Protokollieren von Ereignissen

Die Sitzungsaufzeichnung kann Ereignisse protokollieren und Ereignisse in Aufzeichnungen für die spätere Suche und Wiedergabe markieren. So können Sie mühelos nach interessanten Ereignissen aus einer großen Anzahl von Aufzeichnungen suchen und die Ereignisse während der Wiedergabe im Sitzungsaufzeichnungsplayer finden.

Protokollierbare Ereignisse

Folgende Ereignisse können von der Sitzungsaufzeichnung protokolliert werden:

  • Anschluss von USB-Massenspeichergeräten

  • Starten und Beenden von Anwendungen

  • Umbenennen, Erstellen, Löschen und Verschieben von Dateien

Anschluss von USB-Massenspeichergeräten

Die Sitzungsaufzeichnung kann das Anschließen eines per Clientlaufwerkzuordnung (CDM) zugeordneten oder generisch umgeleiteten USB-Massenspeichergeräts an ein Clientgerät protokollieren und das Ereignis in der Aufzeichnung markieren, wenn die Citrix Workspace-App für Windows oder für Mac auf dem Clientgerät installiert ist.

Hinweis:

Derzeit kann nur das Anschließen von USB-Massenspeichergeräten (USB-Klasse 08) protokolliert werden. Für eine fehlerfreie Funktion sind folgende Schritte erforderlich:

Aktualisieren Sie die Sitzungsaufzeichnung und den VDA auf Version 7.17 oder höher (wenn Sie das Feature durch Bearbeiten der Registrierung verwenden) oder

aktualisieren Sie die Komponenten der Sitzungsaufzeichnungsverwaltung und den Sitzungsaufzeichnungsagent auf Version 1811 oder höher (wenn Sie eine Ereignisprotokollierungsrichtlinie in der Richtlinienkonsole für die Sitzungsaufzeichnung konfigurieren). Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.

Starten und Beenden von Anwendungen

Die Sitzungsaufzeichnung unterstützt das Protokollieren von Starten und Beenden der Anwendung.

Hinweis

Für eine fehlerfreie Funktion sind folgende Schritte erforderlich:

Aktualisieren Sie den Sitzungsaufzeichnungsagent und den Sitzungsaufzeichnungsplayer auf Version 1808 oder höher (wenn Sie das Feature durch Bearbeiten der Registrierung verwenden) oder

aktualisieren Sie die Komponenten der Sitzungsaufzeichnungsverwaltung und den Sitzungsaufzeichnungsagent auf Version 1811 oder höher (wenn Sie eine Ereignisprotokollierungsrichtlinie in der Richtlinienkonsole für die Sitzungsaufzeichnung konfigurieren). Weitere Informationen finden Sie unter Ereignisprotokollierungsrichtlinien.

Festlegen der zu überwachenden Anwendungen über den Registrierungsfilter AppMonitorList:

  1. Melden Sie sich als Administrator bei der Maschine an, auf der Sie den Sitzungsaufzeichnungsagent installiert haben.
  2. Öffnen Sie den Registrierungs-Editor.
  3. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Fügen Sie AppMonitorList die Prozessnamen der Zielanwendungen hinzu.

    Bild von AppMonitorList

Hinweis:

  • Um das Starten oder Beenden einer Anwendung zu erfassen, fügen Sie den Prozessnamen der Anwendung AppMonitorList hinzu. Um beispielsweise den Start der Remotedesktopverbindung zu erfassen, fügen Sie AppMonitorList den Prozessnamen mstsc.exe hinzu.
  • AppMonitorList ist ein mehrteiliger Registrierungsschlüssel. Jede hinzugefügte Zeichenfolge muss in einem Zeilenumbruch enden.
  • Nur exakte Übereinstimmungen werden unterstützt. Platzhalter werden nicht unterstützt.
  • Bei Prozessnamen muss die Groß-/Kleinschreibung nicht beachtet werden.
  • Um zu vermeiden, dass zu viele Ereignisse die Aufzeichnungen überfluten, fügen Sie keine Systemprozessnamen (z. B. explorer.exe) und Webbrowser in den Registrierungseintrag ein.

Umbenennen, Erstellen, Löschen und Verschieben von Dateien

Sie können Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben von Dateien oder Unterordnern in Zielordnern protokollieren und die Ereignisse in der Aufzeichnung markieren.

Hinweis:

Damit das Feature wie erwartet funktioniert, aktualisieren Sie alle Sitzungsaufzeichnungskomponenten, wie die Komponenten zur Sitzungsaufzeichnungsverwaltung, Sitzungsaufzeichnungsagent und Sitzungsaufzeichnungsplayer, auf Version 1811 oder höher.

Auf dem Sitzungsaufzeichnungsagent wird der Registrierungsschlüssel EnableFileOperationMonitorEvents zum Aktivieren und Deaktivieren des Features hinzugefügt. Der Schlüssel ist standardmäßig auf 0 festgelegt, d. h. das Feature ist standardmäßig deaktiviert.

Hinweis:

Aktuell werden Dateivorgänge nur über Registrierungseinstellungen erfasst.

Aktivieren oder Deaktivieren der Protokollierung

Aktivieren oder Deaktivieren des Features:

  1. Melden Sie sich nach der Installation der Sitzungsaufzeichnung als Administrator an der Maschine an, auf der Sie den Sitzungsaufzeichnungsagent installiert haben.
  2. Öffnen Sie den Registrierungs-Editor.
  3. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Legen Sie den Wert von EnableSessionEvents auf 1 fest oder verwenden Sie den Standardwert 0.
    1: Ereignisprotokollierung global aktivieren
    0: Ereignisprotokollierung global deaktivieren
  5. Legen Sie den Wert von EnableFileOperationMonitorEvents auf 1 fest oder verwenden Sie den Standardwert 0.
    1: Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben von Dateien protokollieren
    0: Vorgänge zum Umbenennen, Erstellen, Löschen und Verschieben von Dateien nicht protokollieren

    Um die Protokollierung von Vorgängen zum Umbenennen, Erstellen, Löschen und Verschieben von Dateien zu aktivieren, legen Sie EnableSessionEvents und EnableFileOperationMonitorEvents auf 1 fest.

  6. Starten Sie den Sitzungsaufzeichnungsagent neu, damit die Einstellungen wirksam werden.
    Wenn Sie MCS oder PVS für die Bereitstellung verwenden, ändern Sie die Einstellungen in Ihrem Masterimage und führen Sie ein Update durch, damit Ihre Änderungen wirksam werden.

Warnung:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Festlegen von Zielordnern für die Überwachung

Sie können über den Registrierungsfilter FileOperationMonitorList Zielordner zur Überwachung angeben, um eine übermäßige Anzahl an Ereignissen in den Aufzeichnungen zu vermeiden. Standardmäßig ist kein Ordner angegeben, d. h. es wird keine Datei standardmäßig erfasst.

Führen Sie die folgenden Schritte aus, um die Ordner anzugeben, die überwacht werden sollen:

  1. Melden Sie sich als Administrator bei der Maschine an, auf der Sie den Sitzungsaufzeichnungsagent installiert haben.
  2. Öffnen Sie den Registrierungs-Editor.
  3. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Fügen Sie die Pfadzeichenfolgen für die Zielordner in FileOperationMonitorList ein.

    Bild von FileOperationMonitorList

    Hinweis:

    • Um Vorgänge zum Umbenennen, Erstellen, Löschen oder Verschieben einer Datei zu erfassen, fügen Sie die Pfadzeichenfolge des Dateiordners (nicht den Dateinamen oder den Stammpfad des Dateiordners) in FileOperationMonitorList ein. Um beispielsweise das Umbenennen, Erstellen, Löschen oder Verschieben der Datei “sharing.ppt” in “C:\User\File” zu erfassen, fügen Sie die Pfadzeichenfolge C:\User\File in FileOperationMonitorList ein.
    • Es werden Pfade für lokale Dateien und freigegebene Remoteordner unterstützt. Um beispielsweise Vorgänge in der Datei RemoteDocument.txt im Ordner \\remote.address\Documents zu erfassen, fügen Sie FileOperationMonitorList die Pfadzeichenfolge \\remote.address\Documents hinzu.
    • FileOperationMonitorList ist ein mehrteiliger Registrierungsschlüssel. Jede hinzugefügte Zeichenfolge muss in einem Zeilenumbruch enden. Die maximale Länge jeder Zeichenfolge beträgt 247 Zeichen. Längere Zeichenfolgen werden ignoriert.
    • Nur exakte Übereinstimmungen werden unterstützt. Platzhalter werden nicht unterstützt.
    • Von Ihnen hinzugefügte Pfadzeichenfolgen berücksichtigen die Groß-/Kleinschreibung nicht.
  5. Starten Sie den Sitzungsaufzeichnungsagentdienst neu, damit die Einstellungen wirksam werden.
    Wenn Sie MCS oder PVS für die Bereitstelldeployment, change the setting on your master image and perform an update to make your change take effect.

Einschränkungen

  • Das Verschieben von Dateien oder Ordnern von einem nicht überwachten lokalen Ordner in einen überwachten lokalen Ordner kann nicht erfasst werden.
  • Wenn die Länge eines Datei- oder Ordnerpfads einschließlich Datei- oder Ordnernamen die maximale Länge von 260 Zeichen überschreitet, können Datei- oder Ordnervorgänge nicht erfasst werden.
  • Achten Sie auf die Datenbankgröße, und sichern oder löschen Sie regelmäßig die Tabelle “Ereignis”, um das Erfassen zu großer Ereignismengen zu vermeiden.
  • Wenn zu viele Ereignisse im Zeitintervall erfasst werden, wird der Player angezeigt und die Datenbank speichert nur ein Ereigniselement pro Ereignistyp, um eine Speichererweiterung zu vermeiden.

Suchen nach und Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Suchen nach Aufzeichnungen mit markierten Ereignissen

Im Sitzungsaufzeichnungsplayer können Sie erweiterte Suchen nach Aufzeichnungen mit markierten Ereignissen durchführen.

  1. Klicken Sie im Sitzungsaufzeichnungsplayer auf der Symbolleiste auf Erweiterte Suche oder wählen Sie auf der Symbolleiste Extras > Erweiterte Suche.
  2. Legen Sie die Suchkriterien im Dialogfeld Erweiterte Suche fest.

Auf der Registerkarte Ereignisse können Sie markierte Ereignisse in Sitzungen nach Ereignistext und/oder nach Ereignistyp suchen. Sie können die Filter Ereignisse, Allgemein, Datum/Uhrzeit und Andere in Kombination verwenden, um nach Aufzeichnungen zu suchen, die Ihren Kriterien entsprechen.

Bild der Dateiumbenennungsprotokollsuche

Hinweis:

  • Die Liste Ereignistyp zeigt alle Ereignistypen an, die von der Citrix Sitzungsaufzeichnung protokolliert wurden. Sie können für die Suche einen beliebigen Ereignistyp auswählen. Wenn Sie Jedes von Citrix definierte Ereignis auswählen, wird nach allen Aufzeichnungen mit Ereignissen gesucht, die von der Citrix Sitzungsaufzeichnung protokolliert wurden.
  • Der Filter Ereignistext unterstützt teilweise Übereinstimmungen. Platzhalter werden nicht unterstützt.
  • Bei dem Filter Ereignistext spielt die Groß-/Kleinschreibung keine Rolle.
  • Bei den Ereignissen Citrix.EventMonitor.AppStart, Citrix.EventMonitor.AppEnd, Citrix.EventMonitor.CDMUSBDriv,Citrix.EventMonitor.FileCreate, Citrix.EventMonitor.FileDelete, Citrix.EventMonitor.FileMove und Citrix.EventMonitor.FileRename events werden die Wörter App Start, App End, Client drive mapping und File Rename nicht berücksichtigt, wenn Sie nach Ereignistext suchen. Daher wird keine Entsprechung gefunden, wenn Sie App Start, App End, Client drive mapping oder File Rename in das Feld Ereignistext eingeben.

Wiedergeben von Aufzeichnungen mit markierten Ereignissen

Wenn Sie eine Aufzeichnung mit Ereignissen wiedergeben sind die Ereignisse im Bereich Ereignisse und Textmarken sichtbar und werden im unteren Teil des Sitzungsaufzeichnungsplayers als gelbe Punkte angezeigt:

Bild von PlayBackRecordingsWithTaggedEvents

Sie können mit Ereignissen durch eine aufgezeichnete Sitzung navigieren oder zu den Punkten springen, an denen die Ereignisse markiert sind.

Version

Protokollieren von Ereignissen