Konfigurieren von Richtlinien

Mit der Richtlinienkonsole für die Sitzungsaufzeichnung erstellen und aktivieren Sie Richtlinien, die festlegen, welche Sitzungen und welche Ereignisse in Sitzungen aufgezeichnet werden.

Ab der Version 1903 fügt die Sitzungsaufzeichnung Unterstützung für die Citrix Cloud Delivery Controller hinzu. Beim Erstellen von Sitzungsaufzeichnungs- und Ereignisprotokollierungsrichtlinien können Sie Delivery Controller sowohl aus der Citrix Cloud als auch aus On-Premises-Umgebungen angeben.

Wichtig:

Um die Richtlinienkonsole für die Sitzungsaufzeichnung zu verwenden, muss das Broker PowerShell Snap-in (Broker_PowerShellSnapIn_x64.msi) installiert sein oder das Citrix Virtual Apps and Desktops Remote PowerShell SDK (CitrixPoshSdk.exe) . Das Installationsprogramm installiert die Snap-Ins nicht automatisch. Suchen Sie das Broker PowerShell-Snap-In auf dem Citrix Virtual Apps und Desktops ISO (\layout\image- full\x64\Citrix Desktop Delivery Controller); suchen Sie das Citrix Virtual Apps and Desktops Remote PowerShell (PS) SDK auf der Citrix-Website. Folgen Sie den Anweisungen die manuelle Installation des Snap-Ins und des SDK. Anderenfalls kann es zu Fehlern kommen.

Aufzeichnungsrichtlinien

Sie können systemdefinierte Aufzeichnungsrichtlinien nach der Installation der Sitzungsaufzeichnung aktivieren oder eigene Aufzeichnungsrichtlinien erstellen und aktivieren. Systemdefinierte Richtlinien wenden eine Regel auf alle Benutzer, veröffentlichten Anwendungen und Server an. In benutzerdefinierten Aufzeichnungsrichtlinien geben Sie an, welche Benutzer, veröffentlichten Anwendungen und Server aufgezeichnet werden.  

Die aktive Aufzeichnungsrichtlinie legt fest, welche Sitzungen aufgezeichnet werden. Nur jeweils eine Aufzeichnungsrichtlinie ist aktiv.

Systemdefinierte Aufzeichnungsrichtlinien

Die Sitzungsaufzeichnung bietet die folgenden systemdefinierten Aufzeichnungsrichtlinien:

  • Nicht aufzeichnen. Die Standardrichtlinie. Wenn Sie keine andere Richtlinie festlegen, wird keine Sitzung aufgezeichnet.
  • Alle mit Benachrichtigung aufzeichnen. Bei Auswahl dieser Richtlinie werden alle Sitzungen aufgezeichnet. Ein Popupfenster wird angezeigt, um auf die Aufzeichnung hinzuweisen.
  • Alle ohne Benachrichtigung aufzeichnen. Bei Auswahl dieser Richtlinie werden alle Sitzungen aufgezeichnet. Kein Popupfenster wird angezeigt, um auf die Aufzeichnung hinzuweisen.

Sie können die systemdefinierten Aufzeichnungsrichtlinien nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie

Beim Erstellen einer eigenen Aufzeichnungsrichtlinie definieren Sie anhand von Regeln die Benutzer oder Gruppen, veröffentlichten Anwendungen oder Desktops, Bereitstellungsgruppen oder VDA-Maschinen sowie Client-IP-Adressen der Citrix Workspace-App, deren Sitzungen aufgezeichnet werden. Ein Assistent in der Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt Sie beim Erstellen der Regeln. Zum Abrufen der Liste der veröffentlichten Anwendungen oder Desktops und der Liste der Bereitstellungsgruppen oder VDA-Maschinen ist eine Leseberechtigung als Siteadministrator erforderlich. Konfigurieren Sie die Administrator-Leseberechtigung auf dem Delivery Controller der Site.

Für jede erstellte Regel geben Sie eine Aufzeichnungsaktion und Regelkriterien an. Die Aufzeichnungsaktion gilt für Sitzungen, die das Regelkriterium erfüllen.

Wählen Sie für jede Regel eine Aufzeichnungsaktion aus:

  • Nicht aufzeichnen. (Wählen Sie Sitzungsaufzeichnung deaktivieren im Assistenten für Regeln.) Diese Aufzeichnungsaktion gibt an, dass Sitzungen, die das Regelkriterium erfüllen, nicht aufgezeichnet werden.
  • Mit Benachrichtigung aufzeichnen. (Wählen Sie Sitzungsaufzeichnung mit Benachrichtigung aktivieren im Assistenten für Regeln.) Diese Aufzeichnungsaktion gibt an, dass Sitzungen, die das Regelkriterium erfüllen, aufgezeichnet werden. Ein Popupfenster wird angezeigt, um auf die Aufzeichnung hinzuweisen.
  • Ohne Benachrichtigung aufzeichnen. (Wählen Sie Sitzungsaufzeichnung ohne Benachrichtigung aktivieren im Assistenten für Regeln.) Diese Aufzeichnungsaktion gibt an, dass Sitzungen, die das Regelkriterium erfüllen, aufgezeichnet werden. Benutzer werden nicht über die Aufzeichnung informiert.

Wählen Sie für jede Regel mindestens eines der folgenden Elemente, um ein Regelkriterium zu erstellen:

  • Benutzer oder Gruppen. Erstellt eine Liste der Benutzer oder Gruppen, für die die Aktion der Regel gilt. Sitzungsaufzeichnung ermöglicht Verwenden von Active Directory-Gruppen und Positivliste der Benutzer.
  • Veröffentlichte Anwendungen oder Desktops. Erstellt eine Liste der veröffentlichten Anwendungen oder Desktops, für die die Aktion der Regel gilt. Wählen Sie im Assistenten für Regeln die Citrix Virtual Apps and Desktops-Sites aus, auf denen die Anwendungen bzw. Desktops verfügbar sind.
  • Bereitstellungsgruppen oder Maschinen. Erstellt eine Liste der Bereitstellungsgruppen oder Maschinen, für die die Aktion der Regel gilt. Wählen Sie im Assistenten für Regeln den Speicherort der Bereitstellungsgruppen oder Maschinen.
  • IP-Adresse oder IP-Bereich. Erstellt eine Liste von IP-Adressen oder IP-Adressbereichen, für die die Aktion der Regel gilt. Fügen Sie auf dem Bildschirm IP-Adresse und IP-Bereich auswählen eine gültige IP-Adresse oder einen IP-Adressbereich hinzu, für die bzw. den die Aufzeichnung aktiviert oder deaktiviert werden soll. Bei den hier genannten IP-Adressen handelt es sich um die IP-Adressen der Citrix Workspace-Apps.

Hinweis:

Die Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt das Konfigurieren mehrerer Kriterien innerhalb einer Regel. Ist eine Regel anwendbar, werden zum Berechnen der endgültigen Aktion die logischen Operatoren “AND” und “OR” verwendet. Dabei wird der Operator “OR” meist zwischen Elementen innerhalb eines Kriteriums verwendet, während der Operator “AND” zwischen separaten Kriterien zum Einsatz kommt. Wenn das Ergebnis “true” ist, führt die Engine für die Sitzungsaufzeichnungsrichtlinie die Regelaktion aus. Ansonsten wird die nächste Regel aufgerufen und der Prozess wird wiederholt.

Wenn Sie mehrere Regeln in einer Aufzeichnungsrichtlinie erstellen, können einige Sitzungen die Kriterien für mehrere Regeln erfüllen. In diesen Situationen wird die Regel mit der höchsten Priorität auf die Sitzungen angewendet.

Die Aufzeichnungsaktion einer Regel legt die Priorität fest:

  • Regeln mit der Aktion Sitzungsaufzeichnung deaktivieren haben die höchste Priorität.
  • Regeln mit der Aktion Sitzungsaufzeichnung mit Benachrichtigung aktivieren haben die nächsthöhere Priorität.
  • Regeln mit der Aktion Sitzungsaufzeichnung ohne Benachrichtigung aktivieren haben die niedrigste Priorität.

Einige Sitzungen erfüllen ggf. kein Regelkriterium in einer Aufzeichnungsrichtlinie. Für diese Sitzungen gilt die Aktion der Fallbackregel der Richtlinie. Die Aktion der Fallbackregel ist immer Nicht aufzeichnen. Sie können die Fallbackregel nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie:

  1. Melden Sie sich bei dem Server, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist, als autorisierter Richtlinienadministrator an.
  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung und wählen Sie links Aufzeichnungsrichtlinien. Klicken Sie in der Menüleiste auf Aktion > Neue Richtlinie hinzufügen.
  3. Klicken Sie mit der rechten Maustaste auf Neue Richtlinie und wählen Sie Neue Regel hinzufügen.
  4. Aufzeichnungsoption - Wählen Sie im Assistenten für Regeln die Option Sitzungsaufzeichnung deaktivieren, Sitzungsaufzeichnung mit Benachrichtigung aktivieren oder Sitzungsaufzeichnung ohne Benachrichtigung aktivieren und klicken Sie auf Weiter.
  5. Regelkriterien: Sie können ein oder mehrere Regelkriterien wählen:
    Benutzer oder Gruppen
    Veröffentlichte Anwendungen oder Desktops
    Bereitstellungsgruppen oder Maschinen
    IP-Adresse oder IP-Bereich
  6. Regelkriterium bearbeiten: Klicken Sie zum Bearbeiten auf die unterstrichenen Werte. Welche Werte unterstrichen sind, hängt von den Kriterien ab, die Sie im vorherigen Schritt ausgewählt haben.

    Hinweis:

    Bei Auswahl der Option Veröffentlichte Anwendungen oder Desktops ist die Siteadresse die IP-Adresse, eine URL oder ein Maschinenname, wenn der Controller in einem lokalen Netzwerk ist. Die Liste Name der Anwendung enthält den Anzeigenamen.

    Wenn Sie Veröffentlichte Anwendungen oder Desktops oder Bereitstellungsgruppen oder Maschinen wählen, geben Sie den Delivery Controller an mit dem die Richtlinienkonsole für die Sitzungsaufzeichnung kommunizieren soll.

    Die Richtlinienkonsole für die Sitzungsaufzeichnung ist die einzige Methode für die Kommunikation mit Delivery Controllern in der Citrix Cloud und On-Premises-Umgebungen.

    Abbildung ausgewählter Regelkriterien

    Beispiel: Klicken Sie für Bereitstellungsgruppen oder Maschinen in Schritt 3 auf den entsprechenden Hyperlink wie im Screenshot oben, und klicken Sie auf Hinzufügen, um dem Controller Abfragen hinzuzufügen.

    Abbildung: Abfrage an den Controller erstellen

    Eine Beschreibung der Anwendungsfälle für On-Premises und Citrix Cloud Delivery Controller finden Sie in der folgenden Tabelle:

    Anwendungsfall Erforderliche Aktion
    On-Premises Delivery Controller 1. Installieren Sie Broker_PowerShellSnapIn_x64.msi. 2. Deaktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
    Citrix Cloud Delivery Controller 1. Installieren Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK. 2. Überprüfen Sie die Anmeldeinformationen des Citrix Cloud-Kontos. 3. Aktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
    Wechseln von einem On-Premises-Delivery Controller zu einem Citrix Cloud Delivery Controller 1. Deinstallieren Sie Broker_PowerShellSnapIn_x64.msi und starten Sie die Maschine neu. 2. Installieren Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK. 3. Überprüfen Sie die Anmeldeinformationen des Citrix Cloud-Kontos. 4. Aktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
    Wechseln von einem Citrix Cloud -Delivery Controller zu einem On-Premises-Delivery Controller 1. Deinstallieren Sie das Citrix Virtual Apps and Desktops Remote PowerShell SDK und starten Sie die Maschine neu. 2. Installieren Sie Broker_PowerShellSnapIn_x64.msi. 3. Deaktivieren Sie das Kontrollkästchen Citrix Cloud Controller.

    Überprüfen der Anmeldeinformationen des Citrix Cloud-Kontos

    Für Abragen an Delivery Controller, die in Citrix Cloud gehostet werden, validieren Sie Ihre Citrix Cloud-Anmeldeinformationen auf der Maschine, auf der die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist. Sonst kann zu einem Fehler kommen und die Richtlinienkonsole für die Sitzungsaufzeichnung funktioniert möglicherweise nicht wie erwartet.

    Ausführen einer manuellen Überprüfung:

    1. Melden Sie sich an der Citrix Cloud-Konsole an und navigieren Sie zu Identitäts- und Zugriffsverwaltung > API-Zugriff. Erstellen Sie einen API-Zugriff Secure Client, um ein Authentifizierungsprofil zu erhalten, das die Citrix Cloud-Authentifizierungsaufforderungen umgehen kann. Laden Sie Ihren Secure Client herunter, benennen Sie ihn um und speichern Sie ihn an einem sicheren Ort. Der Dateiname wird standardmäßig auf secureclient.csv gesetzt.

      Abbildung der Überprüfung der Citrix Cloud-Anmeldeinformationen

    2. Öffnen Sie eine PowerShell-Sitzung und führen Sie den folgenden Befehl aus, damit das im vorherigen Schritt erhaltene Authentifizierungsprofil wirksam wird.

      asnp citrix.*
      Set-XDCredentials -CustomerId “citrixdemo” -SecureClientFile “c:\temp\secureclient.csv” -ProfileType CloudAPI –StoreAs “default”
      
      

      Legen Sie CustomerID und SecureClientFile nach Bedarf fest. Mit dem voranstehenden Befehl wird ein Standardauthentifizierungsprofil für den Kunden “citrixdemo” erstellt, um Authentifizierungsaufforderungen in den aktuellen und allen nachfolgenden PowerShell-Sitzungen zu umgehen.

  7. Folgen Sie dem Assistenten, um die Konfiguration abzuschließen.

Hinweis: Einschränkung für vorab gestartete Anwendungssitzungen:

  • Wenn die aktive Richtlinie versucht, einen Anwendungsnamen zuzuordnen, werden die in der vorab gestarteten Sitzung gestartete Anwendungen nicht zugeordnet, sodass die Sitzung nicht aufgezeichnet wird.
  • Wenn die aktive Richtlinie jede Anwendung aufzeichnet und der Benutzer sich bei Citrix Workspace-App für Windows anmeldet (zur gleichen Zeit, zu der die vorab gestartete Sitzung eingerichtet wird), erscheint eine Aufzeichnungsbenachrichtigung und die leere Sitzung sowie alle darin ab diesem Zeitpunkt gestarteten Anwendungen werden aufgezeichnet.

Veröffentlichen Sie als Workaround Anwendungen gemäß ihrer Aufzeichnungsrichtlinien in separaten Bereitstellungsgruppen. Verwenden Sie keine Anwendungsnamen als Aufzeichnungsbedingung. Dadurch wird sichergestellt, dass vorab gestartete Sitzungen aufgezeichnet werden können. Benachrichtigungen werden jedoch weiterhin angezeigt.

Verwenden von Active Directory-Gruppen

Beim Erstellen von Richtlinien können Sie in der Sitzungsaufzeichnung Active Directory-Gruppen verwenden. Active Directory-Gruppen statt einzelner Benutzer vereinfachen die Erstellung und Verwaltung von Regeln und Richtlinien. Beispiel: Wenn Benutzer in der Buchhaltungsabteilung des Unternehmens zur Active Directory-Gruppe “Finanz” gehören, können Sie eine Regel erstellen, die für alle Mitglieder dieser Gruppe gilt, indem Sie die Gruppe “Finanz” beim Erstellen der Regel im Assistenten für Regeln auswählen.

Positivliste der Benutzer

Sie können Richtlinien für die Sitzungsaufzeichnung erstellen, die sicherstellen, dass die Sitzungen bestimmter Benutzer im Unternehmen nie aufgezeichnet werden. Dies wird Positivliste der Benutzer genannt. Positivlisten sind nützlich für Benutzer, die mit datenschutzrelevanten Informationen umgehen oder wenn Ihre Organisation die Sitzungen einer bestimmten Mitarbeiterklasse nicht aufzeichnen möchte.

Wenn beispielsweise alle Mitglieder der Geschäftsleitung im Unternehmen zu einer Active Directory-Gruppe “Geschäftsführung” gehören, können Sie sicherstellen, dass die Sitzungen dieser Benutzer nie aufgezeichnet werden, indem Sie eine Regel erstellen, mit der die Sitzungsaufzeichnung für die Gruppe “Geschäftsführung” deaktiviert wird. Während die Richtlinie, die diese Regel enthält, aktiv ist, werden keine Sitzungen der Mitglieder der Gruppe “Geschäftsführung” aufgezeichnet. Die Sitzungen anderer Mitarbeiter im Unternehmen werden basierend auf den anderen Regeln in der aktiven Richtlinie aufgezeichnet.

Konfigurieren von Director zur Verwendung des Sitzungsaufzeichnungsservers

Sie können mit der Director-Konsole die Aufzeichnungsrichtlinien erstellen und aktivieren.

  1. Zur Verwendung einer HTTPS-Verbindung installieren Sie das Zertifikat zum Vertrauen des Sitzungsaufzeichnungsservers im Ordner mit den vertrauenswürdigen Stammzertifikaten des Director-Servers.
  2. Zum Konfigurieren des Director-Servers für die Verwendung des Sitzungsaufzeichnungsservers führen Sie den Befehl C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording aus.
  3. Geben Sie die IP-Adresse bzw. den FQDN des Sitzungsaufzeichnungsservers, die Portnummer und den Verbindungstyp (HTTP/HTTPS) für die Verbindung zwischen Sitzungsaufzeichnungsagent und Sitzungsaufzeichnungsbroker auf dem Director-Server ein.

Ereignisprotokollierungsrichtlinien

Die Sitzungsaufzeichnung unterstützt die zentralisierte Konfiguration von Ereignisprotokollierungsrichtlinien. Sie können Richtlinien in der Richtlinienkonsole für die Sitzungsaufzeichnung erstellen, um verschiedene Ereignisse zu protokollieren.

Hinweis:

Um das Einfügen von USB-Massenspeichergeräten zu protokollieren und die Anwendungssstarts und -beenden, aktualisieren Sie die Komponenten der Sitzungsaufzeichnungsverwaltung (Sitzungsaufzeichnungsdatenbank, Sitzungsaufzeichnungsserver und Richtlinienkonsole für die Sitzungsaufzeichnung) und den Sitzungsaufzeichnungsagent auf Version 1811 oder höher.
Um Dateivorgangsereignisse und Webbrowseraktivitäten zu protokollieren, aktualisieren Sie die Komponenten der Sitzungsaufzeichnungsverwaltung (Sitzungsaufzeichnungsdatenbank, Sitzungsaufzeichnungsserver und Richtlinienkonsole für die Sitzungsaufzeichnung) und den Sitzungsaufzeichnungsagent auf Version 1903 oder höher.

Systemdefinierte Ereignisprotokollierungsrichtlinie

Die systemdefinierte Ereignisprotokollierungsrichtlinie lautet Nicht protokollieren. Sie ist standardmäßig inaktiv. Wenn sie aktiv ist, werden keine Ereignisse protokolliert.

Sie können die systemdefinierte Ereignisprotokollierungsrichtlinie nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Ereignisprotokollierungsrichtlinie

Beim Erstellen einer eigenen Ereignisprotokollierungsrichtlinie definieren Sie anhand von Regeln die Benutzer oder Gruppen, veröffentlichten Anwendungen oder Desktops, Bereitstellungsgruppen oder VDA-Maschinen sowie Client-IP-Adressen der Citrix Workspace-App, für die spezielle Ereignisse während der Sitzungsaufzeichnung protokolliert werden sollen. Ein Assistent in der Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt Sie beim Erstellen der Regeln. Zum Abrufen der Liste der veröffentlichten Anwendungen oder Desktops und der Liste der Bereitstellungsgruppen oder VDA-Maschinen ist eine Leseberechtigung als Siteadministrator erforderlich. Konfigurieren Sie die Administrator-Leseberechtigung auf dem Delivery Controller der Site.

Erstellen einer benutzerdefinierten Ereignisprotokollierungsrichtlinie:

  1. Melden Sie sich bei dem Server, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist, als autorisierter Richtlinienadministrator an.

  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung. Standardmäßig ist keine Ereignisprotokollierungsrichtlinie aktiv.

    lokalisiertes Bild

  3. Wählen Sie im linken Bereich die Option Ereignisprotokollierungsrichtlinien. Klicken Sie in der Menüleiste auf Aktion > Neue Richtlinie hinzufügen, um eine Ereignisprotokollierungsrichtlinie zu erstellen.

  4. (Optional) Klicken Sie mit der rechten Maustaste auf die neue Ereignisprotokollierungsrichtlinie, um sie umzubenennen.

    Abbildung: Umbenennen einer Ereignisprotokollierungsrichtlinie

  5. Klicken Sie mit der rechten Maustaste auf die neue Ereignisprotokollierungsrichtlinie und wählen Sie Neue Regel hinzufügen.

    1. Aktivieren Sie das Kontrollkästchen neben jedem zu überwachenden Zielereignis.

      Abbildung der Ereignistypen

      • CDM zugeordnete USB-Ereignisse protokollieren: Protokolliert das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten Massenspeichergeräts an ein Clientgerät und markiert das Ereignis in der Aufzeichnung, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist.

      • Generische umgeleitete USB-Ereignisse protokollieren: Protokolliert das Anschließen eines generischen umgeleiteten Massenspeichergeräts an ein Clientgerät und markiert das Ereignis in der Aufzeichnung, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist.

      • App-Startereignisse protokollieren: Protokolliert das Starten von Zielanwendungen und markiert das Ereignis in der Aufzeichnung.

      • App-Endereignisse protokollieren: Protokolliert das Beenden von Zielanwendungen und markiert das Ereignis in der Aufzeichnung.

        Hinweis:

        Die Sitzungsaufzeichnung kann das Beenden einer Anwendung nur protokollieren, wenn auch der Start erfasst wurde. Daher ist im Assistenten für Regeln das Kontrollkästchen App-Endereignisse protokollieren abgeblendet, bis Sie App-Startereignisse protokollieren auswählen.

      • App-Überwachungsliste: Wenn Sie App- Startereignisse protokollieren und App-Endereignisse protokollieren auswählen, können Sie mit der App-Überwachungsliste die zu überwachenden Zielanwendungen angeben, um eine übermäßige Anzahl an Ereignissen in den Aufzeichnungen zu vermeiden. Standardmäßig ist keine Anwendung angegeben, d. h. es wird keine Anwendung standardmäßig erfasst.

        Hinweis:

        • Um das Starten oder Beenden einer Anwendung zu erfassen, fügen Sie den Prozessnamen der Anwendung der App-Überwachungsliste hinzu. Um beispielsweise den Start der Remotedesktopverbindung zu erfassen, fügen Sie der App-Überwachungsliste den Prozessnamen “mstsc.exe” hinzu.
        • Trennen Sie Prozessnamen durch ein Semikolon (;).
        • Nur exakte Übereinstimmungen werden unterstützt. Platzhalter werden nicht unterstützt.
        • Bei Prozessnamen muss die Groß-/Kleinschreibung nicht beachtet werden.
        • Um zu vermeiden, dass zu viele Ereignisse die Aufzeichnungen überfluten, fügen Sie keine Systemprozessnamen (z. B. explorer.exe) und Webbrowser in den Registrierungseintrag ein.
      • Protokolldateivorgangseignisse: Protokolliert die Vorgänge für Zieldateien in der Aufzeichnung.

      • Dateiüberwachungsliste: Wenn Sie Vertrauliche Dateiereignisse protokollieren wählen, geben Sie mit der Dateiüberwachungsliste die zu überwachenden Zieldateien an. Sie können Ordner angeben, um alle darin enthaltenen Dateien zu erfassen. Standardmäßig ist keine Datei angegeben, d. h. es wird keine Datei standardmäßig erfasst.

        Hinweis:

        • Um Vorgänge zum Umbenennen, Erstellen, Löschen oder Verschieben einer Datei zu erfassen, fügen Sie die Pfadzeichenfolge des Dateiordners (nicht den Dateinamen oder den Stammpfad des Dateiordners) in FileOperationMonitorList ein. Um beispielsweise das Umbenennen, Erstellen, Löschen oder Verschieben der Datei “sharing.ppt” in “C:\User\File” zu erfassen, fügen Sie die Pfadzeichenfolge C:\User\File in FileOperationMonitorList ein.
        • Es werden Pfade für lokale Dateien und freigegebene Remoteordner unterstützt. Um beispielsweise Vorgänge in der Datei RemoteDocument.txt im Ordner \\remote.address\Documents zu erfassen, fügen Sie FileOperationMonitorList die Pfadzeichenfolge \\remote.address\Documents hinzu.
        • FileOperationMonitorList ist ein mehrteiliger Registrierungsschlüssel. Jede hinzugefügte Zeichenfolge muss in einem Zeilenumbruch enden. Die maximale Länge jeder Zeichenfolge beträgt 247 Zeichen. Längere Zeichenfolgen werden ignoriert.
        • Es werden nur exakte Übereinstimmungen unterstützt. Platzhalter werden nicht unterstützt.
        • Pfadzeichenfolgen berücksichtigen die Groß-/Kleinschreibung nicht.

        Einschränkungen:

        • Das Verschieben von Dateien oder Ordnern von einem nicht überwachten lokalen Ordner in einen überwachten lokalen Ordner kann nicht erfasst werden.
        • Wenn die Länge eines Datei- oder Ordnerpfads einschließlich Datei- oder Ordnernamen die maximale Länge von 260 Zeichen überschreitet, können Datei- oder Ordnervorgänge nicht erfasst werden.
        • Achten Sie auf die Datenbankgröße. Um zu verhindern, dass eine große Anzahl von Ereignissen erfasst wird, machen Sie regelmäßig ein Backup oder löschen die Ereignistabelle.
        • Wenn viele Ereignisse im Zeitintervall erfasst werden, wird der Player angezeigt und die Datenbank speichert nur ein Ereigniselement pro Ereignistyp, um eine Speichererweiterung zu vermeiden.
      • Browserverwendungsereignisse protokollieren: Protokolliert Benutzeraktivitäten in unterstützten Browsern und markiert den Browsernamen, die URL und den Seitentitel in der Aufzeichnung.

        Abbildung der Bild der Webbrowsingaktivität

        Liste der unterstützten Browser:

        Browser Version Sprachanforderungen
        Chrome 69 und höher Englisch
        Internet Explorer 11 Englisch
        Firefox 61 und später Englisch

        Hinweis:

        Nur die englischen Versionen der aufgelisteten Browser können erfasst werden.

    2. Wählen Sie die Regelkriterien aus, und bearbeiten Sie sie.

      Wie beim Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie können Sie eine oder mehrere Regelkriterien wählen: Benutzer oder Gruppen, Veröffentlichte Anwendungen oder Desktops, Bereitstellungsgruppen oder Maschinen sowie IP-Adresse oder IP-Bereich. Weitere Informationen finden Sie in den Anweisungen unter Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie.

      Hinweis

      Einige Sitzungen erfüllen ggf. kein Regelkriterium in einer Ereignisprotokollierungsrichtlinie. Für diese Sitzungen gilt die Ereignisprotokollierungsaktion der Fallbackregel, die immer Nicht protokollieren lautet. Sie können die Fallbackregel nicht ändern oder löschen.

    3. Folgen Sie den Anweisungen im Assistenten, um die Konfiguration abzuschließen.

      Abbildung der vollständigen Regeleinrichtung

Kompatibilität mit Registrierungskonfigurationen

Wenn die Sitzungsaufzeichnung neu installiert oder aktualisiert wurde, ist standardmäßig keine aktive Ereignisprotokollierungsrichtlinie verfügbar. Jeder Sitzungsaufzeichnungsagent legt anhand der Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents fest, ob bestimmte Ereignisse protokolliert werden sollen. Die folgende Tabelle enthält eine Beschreibung der einzelnen Registrierungsschlüssel:

Registrierungsschlüssel Beschreibung
EnableSessionEvents 1: Ereignisprotokollierung ist global aktiviert; 0: Ereignisprotokollierung ist global deaktiviert (Standardwert)
EnableCDMUSBDriveEvents 1: Das Anschließen von per CDM zugeordneten USB-Massenspeichergeräten wird protokolliert; 0: Das Anschließen von per CDM zugeordneten USB-Massenspeichergeräten wird nicht protokolliert (Standardwert)
EnableGenericUSBDriveEvents 1: Das Anschließen von generischen umgeleiteten USB-Massenspeichergeräten wird protokolliert; 0: Das Anschließen von generischen umgeleiteten USB-Massenspeichergeräten wird nicht protokolliert (Standardwert)
EnableAppLaunchEvents 1: Nur Anwendungsstarts werden protokolliert; 2: Start und Ende von Anwendungen werden protokolliert; 0: Start und Ende von Anwendungen werden nicht protokolliert (Standardwert)
AppMonitorList Legt Zielanwendungen für die Überwachung fest. Standardmäßig ist keine Anwendung angegeben, d. h. es wird keine Anwendung standardmäßig erfasst.
EnableFileOperationMonitorEvents 1: Aktiviert die Protokollierung von Dateivorgängen; 0: Dektiviert die Protokollierung von Dateivorgängen (Standardwert).
FileOperationMonitorList Gibt die Zielordner an, die überwacht werden sollen. Standardmäßig ist kein Ordner angegeben, d. h. es wird kein Dateivorgang standardmäßig erfasst.
EnableBrowserUsageEvents 1: Aktiviert die Protokollierung von Webbrowseraktivitäten; 0: Deaktiviert die Protokollierung von Webbrowseraktivitäten (Standardwert).

Dies sind einige kompatible Szenarien:

  • Die Sitzungsaufzeichnung 1903 wird neu installiert oder von einer früheren Version (vor 1811) ohne Unterstützung der Ereignisprotokollierung aktualisiert. Auf jedem Sitzungsaufzeichnungsagent gelten die Standardwerte der zugehörigen Registrierungsschlüssel. Da standardmäßig keine Ereignisprotokollierungsrichtlinie aktiv ist, werden keine Ereignisse protokolliert.

  • Wenn die Sitzungsaufzeichnung 1903 von einer früheren Version (vor 1811) aktualisiert wurde, bei der die Ereignisprotokollierung zwar unterstützt, aber vor dem Upgrade deaktiviert wurde, gelten auf jedem Sitzungsaufzeichnungsagent weiterhin die Standardwerte der zugehörigen Registrierungsschlüssel. Da standardmäßig keine Ereignisprotokollierungsrichtlinie aktiv ist, werden keine Ereignisse protokolliert.

  • Wenn die Sitzungsaufzeichnung 1903 von einer früheren Version (vor 1811) aktualisiert wurde, bei der die Ereignisprotokollierung unterstützt und vor dem Upgrade teilweise oder vollständig aktiviert wurde, gelten auf jedem Sitzungsaufzeichnungsagent weiterhin dieselben Werte der zugehörigen Registrierungsschlüssel. Da standardmäßig keine Ereignisprotokollierungsrichtlinie aktiv ist, ändert sich das Protokollierungsverhalten nicht.

  • Wenn für die Sitzungsaufzeichnung 1903 ein Upgrade von 1811 durchgeführt wird, bleiben die in der Richtlinienkonsole konfigurierten Ereignisprotokollierungsrichtlinien weiterhin aktiv.

Achtung:

Wenn Sie die systemdefinierte oder eine benutzerdefinierte Ereignisprotokollierungsrichtlinie in der Richtlinienkonsole für die Sitzungsaufzeichnung aktivieren, werden die entsprechenden Registrierungseinstellungen auf jedem Sitzungsaufzeichnungsagent ignoriert und können nicht länger für die Ereignisprotokollierung verwendet werden.

Aktivieren einer Richtlinie

  1. Melden Sie sich als Administrator bei der Maschine an, auf der Sie die Richtlinienkonsole für die Sitzungsaufzeichnung installiert haben.
  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung.
  3. Wenn das Dialogfeld Mit Sitzungsaufzeichnungsserver verbinden angezeigt wird, stellen Sie sicher, dass der Name des Sitzungsaufzeichnungsservers, das Protokoll und der Port richtig sind. Klicken Sie auf OK.
  4. Erweitern Sie in der Richtlinienkonsole für die Sitzungsaufzeichnung je nach Bedarf Aufzeichnungsrichtlinien oder Ereignisprotokollierungsrichtlinien.
  5. Wählen Sie die zu aktivierende Richtlinie.
  6. Klicken Sie im Menü auf Aktion > Richtlinie aktivieren.

Ändern von Richtlinien

  1. Melden Sie sich als Administrator bei der Maschine an, auf der Sie die Richtlinienkonsole für die Sitzungsaufzeichnung installiert haben.
  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung.
  3. Wenn das Dialogfeld Mit Sitzungsaufzeichnungsserver verbinden angezeigt wird, stellen Sie sicher, dass der Name des Sitzungsaufzeichnungsservers, das Protokoll und der Port richtig sind. Klicken Sie auf OK.
  4. Erweitern Sie in der Richtlinienkonsole für die Sitzungsaufzeichnung je nach Bedarf Aufzeichnungsrichtlinien oder Ereignisprotokollierungsrichtlinien.
  5. Wählen Sie die Richtlinie aus, die Sie ändern möchten. Die Regeln für die Richtlinie werden im rechten Bereich angezeigt.
  6. Hinzufügen, Ändern und Löschen von Regeln:
    • Klicken Sie in der Menüleiste auf Aktion > Neue Regel hinzufügen. Wenn die Richtlinie aktiv ist, werden Sie in einem Popupfenster zum Bestätigen der Aktion aufgefordert. Erstellen Sie mit dem Assistenten für Regeln eine Regel.
    • Markieren Sie die Regel, die Sie ändern möchten, klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften. Ändern Sie die Regel mit dem Assistenten für Regeln.
    • Markieren Sie die Regel, die Sie löschen möchten, klicken Sie mit der rechten Maustaste und wählen Sie Regel löschen.

Löschen von Richtlinien

Hinweis:

Eine systemdefinierte oder aktive Richtlinie kann nicht gelöscht werden.

  1. Melden Sie sich als Administrator bei der Maschine an, auf der Sie die Richtlinienkonsole für die Sitzungsaufzeichnung installiert haben.
  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung.
  3. Wenn das Dialogfeld Mit Sitzungsaufzeichnungsserver verbinden angezeigt wird, stellen Sie sicher, dass der Name des Sitzungsaufzeichnungsservers, das Protokoll und der Port richtig sind. Klicken Sie auf OK.
  4. Erweitern Sie in der Richtlinienkonsole für die Sitzungsaufzeichnung je nach Bedarf Aufzeichnungsrichtlinien oder Ereignisprotokollierungsrichtlinien.
  5. Wählen Sie im linken Bereich die Richtlinie aus, die Sie löschen möchten. Wenn die Richtlinie aktiv ist, müssen Sie eine andere aktivieren.
  6. Klicken Sie im Menü auf Aktion > Richtlinie löschen.
  7. Klicken Sie auf Ja, um die Aktion zu bestätigen.

Grundlegendes zu Rollover

Wenn Sie eine Richtlinie aktivieren, bleibt die zuvor aktive Richtlinie so lange in Kraft, bis die aufgezeichnete Sitzung endet oder ein Rollover der Sitzungsaufzeichnungsdatei erfolgt. Ein Dateirollover tritt auf, wenn die maximale Größe erreicht wird. Weitere Informationen zur maximalen Dateigröße für Aufzeichnungen finden Sie unter Angeben der Dateigröße für Aufzeichnungen.

In der folgenden Tabelle werden die Vorgänge beschrieben, die beim Anwenden einer neuen Aufzeichnungsrichtlinie auftreten, während eine Sitzung aufgezeichnet wird und ein Rollover erfolgt:

Vorherige Aufzeichnungsrichtlinie: Neue Aufzeichnungsrichtlinie: Aufzeichnungsrichtlinie nach Rollover:
Nicht aufzeichnen Jede andere Richtlinie Keine Änderung. Die neue Richtlinie wird nur gültig, wenn sich der Benutzer an einer neuen Sitzung anmeldet.
Ohne Benachrichtigung aufzeichnen Nicht aufzeichnen Aufzeichnung wird gestoppt.
Ohne Benachrichtigung aufzeichnen Mit Benachrichtigung aufzeichnen Aufzeichnung wird fortgesetzt, und eine Benachrichtigung wird angezeigt.
Mit Benachrichtigung aufzeichnen Nicht aufzeichnen Aufzeichnung wird gestoppt.
Mit Benachrichtigung aufzeichnen Ohne Benachrichtigung aufzeichnen Aufzeichnung wird fortgesetzt. Bei der nächsten Anmeldung des Benutzers wird keine Meldung angezeigt.