Citrix Analytics for Security

Búsqueda de autoservicio para Gateway

Utilice la función de búsqueda de autoservicio para obtener información sobre los eventos de usuario recibidos del origen de datos de Citrix Gateway. Cuando los usuarios acceden a sus recursos de red, como servidores de archivos, aplicaciones y sitios web a través de Citrix Gateway, se generan eventos para cada conexión de usuario. Algunos ejemplos de eventos de usuario son, por ejemplo, etapa de autenticación, tipo de autorización y código de sesión VPN. Citrix Analytics for Security recibe estos eventos y los muestra en la página de búsqueda de autoservicio. Puede ver los usuarios y sus datos de acceso.

Para obtener más información sobre las funcionalidades de búsqueda, consulte Búsqueda de autoservicio.

Seleccione el origen de datos de Gateway

Para ver los eventos de Gateway, seleccione Gateway en la lista. De forma predeterminada, la página de autoservicio muestra los eventos del último día. También puede seleccionar el período de tiempo para el que quieres ver los eventos.

Seleccionar fuente de datos de puerta de enlace

Nota

De forma alternativa, puede acceder a la página Búsqueda de autoservicio de puerta de enlace desde el panel Seguridad > Usuarios > Resumen de acceso . En casos de inicio de sesión satisfactorio, puede acceder a los datos mediante el código de estado. Para obtener más información, consulte el panel Resumen de acceso .

Utilizar las facetas para filtrar eventos

Las facetas se clasifican en función de los eventos recibidos del origen de datos. Utilice las siguientes facetas para filtrar los eventos:

Facetas de gateway

  • Fase de autenticación: busque eventos en función de las diferentes etapas de la autenticación del cliente, como primaria, secundaria y terciaria.

  • Tipo de autenticación: busca eventos basados en los tipos de autenticación del cliente, como Local, RADIUS, LDAP, TACACS, autenticación de certificados de cliente, incluida la autenticación con tarjeta inteligente.

  • Device Agent: Busque eventos basados en los dispositivos cliente como iPhone, iPad, Windows Mobile.

  • Tipo de registro: busca eventos según los tipos de registros VPN. Los siguientes tipos de registros VPN están disponibles:

    Tipo de registro Descripción
    VPN_AI Filtra los eventos de usuario relacionados con la autenticación.
    VPN_IF Filtra los eventos de usuario relacionados con el archivo ICA.
    VN_ST Filtra los eventos de usuario relacionados con el cierre de sesión.
  • Explorador: Busque eventos basados en los exploradores como Internet Explorer, Chrome, Firefox, Safari.

  • SO: busca eventos basados en los sistemas operativos del cliente como Windows, Mac, Linux, Android, iOS.

  • Código de estado: busca eventos basados en los códigos de estado de VPN, como error de respuesta de redirección SSL, error de autorización, error de inicio de sesión único.

  • Estado de la sesión: busca eventos según los estados de la sesión VPN, como el estado del cliente, el estado de autorización, el estado de SSO y la actualización del ancho de banda de la aplicación.

  • Modo de sesión: busca eventos basados en los modos de sesión VPN, como Túnel completo, Proxy ICA, Clientless.

  • Método de autenticación de SSO: busca eventos basados en diferentes métodos de autenticación de inicio de sesión único, como básico, resumen, NTLM, Kerberos, AG básico, SSO basado en formularios.

  • Modo de cierre de sesión: Busque eventos basados en los modos de cierre de sesión VPN, tales como cierre de sesión de error interno, cierre de sesión de tiempo de espera de sesión, cierre de sesión iniciado por el usuario, sesión de administrador terminada.

Especificar consulta de búsqueda para filtrar eventos

Sitúe el cursor en el cuadro de búsqueda para ver la lista de dimensiones de los eventos de Gateway. Utilice las dimensiones y los operadores para especificar la consulta y buscar los eventos necesarios.

Lista de dimensiones de puerta de enlace

Por ejemplo, quiere ver los eventos de un usuario “ns133” en el que el código de estado de la VPN es “inicio de sesión correcto”.

  1. Introduzca “usuario” en el cuadro de búsqueda para elegir la dimensión relacionada.

    Consulta de búsqueda de puerta de enlace 1

  2. Seleccione Nombre de usuario e introduzca el valor “ns133” con el operador igual.

    Consulta de búsqueda de puerta de enlace 2

    Consulta de búsqueda de puerta de enlace 3

  3. Seleccione el operador AND y, a continuación, seleccione la dimensión Código de estado . Introduzca la cadena “Inicio de sesión satisfactorio” para Código de estado con el operador igual.

    Consulta de búsqueda de puerta de enlace 4

    Para identificar los posibles valores de cadena de código de estado, expanda la lista de filtros Código de estado y utilice el nombre del filtro como cadena en la consulta de búsqueda.

    Valores de código de estado

  4. Seleccione el período de tiempo y haga clic en Buscar para ver los eventos en la tabla DATA.

Valores admitidos para su consulta de búsqueda

Introduzca los siguientes valores para las dimensiones para definir la consulta de búsqueda.

Indicadores de Access-Insight

Indica el estado de la sesión VPN. Introduzca uno de los valores de marca siguientes:

Estado de sesión VPN Valor de bandera
Autentificación previa 2
Último o último estado de la autenticación nFactor (multifactor) 1
Post autenticación 4

Nota

Este indicador solo se aplica a los estados de sesión VPN anteriores para los eventos de autenticación. Para todos los demás eventos, el valor de la bandera es cero.

Consumo de bytes de aplicaciones

Para la Applications-Byte-Consumption dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: 40, 100 Número Datos (en bytes) consumidos por la aplicación que está utilizando.

IP de servidores de autenticación

Para la Authentication-Servers-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xx.xx Cadena Dirección IP del servidor de autenticación.

Fase de autenticación

Para la Authentication-Stage dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Primary, Secondary, o Tertiary Cadena Diferentes etapas de la autenticación de clientes.

Tipo de autenticación

Para la Authentication-Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
LDAP,SAML, Local, Radius, TACACS, SAMLIDP, o OTP. Cadena Autentica a tus usuarios mediante uno de los métodos disponibles.

Nombre del servidor backend

Para la Backend-Server-Name dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xxx.xx Cadena Dirección IP del servidor back-end.

Explorador web

Para la Browser dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
PN Agent, Edge, Firefox, Chrome, o Safari. Cadena Explorador utilizado.

Ciudad

Para la City dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: Boston, Beijing Cadena Ciudad desde la que el usuario ha iniciado sesión.

Cliente-IP

Para la Client-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xxx.xx Cadena Dirección IP del dispositivo del usuario.

Tipo de IP de cliente

Para la Client-IP-Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
público, privado Cadena Indica si la dirección IP del usuario es pública o privada.

Nota

Los valores distinguen entre mayúsculas y minúsculas Introduzca los valores en minúsculas.

Cliente-puerto

Para la Client-Port dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:45334 Número Número de puerto del dispositivo de usuario.

País

Para la Country dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: United States, India Cadena País desde el que el usuario ha iniciado sesión.

Nota

Encierra el valor dentro de “” si el valor contiene espacios. Ejemplo: País = “Estados Unidos”.

Tipo de Evento

Para la Event-Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Autenticación, archivo ICA, cierre de sesión Cadena Tipo de eventos de usuario.

FQDN de puerta de enlace

Para la Gateway-FQDN dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:Gateway-test Cadena Nombre de dominio de su Citrix Gateway.

IP de puerta de enlace

Para la Gateway-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xxx.xx Cadena Dirección IP de su Citrix Gateway.

Puerto de puerta de enlace

Para la Gateway-Port dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:443 Cadena Número de puerto de Citrix Gateway.

Modo de cierre de sesión

Para la Logout-Mode dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Internal error", "Inactive time out", "User initiated logout", o "Administrator killed session". Cadena Motivo del tiempo de espera o de la finalización de la sesión VPN.

Nota

Encierra el valor dentro de “” si el valor contiene espacios. Ejemplo: Modo de cierre de sesión = "Internal error".

IP de NetScaler

Para la NetScaler-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xxx.xx.xx Cadena Dirección IP del dispositivo Citrix ADC.

SO

Para la OS dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplos: MAC_OS, WINDOWS Cadena Sistema operativo del dispositivo del usuario.

Tipo de registro

Para la Record Type dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
VPN_AI Cadena Indica los eventos de usuario relacionados con la autenticación.
VPN_IF Cadena Indica los eventos de usuario relacionados con el archivo ICA.
VPN_ST Cadena Indica sucesos de usuario relacionados con el cierre de sesión.

Método de autenticación SSO

Para la SSO-Authentication-Method dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASIC, NSAUTH_NEGOTIATE, NSAUTH_NTLM, o NSAUTH_BASIC. Cadena Distintos métodos de autenticación de inicio de sesión único.

IP del servidor

Para la Server-IP dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:10.xx.xxx.xx Cadena Dirección IP del servidor back-end.

Puerto de servidor

Para la Server-Port dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
Ejemplo:47054 Número Número de puerto del servidor back-end.

Estado de sesión

Para la Session-State dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Set Client State", "Authorization State", "SSO State", y "Application Bandwidth Update" Cadena El estado de la sesión VPN.

Nota

Encierra el valor dentro de “” si el valor contiene espacios. Ejemplo: Estado de sesión = "Set Client State".

Código de estado

Para la Status-Code dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Successful login", "Invalid credentials passed",, "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached" Cadena El código de estado de la VPN.

Nota

Encierra el valor dentro de “” si el valor contiene espacios. Ejemplo: Código de sesión = "Successful login".

Agente de usuario

Para la User-Agent dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
IPHONE, IPAD, o WINPHONE Cadena El agente o el dispositivo utilizado para acceder a la VPN.

ID de sesión VPN

Para la VPN-Session-ID dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
c2c290c61dfe4e07247bde1e22142a12 Cadena ID de sesión asignado por el servidor para la sesión VPN de un usuario.

Modo sesión VPN

Para la VPN-Session-Mode dimensión, introduzca el siguiente valor:

Valor Tipo Descripción
"Full Tunnel", "ICA Proxy", o Clientless Cadena Diferentes modos de la sesión VPN de un usuario.

Nota

Encierra el valor dentro de “” si el valor contiene espacios. Ejemplo: Código de sesión = "Full Tunnel".

Búsqueda de autoservicio para Gateway