1. Öffnen Sie das Windows DCOM-Konfigurationstool im Sitzungsaufzeichnungsagenten durch Ausführen von dcomcnfg.exe.

      Abbildung: Windows DCOM-Konfigurationstool

    2. Klicken Sie mit der rechten Maustaste auf Citrix Sitzungsaufzeichnungsagent und wählen Sie Eigenschaften.

      Abbildung: Auswahl der Eigenschaften des Sitzungsaufzeichnungsagenten

    3. Wählen Sie die Registerkarte Sicherheit und klicken Sie auf Bearbeiten, um Benutzer mit der Berechtigung Lokale Aktivierung im Abschnitt Start- und Aktivierungsberechtigungen hinzuzufügen.

      Abbildung: Hinzufügen von Benutzern mit der Berechtigung "Lokale Aktivierung"

      Abbildung: Hinzufügen von Benutzern mit der Berechtigung "Lokale Aktivierung"

    Hinweis:

    Die DCOM-Konfiguration wird sofort wirksam. Es ist nicht notwendig, Dienste oder die Maschine neu zu starten.

  3. Starten Sie eine virtuelle Citrix-Sitzung.

  4. Starten Sie PowerShell und ändern Sie das aktuelle Laufwerk in den Ordner <Sitzungsaufzeichnungsagent-Installationspfad>\Bin, um das Modul SRUserEventHelperSnapin.dll zu importieren.

  5. Führen Sie die Cmdlets Session-Pause und Session-Resume aus, um Parameter festzulegen, mit denen vertrauliche Informationen blockiert werden.

    Parameter Beschreibung Erforderlich oder optional
    -APP Der App-Name, der das Cmdlet aufruft. Erforderlich
    -Reason Der Grund, warum der Inhalt blockiert wird. Wenn Sie diesen Parameter nicht festlegen, wird die Standardeinstellung angezeigt: Inhalt blockiert und Vorhandener sensibler Inhalt wird blockiert. Wenn Sie diesen Parameter festlegen, wird der von Ihnen angegebene Grund angezeigt, wenn Sie bei der Sitzungswiedergabe zum blockierten Zeitabschnitt navigieren. Optional

    Sie können beispielsweise Session-Pause ausführen, wie im folgenden Beispiel:

    Abbildung: Session-Pause ausgeführt

Suchen nach und Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Suchen nach Aufzeichnungen mit markierten Ereignissen

Im Sitzungsaufzeichnungsplayer können Sie erweiterte Suchen nach Aufzeichnungen mit markierten Ereignissen durchführen.

  1. Klicken Sie im Sitzungsaufzeichnungsplayer auf der Symbolleiste auf Erweiterte Suche oder wählen Sie auf der Symbolleiste Extras > Erweiterte Suche.
  2. Legen Sie die Suchkriterien im Dialogfeld Erweiterte Suche fest.

Auf der Registerkarte Ereignisse können Sie markierte Ereignisse in Sitzungen nach Ereignistext und nach Ereignistyp oder beiden suchen. Sie können die Filter Ereignisse, Allgemein, Datum/Uhrzeit und Andere in Kombination verwenden, um nach Aufzeichnungen zu suchen, die Ihren Kriterien entsprechen.

Erweiterte Ereignissuche

Hinweis:

  • Die Liste Ereignistyp zeigt alle Ereignistypen an, die von der Citrix Sitzungsaufzeichnung protokolliert wurden. Sie können für die Suche einen beliebigen Ereignistyp auswählen. Wenn Sie Jedes von Citrix definierte Ereignis auswählen, wird nach allen Aufzeichnungen mit Ereignissen gesucht, die von der Citrix Sitzungsaufzeichnung protokolliert wurden.
  • Der Filter Ereignistext unterstützt teilweise Übereinstimmungen. Platzhalter werden nicht unterstützt.
  • Bei dem Filter Ereignistext spielt die Groß-/Kleinschreibung keine Rolle.
  • Für den Ereignistyp werden die Wörter App Start, App End, Client drive mapping und File Rename nicht berücksichtigt, wenn Sie nach Ereignistext suchen. Daher wird keine Entsprechung gefunden, wenn Sie App Start, App End, Client drive mapping oder File Rename in das Feld Ereignistext eingeben.

Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Wenn Sie eine Aufzeichnung mit Ereignissen wiedergeben sind die Ereignisse im Bereich Ereignisse und Textmarken sichtbar und werden im unteren Teil des Sitzungsaufzeichnungsplayers als gelbe Punkte angezeigt:

Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Sie können mit Ereignissen durch eine aufgezeichnete Sitzung navigieren oder zu den Punkten springen, an denen die Ereignisse markiert sind.

Protokollieren von Ereignissen