Session Recording

Ereigniserkennungsrichtlinien konfigurieren

Die Sitzungsaufzeichnung unterstützt die zentralisierte Konfiguration von Ereigniserkennungsrichtlinien. Sie können Richtlinien in der Richtlinienkonsole für die Sitzungsaufzeichnung erstellen, um verschiedene Ereignisse zu protokollieren.

Ereignisse, die erkannt werden können

Die Sitzungsaufzeichnung erkennt gewünschte Ereignisse und markiert sie in Aufzeichnungen für die spätere Suche und Wiedergabe. So können Sie nach interessanten Ereignissen aus einer großen Anzahl von Aufzeichnungen suchen und die Ereignisse während der Wiedergabe finden.

Systemdefinierte Ereignisse

Folgende systemdefinierte Ereignisse, die in aufgezeichneten Sitzungen auftreten, können in der Sitzungsaufzeichnung erkannt und protokolliert werden.

  • Anschluss von USB-Massenspeichergeräten

  • Starten und Beenden von Anwendungen

  • App-Fehler

  • App-Installationen und -Deinstallationen

  • Umbenennen, Erstellen, Löschen und Verschieben von Dateien innerhalb von Sitzungen

  • Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte)

  • Webbrowsingaktivitäten

  • Ereignisse des obersten Fensters

  • Zwischenablageaktivitäten

  • Änderungen in der Windows-Registrierung

  • Änderungen am Benutzerkonto

  • RDP-Verbindungen

  • Leistungsdaten (mit der aufgezeichneten Sitzung verknüpfte Datenpunkte)

  • Popupfensterereignisse

Beispiel:

  • Ereignisse in einer Nur-Ereignis-Aufzeichnung, die im Webplayer wiedergegeben wird: Ereignisse in einer Nur-Event-Aufzeichnung
  • Ereignisse in einer Bildschirmaufzeichnung, die im Webplayer wiedergegeben wird: Ereignisse in einer Bildschirmaufzeichnung
  • Ereignisse im Sitzungsaufzeichnungsplayer: Ereignisse im Sitzungsaufzeichnungsplayer

    Informationen zu weiteren Ereignissen im Sitzungsaufzeichnungsplayer finden Sie in den Ereignisbeschreibungen weiter unten in diesem Artikel.

Hinweis:

Von PowerBuilder erstellte Anwendungen werden möglicherweise unerwartet beendet, wenn vorhandene aktive Richtlinien Webbrowser-Aktivitäten und Ereignisse des obersten Fensters erkennen. Erstellen Sie Ihre Anwendungen mit PowerBuilder 2019 R3, um dieses Problem zu vermeiden.

Anschluss von USB-Massenspeichergeräten

Die Sitzungsaufzeichnung kann das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten oder generisch umgeleiteten USB-Massenspeichergeräts an einen Client erkennen, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist. Die Sitzungsaufzeichnung kennzeichnet diese Ereignisse in der Aufzeichnung.

Anschließen von per CDM zugeordneten USB-Massenspeichergeräten

Hinweis:

Um ein angeschlossenes USB-Massenspeichergerät zu verwenden und die Anschlussereignisse zu erkennen, legen Sie in Citrix Studio für die Richtlinie Client-USB-Geräteumleitung den Wert Zugelassen fest.

Derzeit kann nur das Anschließen von USB-Massenspeichergeräten (USB-Klasse 08) protokolliert werden.

Starten und Beenden von Anwendungen

Die Sitzungsaufzeichnung unterstützt das Erkennen des Starts und Beenden einer Anwendung. Wenn Sie einen Prozess in der App-Überwachungsliste hinzufügen, werden Apps überwacht, die vom hinzugefügten Prozess und seinen untergeordneten Prozessen gesteuert werden. Untergeordnete Prozesse eines Prozesses, der vor dem Ausführen der Sitzungsaufzeichnung gestartet wurde, können ebenfalls erfasst werden.

Die Sitzungsaufzeichnung fügt standardmäßig die Prozessnamen cmd.exe, powershell.exe und wsl.exe zur App-Überwachungsliste hinzu. Wenn Sie App-Startereignisse protokollieren und App-Endereignisse protokollieren für eine Ereigniserkennungsrichtlinie auswählen, werden Start und Beenden der Apps “Eingabeaufforderung”, “PowerShell” und “Windows-Subsystem für Linux (WSL)” stets protokolliert, auch wenn Sie die zugehörigen Prozessnamen nicht manuell zur App-Überwachungsliste hinzugefügt haben. Die Standardprozessnamen sind in der App-Überwachungsliste nicht sichtbar.

Darüber hinaus bietet die Sitzungsaufzeichnung eine Befehlszeile für jedes protokollierte App-Startereignis.

Start- und Endereignisse für App

Anwendungsfehler

Wenn Sie App-Fehler protokollieren beim Erstellen Ihrer Ereigniserkennungsrichtlinie auswählen, erkennt die Sitzungsaufzeichnung, wenn Apps beendet werden oder nicht mehr reagieren. Die Regel App-Fehler protokollieren gilt für alle Apps.

App-Fehler

App-Installationen und -Deinstallationen

Die Regel App-Installationen und -Deinstallationen protokollieren gilt für alle Apps.

App-Installationen und -Deinstallationen

Änderungen am Benutzerkonto

Die Sitzungsaufzeichnung kann die Kontoerstellung, Aktivierung, Deaktivierung, Löschung, Namensänderungen und Kennwortänderungsversuche erkennen.

Änderungen am Benutzerkonto

RDP-Verbindungen

Die Sitzungsaufzeichnung kann die RDP-Verbindungen erkennen, die von dem VDA initiiert werden, der die aufgezeichnete Sitzung hostet.

RDP-Verbindungen

Umbenennen, Erstellen, Löschen und Verschieben von Dateien in Sitzungen und Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten

Die Sitzungsaufzeichnung kann Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben in Zieldateien und -ordnern erkennen, die Sie in der Dateiüberwachungsliste angeben. Die Sitzungsaufzeichnung kann auch Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte) erkennen. Wenn Sie die Option Vertrauliche Dateiereignisse protokollieren auswählen, wird das Erkennen von Dateiübertragungen ausgelöst, unabhängig davon, ob Sie die Dateiüberwachungsliste angeben.

Dateivorgänge

Dateiübertragungen

Hinweis:

Um Drag & Drop von Dateien zu aktivieren und die Drag & Drop-Ereignisse zu erfassen, legen Sie in Citrix Studio für die Richtlinie Drag & Drop den Wert Aktiviert fest.

Webbrowsingaktivitäten

Die Sitzungsaufzeichnung kann Benutzeraktivitäten in unterstützten Browsern erkennen und die Ereignisse in der Aufzeichnung markieren. Der Browsername, die URL und der Seitentitel werden protokolliert. Ein Beispiel sehen Sie im folgenden Screenshot.

Webbrowsingaktivitäten

Wenn Sie den Cursor von einer Webseite wegbewegen, die den Fokus hat, wird Ihr Browsing auf dieser Webseite markiert, ohne den Browsernamen anzuzeigen. Dieses Feature kann verwendet werden, um zu schätzen, wie lange ein Benutzer auf einer Webseite verbleibt. Ein Beispiel sehen Sie im folgenden Screenshot.

Cursor wegbewegen von einer Webseite, die den Fokus hat

Liste der unterstützten Browser:

  • Google Chrome
  • Microsoft Edge Chromium
  • Mozilla Firefox

Hinweis:

Dieses Feature erfordert Sitzungsaufzeichnung Version 1906 oder höher.

Ereignisse des obersten Fensters

Die Sitzungsaufzeichnung kann die Ereignisse erkennen, wenn das Fenster einer App sich über allen anderen befindet. Der Prozessname, der Titel und die Prozessnummer werden protokolliert.

Ereignisse des obersten Fensters

Zwischenablageaktivitäten

Die Sitzungsaufzeichnung kann erkennen, wenn Text, Bilder und Dateien über die Zwischenablage kopiert werden. Beim Kopieren einer Datei werden Prozessname und Dateipfad protokolliert. Beim Kopieren eines Texts werden Prozessname und Titel protokolliert. Beim Kopieren eines Bilds wird der Prozessname protokolliert.

Hinweis: Der Inhalt kopierter Texte wird standardmäßig nicht protokolliert. Um Textinhalte zu protokollieren, rufen Sie den Sitzungsaufzeichnungsagent auf und legen HKEY_LOCAL_MACHINE\SOFTWARE\ Citrix\SmartAuditor\Agent\CaptureClipboardContent auf 1 fest (der Standardwert ist 0).

Zwischenablagenaktivitätsereignisse

Änderungen in der Windows-Registrierung

Ab Version 2109 kann die Sitzungsaufzeichnung folgende Registrierungsänderungen erkennen und protokollieren, während Sitzungen aufgezeichnet werden:

Registrierungsänderung Entsprechendes Ereignis
Hinzufügen eines Schlüssels Registrierung erstellen
Hinzufügen eines Werts Registrierungswert festlegen
Umbenennen eines Schlüssels Registrierung umbenennen
Umbenennen eines Werts Registrierungswert löschen und Registrierungswert festlegen
Ändern eines vorhandenen Werts Registrierungswert festlegen
Löschen eines Schlüssels Registrierung löschen
Löschen eines Werts Registrierungswert löschen

Beispiel:

Registrierungsänderungsereignisse

Um diese Registrierungsüberwachungsfunktion zu aktivieren, wählen Sie die Option Registrierungsänderungen protokollieren für die Ereigniserkennungsrichtlinie.

Leistungsdaten (mit der aufgezeichneten Sitzung verknüpfte Datenpunkte)

Wählen Sie beim Erstellen der Ereigniserkennungsrichtlinie Leistungsdaten protokollieren aus, um das Feature zur Sitzungsdatenüberlagerung zu aktivieren. Dieses Feature ermöglicht im Webplayer eine Bildschirmüberlagerung während der Sitzungswiedergabe. Es ist eine halbtransparente Überlagerung, die Sie verschieben und ausblenden können. Die Überlagerung verfügt über die folgenden mit der aufgezeichneten Sitzung verknüpften Datenpunkte:

  • Roundtripzeit
  • Netzwerk (Senden)
  • Netzwerk (Empfangen)
  • CPU-Nutzung
  • Speichernutzung

Sitzungsdatenüberlagerung

Popupfensterereignisse

Wenn Benutzer eine Datei mit vertraulichen Daten öffnen oder schließen, oder auf einen entsprechenden Ordner zugreifen, wird möglicherweise ein Popupfenster mit Eingabeaufforderung (z. B. zu Eingabe eines Kennworts) angezeigt. Die Sitzungsaufzeichnung kann jetzt derartige Popupfensterereignisse während der Aufzeichnung von Sitzungen überwachen. Popupfenster in Webbrowsern werden nicht überwacht.

Attribute eines Popupfensterereignisses werden aufgezeichnet, einschließlich des Prozessnamens und des Inhalts der Eingabeaufforderung.

Popupfensterereignis

Benutzerdefinierte Ereignisse

Mit der IUserApi-COM-Schnittstelle im Sitzungsaufzeichnungsagent können Anwendungen von Drittanbietern anwendungsspezifische Ereignisdaten zu aufgezeichneten Sitzungen hinzufügen. Je nach Ereignisanpassung können vertrauliche Informationen dann in der Sitzungsaufzeichnung blockiert und Ereignisse zur Sitzungspause und Sitzungsfortsetzung entsprechend protokolliert werden.

Blockieren vertraulicher Informationen

Bei der Bildschirmaufzeichnung können Sie bestimmte Zeitabschnitte überspringen und vertrauliche Informationen, die in dieser Zeit angezeigt werden, bei der anschließenden Sitzungswiedergabe blockieren. Für diese Funktion benötigen Sie die Sitzungsaufzeichnung 2012 und höher.

Blockierter Inhalt

Führen Sie die folgenden Schritte aus, um die Funktion zu nutzen:

  1. Aktivieren Sie unter Sitzungsaufzeichnungsagent - Eigenschaften das Kontrollkästchen Anwendungen von Dritten können benutzerdefinierte Daten auf dieser VDA-Maschine aufzeichnen und klicken Sie auf Übernehmen.

    Anpassen von Ereignissen zulassen

  2. Gewähren Sie Benutzern die Berechtigung zum Aufrufen der Sitzungsaufzeichnungs-Ereignis-API (IUserApi-COM-Schnittstelle).

    Die Zugriffssteuerung der Ereignis-API-COM-Schnittstelle wurde der Sitzungsaufzeichnung in Version 7.15 hinzugefügt. Nur autorisierte Benutzer können mit dieser Funktionalität Ereignismetadaten in eine Aufzeichnung einfügen.

    Anmeldenutzern mit lokalen Administratorrechten wird diese Berechtigung standardmäßig erteilt. Um anderen Benutzern diese Berechtigung zu erteilen, verwenden Sie das Windows DCOM-Konfigurationstool:

    1. Führen Sie auf dem Sitzungsaufzeichnungsagent comcnfg.exe aus, um das Windows DCOM-Konfigurationstool zu öffnen.

      comcnfg.exe ausführen

      Windows DCOM-Konfigurationstool

      Wenn Sie Benutzern Berechtigungen erteilen, die keine Mitglieder der Domänenadministratorgruppe sind, und der Sitzungsaufzeichnungsagent unter Windows Server 2019 oder höher oder Windows 10 oder höher ausgeführt wird, fahren Sie mit Schritt b fort. Andernfalls überspringen Sie Schritt b und fahren Sie mit Schritt c fort.

    2. Wählen Sie im linken Navigationsbereich Konsolenstamm > Komponentendienste > Computer > Eigener Computer.

      Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und wählen Sie Eigenschaften.

      Eigener Computer – Eigenschaften

      Wählen Sie die Registerkarte COM-Sicherheit und klicken Sie auf Standard Bearbeiten, um Benutzer mit der Berechtigung Lokale Aktivierung im Abschnitt Start- und Aktivierungsberechtigungen hinzuzufügen.

      Registerkarte "COM-Sicherheit"

      Dialogfeld "Start- und Aktivierungsberechtigungen"

    3. Wählen Sie im linken Navigationsbereich Konsolenstamm > Komponentendienste > Computer > DCOM-Konfiguration.

      Windows DCOM-Konfigurationstool

      Klicken Sie mit der rechten Maustaste auf Citrix Sitzungsaufzeichnungsagent und wählen Sie Eigenschaften.

      Auswahl der Eigenschaften des Sitzungsaufzeichnungsagents

    4. Wählen Sie die Registerkarte Sicherheit und klicken Sie auf Bearbeiten, um Benutzer mit der Berechtigung Lokale Aktivierung im Abschnitt Start- und Aktivierungsberechtigungen hinzuzufügen.

      Hinzufügen von Benutzern mit der Berechtigung "Lokale Aktivierung"

      Hinzufügen von Benutzern mit der Berechtigung "Lokale Aktivierung"

    Hinweis:

    Die DCOM-Konfiguration wird sofort wirksam. Es ist nicht notwendig, Dienste oder die Maschine neu zu starten.

  3. Starten Sie eine virtuelle Citrix-Sitzung.

  4. Starten Sie PowerShell und ändern Sie das aktuelle Laufwerk in den Ordner <Installationspfad des Sitzungsaufzeichnungsagents>\Bin, um das Modul SRUserEventHelperSnapin.dll zu importieren.

  5. Führen Sie die Cmdlets Session-Pause und Session-Resume aus, um Parameter festzulegen, mit denen vertrauliche Informationen blockiert werden.

    Parameter Beschreibung Erforderlich oder optional
    -APP App-Name, der die Cmdlets Session-Pause und Session-Resume aufruft. Erforderlich
    -Reason Der Grund, warum der Inhalt blockiert wird. Wenn Sie diesen Parameter nicht festlegen, wird die Standardeinstellung angezeigt: Inhalt blockiert und Vorhandener sensibler Inhalt wird blockiert. Wenn Sie diesen Parameter festlegen, wird der von Ihnen angegebene Grund angezeigt, wenn Sie bei der Sitzungswiedergabe zum blockierten Zeitabschnitt navigieren. Dieser Parameter ist für die Cmdlets Session-Pause und Session-Resume verfügbar. Optional
    -AheadSeconds Dieser Parameter ist nur für das Cmdlet Session-Pause verfügbar. Damit können Sie die Zeitspanne für die Bildschirmaufzeichnung konfigurieren, die Sie umgehen möchten, bis vertrauliche Informationen erkannt werden. Der Standardwert ist 1 s. Optional

    Sie können beispielsweise Session-Pause ausführen, wie im folgenden Beispiel:

    Sitzungspause ausgeführt

Suchen nach und Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Suchen nach Aufzeichnungen mit markierten Ereignissen

Im Sitzungsaufzeichnungsplayer können Sie erweiterte Suchen nach Aufzeichnungen mit markierten Ereignissen durchführen.

  1. Klicken Sie im Sitzungsaufzeichnungsplayer auf der Symbolleiste auf Erweiterte Suche oder wählen Sie auf der Symbolleiste Extras > Erweiterte Suche.
  2. Legen Sie die Suchkriterien im Dialogfeld Erweiterte Suche fest.

Auf der Registerkarte Ereignisse können Sie markierte Ereignisse in Sitzungen nach Ereignistext und nach Ereignistyp oder beiden suchen. Sie können die Filter Ereignisse, Allgemein, Datum/Uhrzeit und Andere in Kombination verwenden, um nach Aufzeichnungen zu suchen, die Ihren Kriterien entsprechen.

Erweiterte Ereignissuche

Hinweis:

  • In der Liste Ereignistyp sind alle Ereignistypen aufgelistet. Sie können einen Ereignistyp für die Suche auswählen. Wenn Sie Jedes von Citrix definierte Ereignis auswählen, wird nach allen Aufzeichnungen mit Ereignissen gesucht, die von der Citrix Sitzungsaufzeichnung protokolliert wurden.
  • Der Filter Ereignistext unterstützt teilweise Übereinstimmungen. Platzhalter werden nicht unterstützt.
  • Bei dem Filter Ereignistext spielt die Groß-/Kleinschreibung keine Rolle.
  • Für den Ereignistyp werden die Wörter App Start, App End, Client drive mapping und File Rename nicht berücksichtigt, wenn Sie nach Ereignistext suchen. Daher wird keine Entsprechung gefunden, wenn Sie App Start, App End, Client drive mapping oder File Rename in das Feld Ereignistext eingeben.

Sie können mit Ereignissen durch eine aufgezeichnete Sitzung navigieren oder zu den Punkten springen, an denen die Ereignisse markiert sind.

Systemdefinierte Ereigniserkennungsrichtlinie

Die systemdefinierte Ereigniserkennungsrichtlinie ist Nicht erkennen. Sie ist standardmäßig inaktiv. Wenn sie aktiv ist, werden keine Ereignisse protokolliert.

Nicht erkennen

Sie können die systemdefinierte Ereigniserkennungsrichtlinie nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Ereigniserkennungsrichtlinie

Erstellen einer benutzerdefinierten Ereigniserkennungsrichtlinie:

  1. Melden Sie sich als autorisierter Richtlinienadministrator bei dem Server an, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist.

  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung. Standardmäßig ist keine Ereigniserkennungsrichtlinie aktiv.

  3. Wählen Sie im linken Bereich Ereigniserkennungsrichtlinien aus. Wählen Sie in der Menüleiste Neue Richtlinie hinzufügen, um eine Ereigniserkennungsrichtlinie zu erstellen.

  4. (Optional) Klicken Sie mit der rechten Maustaste auf die neue Ereigniserkennungsrichtlinie, um sie umzubenennen.

    Umbenennen einer Ereigniserkennungsrichtlinie

  5. Klicken Sie mit der rechten Maustaste auf die neue Ereigniserkennungsrichtlinie und wählen Sie Regel hinzufügen.

    1. Aktivieren Sie das Kontrollkästchen neben jedem zu überwachenden Zielereignis. Scrollen Sie im Fenster nach unten, um alle verfügbaren Ereignistypen anzuzeigen.

      Ereignistypen Teil 1 Ereignistypen Teil 2

      • CDM zugeordnete USB-Ereignisse protokollieren: Protokolliert das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten Massenspeichergeräts an einen Client, auf dem die Citrix Workspace-App für Windows oder für Mac installiert ist.

      • Generische USB-Umleitung protokollieren: Protokolliert das Anschließen eines generischen umgeleiteten Massenspeichergeräts an einen Client, auf dem die Citrix Workspace-App für Windows oder für Mac installiert ist.

      • App-Startereignisse protokollieren: Protokolliert das Starten von Zielanwendungen.

      • App-Endereignisse protokollieren: Protokolliert das Beenden von Zielanwendungen.

        Hinweis:

        Das Kontrollkästchen App-Endereignisse protokollieren ist abgeblendet, bis Sie App-Startereignisse protokollieren auswählen.

      • App-Überwachungsliste: Wenn Sie App- Startereignisse protokollieren und App-Endereignisse protokollieren auswählen, können Sie mit der App-Überwachungsliste die zu überwachenden Zielanwendungen angeben, um eine übermäßige Anzahl an Ereignissen in den Aufzeichnungen zu vermeiden.

        Hinweis:

        • Um das Starten oder Beenden einer Anwendung zu erfassen, fügen Sie den Prozessnamen der Anwendung der App-Überwachungsliste hinzu. Um beispielsweise den Start der Remotedesktopverbindung zu erfassen, fügen Sie der App-Überwachungsliste den Prozessnamen mstsc.exe hinzu. Wenn Sie in der App-Überwachungsliste einen Prozess hinzufügen, werden Anwendungen überwacht, die vom hinzugefügten Prozess und seinen untergeordneten Prozessen gesteuert werden. Die Sitzungsaufzeichnung fügt standardmäßig die Prozessnamen cmd.exe, powershell.exe und wsl.exe zur App-Überwachungsliste hinzu. Wenn Sie App-Startereignisse protokollieren und App-Endereignisse protokollieren für eine Ereigniserkennungsrichtlinie auswählen, werden Starts und Beenden der Apps Eingabeaufforderung, PowerShell und Windows-Subsystem für Linux (WSL) unabhängig davon protokolliert, ob Sie die zugehörigen Prozessnamen manuell zur App-Überwachungsliste hinzugefügt haben. Die Standardprozessnamen sind in der App-Überwachungsliste nicht sichtbar.
        • Trennen Sie Prozessnamen durch ein Semikolon (;).
        • Nur exakte Übereinstimmungen werden unterstützt. Platzhalter werden nicht unterstützt.
        • Bei Prozessnamen muss die Groß-/Kleinschreibung nicht beachtet werden.
        • Um zu vermeiden, dass zu viele Ereignisse die Aufzeichnungen überfluten, fügen Sie keine Systemprozessnamen (z. B. explorer.exe) und Webbrowser in den Registrierungseintrag ein.
      • Dateivorgänge protokollieren: Protokolliert Vorgänge für Zieldateien in der Dateiüberwachungsliste. Außerdem werden Dateiübertragungen zwischen Sitzungshosts (VDAs) und Clientgeräten protokolliert (einschließlich zugeordneter Clientlaufwerke und generisch umgeleiteter Massenspeichergeräte). Wenn Sie diese Option wählen, wird die Protokollierung von Dateiübertragungen ausgelöst, unabhängig davon, ob Sie die Dateiüberwachungsliste angeben.

        • Im Webplayer präsentierte Dateiereignisse

          Im Webplayer präsentierte Dateiereignisse

        • Im Sitzungsaufzeichnungsplayer präsentierte Dateiereignisse

          Im Sitzungsaufzeichnungsplayer präsentierte Dateiereignisse

      • Dateiüberwachungsliste: Wenn Sie Dateivorgänge protokollieren auswählen, geben Sie mit der Dateiüberwachungsliste die zu überwachenden Zieldateien an. Sie können Ordner angeben, um alle darin enthaltenen Dateien zu erfassen. Standardmäßig ist keine Datei angegeben, d. h. es wird keine Datei standardmäßig erfasst.

        Hinweis:

        • Um Vorgänge zum Umbenennen, Erstellen, Löschen oder Verschieben einer Datei zu erfassen, fügen Sie die Pfadzeichenfolge des Dateiordners (nicht den Dateinamen oder den Stammpfad des Dateiordners) in Dateiüberwachungsliste ein. Um beispielsweise das Umbenennen, Erstellen, Löschen oder Verschieben der Datei “sharing.ppt” in “C:\User\File” zu erfassen, fügen Sie die Pfadzeichenfolge C:\User\File in Dateiüberwachungsliste ein.
        • Es werden Pfade für lokale Dateien und freigegebene Remoteordner unterstützt. Um beispielsweise Vorgänge in der Datei RemoteDocument.txt im Ordner \\remote.address\Documents zu erfassen, fügen Sie Dateiüberwachungsliste die Pfadzeichenfolge \\remote.address\Documents hinzu.
        • Trennen Sie die Angaben überwachter Pfade mit Semikolons (;) voneinander ab.
        • Es werden nur exakte Übereinstimmungen unterstützt. Platzhalter werden nicht unterstützt.
        • Pfadzeichenfolgen berücksichtigen die Groß-/Kleinschreibung nicht.

        Einschränkungen:

        • Das Kopieren von Dateien oder Ordnern von einem überwachten Ordner in einen nicht überwachten Ordner kann nicht erfasst werden.
        • Wenn die Länge eines Datei- oder Ordnerpfads einschließlich Datei- oder Ordnernamen die Länge von 260 Zeichen überschreitet, werden Datei- oder Ordnervorgänge nicht erfasst.
        • Achten Sie auf die Datenbankgröße. Um zu verhindern, dass eine große Anzahl von Ereignissen erfasst wird, machen Sie regelmäßig ein Backup oder löschen die Ereignistabelle.
        • Wenn viele Ereignisse in kurzer Zeit erfasst werden, wird der Player angezeigt und die Datenbank speichert nur ein Ereignis pro Ereignistyp, um eine Speichererweiterung zu vermeiden.
      • Webbrowsingaktivitäten protokollieren: Protokolliert Benutzeraktivitäten in unterstützten Browsern und markiert den Browsernamen, die URL und den Seitentitel in der Aufzeichnung.

        Webbrowsingaktivitäten

        Liste der unterstützten Browser:

        • Google Chrome
        • Microsoft Edge Chromium
        • Mozilla Firefox
      • Ereignisse des obersten Fensters protokollieren: Protokolliert die Ereignisse im obersten Fenster und markiert den Prozessnamen, den Titel und die Prozessnummer in der Aufzeichnung.

        Ereignisse des obersten Fensters protokollieren

      • Zwischenablageaktivitäten protokollieren: Protokolliert das Kopieren von Text, Bildern und Dateien unter Verwendung der Zwischenablage. Beim Kopieren einer Datei werden Prozessname und Dateipfad protokolliert. Beim Kopieren eines Texts werden Prozessname und Titel protokolliert. Beim Kopieren eines Bilds wird der Prozessname protokolliert.

      • Registrierungsänderungen protokollieren: Protokolliert die folgenden Änderungen in der Windows-Registrierung: Schlüssel oder Wert hinzufügen, Schlüssel oder Wert umbenennen, vorhandenen Wert ändern und Schlüssel oder Wert löschen.

      • Überwachungsliste für die Registrierung: Wenn Sie Registrierungsänderungen protokollierenauswählen, geben Sie die absoluten Pfade der Registrierungen ein, die Sie überwachen möchten, und trennen Sie die Pfade durch ein Semikolon (;). Beginnen Sie einen Pfad mit HKEY_USERS, HKEY_LOCAL_MACHINE oder HKEY_CLASSES_ROOT. Sie können beispielsweise Folgendes eingeben: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows;HKEY_CLASSES_ROOT\GuestStateVDev Wenn Sie diese Liste nicht angeben, wird keine Registrierungsänderung erfasst.

      • App-Fehler protokollieren: Protokolliert unerwartete App-Abbrüche und nicht reagierende Apps. Diese Regel gilt für alle Apps.

      • Änderungen am Benutzerkonto protokollieren: Protokolliert die folgenden Änderungen am Benutzerkonto: Kontoerstellung, Aktivierung, Deaktivierung, Löschung, Sperrung, Namensänderungen und Kennwortänderungsversuche.

      • RDP-Verbindungen protokollieren: Protokolliert die RDP-Verbindungen, die von dem VDA initiiert werden, der die aufgezeichnete Sitzung hostet.

      • App-Installationen und -Deinstallationen protokollieren: Protokolliert die App-Installationen und -Deinstallationen während der aufgezeichneten Sitzung. Diese Regel gilt für alle Apps.

      • Leistungsdaten protokollieren: Aktiviert das Feature für die Sitzungsdatenüberlagerung. Aktivieren Sie dieses Kontrollkästchen, um mit der aufgezeichneten Sitzung verknüpfte Datenpunkte anzuzeigen.

      • Popupfenster protokollieren: Protokolliert Popupfenster, die angezeigt werden können, wenn Benutzer eine Datei mit vertraulichen Informationen öffnen oder schließen oder auf einen Ordner zugreifen.

    2. Wählen Sie die Regelkriterien aus, und bearbeiten Sie sie.

      Wie beim Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie können Sie eine oder mehrere Regelkriterien wählen: Benutzer oder Gruppen, Veröffentlichte Anwendungen oder Desktops, Bereitstellungsgruppen oder Maschinen sowie IP-Adresse oder IP-Bereich. Zum Abrufen der Liste der veröffentlichten Anwendungen oder Desktops sowie Bereitstellungsgruppen oder VDAs ist eine Leseberechtigung als Siteadministrator erforderlich. Konfigurieren Sie die Administrator-Leseberechtigung auf dem Delivery Controller der Site.

      Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Aufzeichnungsrichtlinien.

      Hinweis

      Einige Sitzungen erfüllen ggf. kein Regelkriterium in einer Ereigniserkennungsrichtlinie. Für diese Sitzungen gilt die Aktion der Fallbackregel, die immer Nicht erkennen ist. Sie können die Fallbackregel nicht ändern oder löschen.

    3. Folgen Sie den Anweisungen im Assistenten, um die Konfiguration abzuschließen.

      Regeleinrichtung abschließen

Wenn eine Sitzung gestartet wird, die einer Ereigniserkennungsrichtlinie entspricht, werden die Sitzungs-ID und ihre Ereignisregistrierungswerte im Sitzungsaufzeichnungsagent angezeigt. Beispiel:

Ereignisregistrierungswerte

Kompatibilität mit Registrierungskonfigurationen

Wenn die Sitzungsaufzeichnung neu installiert oder aktualisiert wurde, ist standardmäßig keine aktive Ereigniserkennungsrichtlinie verfügbar. In diesem Fall legt jeder Sitzungsaufzeichnungsagent anhand der Registrierungswerte unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents fest, ob bestimmte Ereignisse protokolliert werden. Die folgende Tabelle enthält eine Beschreibung der einzelnen Registrierungswerte:

Registrierungswert Beschreibung
EnableSessionEvents 1: Ereigniserkennung ist global aktiviert; 0: Ereigniserkennung ist global deaktiviert (Standardwert).
EnableAccountChangeEvents 1: Benutzerkontoänderungen werden erkannt; 0: Benutzerkontoänderungen werden nicht erkannt (Standardwert).
EnableAppChangeEvents 1: App-Installationen und -Deinstallationen werden erkannt; 0: App-Installationen und -Deinstallationen werden nicht erkannt (Standardwert).
EnableAppFaultEvents 1: App-Fehler werden erkannt; 0: App-Fehler werden nicht erkannt (Standardwert).
EnableAppLaunchEvents 1: Nur App-Starts werden erkannt; 2: Start und Beenden von Apps wird erkannt; 0: Start und Beenden von Apps wird nicht erkannt (Standardwert).
AppMonitorList Legt Ziel-Apps fest, die überwacht werden sollen. Standardmäßig ist keine App angegeben, d. h. es wird keine App standardmäßig erfasst.
EnableCDMUSBDriveEvents 1: Das Anschließen von per CDM zugeordneten USB-Massenspeichergeräten wird erkannt; 0: Das Anschließen von per CDM zugeordneten USB-Massenspeichergeräten wird nicht erkannt (Standardwert).
EnableClipboardEvents 1: Zwischenablageaktivitäten werden erkannt; 0: Zwischenablageaktivitäten werden nicht erkannt (Standardwert).
EnableFileOperationMonitorEvents 1: Dateivorgänge werden erkannt; 0: Dateivorgänge werden nicht erkannt (Standardwert).
FileOperationMonitorList Gibt die Zielordner an, die überwacht werden sollen. Standardmäßig ist kein Ordner angegeben, d. h. es wird kein Dateivorgang standardmäßig erfasst.
EnableGenericUSBDriveEvents 1: Das Anschließen von generischen umgeleiteten USB-Massenspeichergeräten wird erkannt; 0: Das Anschließen von generischen umgeleiteten USB-Massenspeichergeräten wird nicht erkannt (Standardwert).
EnablePerfDataEvents 1: Feature zur Sitzungsdatenüberlagerung ist aktiviert; 0: Feature zur Sitzungsdatenüberlagerung ist deaktiviert (Standardwert).
EnablePopupWindowEvents 1: Popupfensterereignisse werden erkannt; 0: Popupfensterereignisse werden nicht erkannt (Standardwert).
EnableRDPConnectionEvents 1: RDP-Verbindungen werden erkannt; 0: RDP-Verbindungen werden nicht erkannt (Standardwert).
EnableRegistryOperationMonitorEvents 1: Änderungen in der Windows-Registrierung werden erkannt; 0: Änderungen in der Windows-Registrierung werden nicht erkannt (Standardwert).
RegistryOperationMonitorList Legt Ziel-Registrierungen fest, die überwacht werden sollen. Standardmäßig ist keine Registrierung angegeben, d. h. es wird keine Registrierung standardmäßig erfasst.
EnableWebBrowsingActivities 1: Webbrowseraktivitäten werden erkannt; 0: Webbrowseraktivitäten werden nicht erkannt (Standardwert).

Dies sind einige kompatible Szenarien:

  • Wenn die Sitzungsaufzeichnung neu installiert wurde oder bei einem Upgrade von einer Version vor 1811, die die Ereigniserkennung (Protokollierung) nicht unterstützt, gelten auf jedem Sitzungsaufzeichnungsagent die Standardeinstellungen der zugehörigen Registrierungswerte. Da standardmäßig keine Ereigniserkennungsrichtlinie aktiv ist, werden keine Ereignisse protokolliert.

  • Bei einem Upgrade der Sitzungsaufzeichnung von einer Version vor 1811, bei der die Ereigniserkennung zwar unterstützt, aber vor dem Upgrade deaktiviert wurde, gelten auf jedem Sitzungsaufzeichnungsagent weiterhin die Standardeinstellungen der zugehörigen Registrierungswerte. Da standardmäßig keine Ereigniserkennungsrichtlinie aktiv ist, werden keine Ereignisse protokolliert.

  • Bei einem Upgrade der Sitzungsaufzeichnung von einer Version vor 1811, bei der die Ereigniserkennung unterstützt und vor dem Upgrade teilweise oder vollständige aktiviert wurde, gelten auf jedem Sitzungsaufzeichnungsagent weiterhin die Standardeinstellungen der zugehörigen Registrierungswerte. Da standardmäßig keine Ereigniserkennungsrichtlinie aktiv ist, ändert sich das Ereigniserkennungsverhalten nicht.

  • Wenn für die Sitzungsaufzeichnung ein Upgrade von 1811 durchgeführt wird, bleiben die in der Richtlinienkonsole konfigurierten Ereigniserkennungsrichtlinien (Protokollierung) weiterhin aktiv.

Achtung:

Wenn Sie die systemdefinierte oder eine benutzerdefinierte Ereigniserkennungsrichtlinie aktivieren, werden die entsprechenden Registrierungseinstellungen auf jedem Sitzungsaufzeichnungsagent ignoriert. In diesem Fall können Sie die Registrierungseinstellungen nicht länger für die Ereigniserkennung verwenden.

Ereigniserkennungsrichtlinien konfigurieren