Citrix Analytics para seguridad

Búsqueda de autoservicio para Gateway

Utilice la función de búsqueda de autoservicio para obtener información sobre los eventos de usuario recibidos del origen de datos de Citrix Gateway. Cuando los usuarios acceden a sus recursos de red, como servidores de archivos, aplicaciones y sitios web a través de Citrix Gateway, se generan eventos para cada conexión de usuario. Algunos ejemplos de eventos de usuario son tales como la fase de autenticación, el tipo de autorización y el código de sesión VPN. Citrix Analytics for Security recibe estos eventos y los muestra en la página de búsqueda de autoservicio. Puede ver los usuarios y sus detalles de acceso.

Para obtener más información sobre las funcionalidades de búsqueda, consulte Búsqueda de autoservicio.

Seleccionar el origen de datos de la puerta de enlace

Para ver los eventos de puerta de enlace, en el cuadro de búsqueda, seleccione Puerta de enlace en la lista. Seleccione el período de tiempo para el que quiere ver los eventos y, a continuación, haga clic en Buscar.

Seleccionar origen de datos de puerta de enlace

De forma predeterminada, la página de autoservicio muestra los eventos del último mes. La página también le proporciona varias facetas y un cuadro de búsqueda para filtrar y centrarse en los eventos requeridos.

Página de información general de la puerta de enlace

Nota

También puede acceder a la página Búsqueda de autoservicio de puerta de enlace desde el panel Seguridad > Usuarios > Resumen de acceso. En escenarios de inicio de sesión correctos, puede acceder a los datos por el código de estado. Para obtener más información, consulte elResumen de accesopanel.

Usar las facetas para filtrar eventos

Las facetas se clasifican en función de los eventos recibidos del origen de datos. Utilice las siguientes facetas para filtrar sus eventos:

Facetas de puerta de enlace

  • Etapa de autenticación: Busque eventos basados en diferentes etapas de autenticación de cliente, como primaria, secundaria y terciaria.

  • Tipo de autenticación: Buscar eventos basados en los tipos de autenticación de cliente, como Local, RADIUS, LDAP, TACACS, autenticación de certificados de cliente, incluida la autenticación de tarjeta inteligente.

  • Device Agent: Busque eventos basados en los dispositivos cliente como iPhone, iPad, Windows Mobile.

  • Tipo de registro: busca eventos según los tipos de registros VPN. Los siguientes tipos de registros VPN están disponibles:

    Tipo de registro Descripción
    VPN_AI Filtra los eventos de usuario relacionados con la autenticación.
    VPN_IF Filtra los eventos de usuario relacionados con el archivo ICA.
    VN_ST Filtra los eventos de usuario relacionados con el cierre de sesión.
  • Explorador: Busque eventos basados en los exploradores como Internet Explorer, Chrome, Firefox, Safari.

  • OS: Busque eventos basados en los sistemas operativos cliente como Windows, Mac, Linux, Android, iOS.

  • Código de estado: Buscar eventos basados en los códigos de estado de VPN, como error de respuesta de redirección SSL, error de autorización, error de inicio de sesión único.

  • Estado de la sesión: Busque eventos basados en los estados de la sesión VPN, como el estado del cliente, el estado de autorización, el estado de SSO, la actualización del ancho de banda de la aplicación.

  • Modo de sesión: Busque eventos basados en los modos de sesión VPN, como túnel completo, proxy ICA, sin cliente.

  • Método de autenticación SSO: Busque eventos basados en diferentes métodos de autenticación de inicio de sesión único, como basic, digest, NTLM, Kerberos, AG basic, SSO basado en formularios.

  • Modo de cierre de sesión: Busque eventos basados en los modos de cierre de sesión VPN, tales como cierre de sesión de error interno, cierre de sesión de tiempo de espera de sesión, cierre de sesión iniciado por el usuario, sesión de administrador terminada.

Especificar consulta de búsqueda para filtrar eventos

Coloque el cursor en el cuadro de búsqueda para ver la lista de dimensiones de los eventos Gateway. Utilice las dimensiones y el operadores para especificar la consulta y buscar los eventos necesarios.

Lista de dimensiones de puerta de enlace

Por ejemplo, desea ver los eventos de un usuario «ns133” donde el código de estado de la VPN es «inicio de sesión correcto».

  1. Introduzca «usuario» en el cuadro de búsqueda para elegir la dimensión relacionada.

    Consulta de búsqueda de puerta de enlace 1

  2. Seleccione Nombre de usuario e introduzca el valor «ns133” utilizando el operador igual.

    Consulta de búsqueda de puerta de enlace 2

    Consulta de búsqueda de puerta de enlace 3

  3. Seleccione el operador AND y, a continuación, seleccione la dimensión Código de estado. Introduzca la cadena “Inicio de sesión correcto” para el código de estado mediante el operador =.

    Consulta de búsqueda de puerta de enlace 4

    Para identificar los posibles valores de cadena para Código de estado, expanda la lista de filtros Código de estadoy utilice el nombre del filtro como cadena en la consulta de búsqueda.

    Valores de código de estado

  4. Seleccione el período de tiempo y haga clic en Buscar para ver los eventos en la tabla DATA.

Valores admitidos para la consulta de búsqueda

Introduzca los siguientes valores para las dimensiones para definir la consulta de búsqueda.

Indicadores de información de acceso

Indica los estados de la sesión VPN. Introduzca uno de los siguientes valores de marca:

Estado de la sesión VPN Valor de marca
Autentificación previa 2
Estado último o final de la autenticación nFactor (multifactor) 1
Autentificación posterior 4

Nota

Este indicador solo se aplica a los estados de sesión VPN anteriores para los eventos de autenticación. Para todos los demás eventos, el valor del indicador es cero.

Aplicaciones - Consumo de bytes

Para la Applications-Byte-Consumption dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: 40, 100 Número Datos (en bytes) consumidos por la aplicación que está utilizando.

Autenticación-servidos-IP

Para la Authentication-Servers-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xx.xx Cadena Dirección IP del servidor de autenticación.

Fase de autenticación

Para la Authentication-Stage dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
PrimarySecondary, o Tertiary Cadena Diferentes etapas de autenticación de clientes.

Tipo de autenticación

Para la Authentication-Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
LDAP,SAML, Local, RadiusTACACS, SAMLIDP, o OTP. Cadena Autentica a tus usuarios mediante uno de los métodos disponibles.

Nombre del servidor de backend

Para la Backend-Server-Name dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xxx.xx Cadena Dirección IP del servidor back-end.

Explorador Web

Para la Browser dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
PN Agent, EdgeFirefox, Chrome, o Safari. Cadena Navegador utilizado.

Ciudad

Para la City dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: Boston, Beijing Cadena Ciudad desde la que el usuario ha iniciado sesión.

Cliente-IP

Para la Client-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xxx.xx Cadena Dirección IP del dispositivo de usuario.

Tipo IP de cliente

Para la Client-IP-Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
público, privado Cadena Indica si la dirección IP del usuario es pública o privada.

Nota

Los valores distinguen mayúsculas de minúsculas. Introduzca los valores en minúsculas.

Puerto cliente

Para la Client-Port dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:45334 Número Número de puerto del dispositivo de usuario.

País

Para la Country dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: United States, India Cadena País desde el que el usuario ha iniciado sesión.

Nota

Incorpore el valor dentro de «» si el valor contiene espacios. Ejemplo: País = «Estados Unidos».

Tipo de Evento

Para la Event-Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Autenticación, archivo ICA, cierre de sesión Cadena Tipo de eventos de usuario.

FQDN de puerta de enlace

Para la Gateway-FQDN dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:Gateway-test Cadena Nombre de dominio de Citrix Gateway.

IP de puerta de enlace

Para la Gateway-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xxx.xx Cadena Dirección IP de Citrix Gateway.

Puerto de puerta de enlace

Para la Gateway-Port dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:443 Cadena Número de puerto de Citrix Gateway.

Modo de cierre de sesión

Para la Logout-Mode dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Internal error", "Inactive time out""User initiated logout", o "Administrator killed session". Cadena Motivo del tiempo de espera o de la finalización de la sesión VPN.

Nota

Incorpore el valor dentro de «» si el valor contiene espacios. Ejemplo: modo de cierre de sesión = "Internal error".

NetScaler-IP

Para la NetScaler-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xx.xx Cadena Dirección IP del dispositivo Citrix ADC.

SO

Para la OS dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: MAC_OS, WINDOWS Cadena Sistema operativo del dispositivo de usuario.

Tipo de registro

Para la Record Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
VPN_AI Cadena Indica los eventos de usuario relacionados con la autenticación.
VPN_IF Cadena Indica los eventos de usuario relacionados con el archivo ICA.
VPN_ST Cadena Indica los eventos de usuario relacionados con el cierre de sesión.

Método de autenticación SSO

Para la SSO-Authentication-Method dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASICNSAUTH_NEGOTIATE, NSAUTH_NTLM, o NSAUTH_BASIC. Cadena Diferentes métodos de autenticación de inicio de sesión único.

IP del servidor

Para la Server-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xx.xxx.xx Cadena Dirección IP del servidor back-end.

Puerto de servidor

Para la Server-Port dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:47054 Número Número de puerto del servidor back-end.

Estado de la sesión

Para la Session-State dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Set Client State", "Authorization State""SSO State", y "Application Bandwidth Update" Cadena Estado de la sesión VPN.

Nota

Incorpore el valor dentro de «» si el valor contiene espacios. Ejemplo: Session-State = "Set Client State".

Código de estado

Para la Status-Code dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached" Cadena El código de estado de la VPN.

Nota

Incorpore el valor dentro de «» si el valor contiene espacios. Ejemplo: Código de sesión = "Successful login".

Agente de usuario

Para la User-Agent dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
IPHONEIPAD, o WINPHONE Cadena El agente o el dispositivo utilizado para acceder a la VPN.

ID de sesión VPN

Para la VPN-Session-ID dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
c2c290c61dfe4e07247bde1e22142a12 Cadena Identificador de sesión asignado por el servidor para la sesión VPN de un usuario.

Modo de sesión VPN

Para la VPN-Session-Mode dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Full Tunnel""ICA Proxy", o Clientless Cadena Diferentes modos de sesión VPN de un usuario.

Nota

Incorpore el valor dentro de «» si el valor contiene espacios. Ejemplo: Código de sesión = "Full Tunnel".

Búsqueda de autoservicio para Gateway