Recherche en libre-service pour Gateway
Utilisez la fonction de recherche en libre-service pour obtenir des informations sur les événements utilisateur reçus de la source de données Citrix Gateway. Lorsque les utilisateurs accèdent à leurs ressources réseau telles que les serveurs de fichiers, les applications et les sites Web via Citrix Gateway, des événements sont générés pour chaque connexion utilisateur. Certains exemples d’événements utilisateur sont tels que la phase d’authentification, le type d’autorisation et le code de session VPN. Citrix Analytics for Security reçoit ces événements et les affiche sur la page de recherche en libre-service. Vous pouvez consulter les utilisateurs et leurs détails d’accès.
Pour plus d’informations sur les fonctionnalités de recherche, consultez la rubrique Recherche en libre-service.
Sélectionnez la source de données Gateway
Pour afficher les événements Gateway, sélectionnez Gateway dans la liste. Par défaut, la page en libre-service affiche les événements du dernier jour. Vous pouvez également sélectionner la période pendant laquelle vous souhaitez afficher les événements.
Remarque
Vous pouvez également accéder à la page Recherche en libre-service de passerelle à partir du tableau de bord Sécurité > Utilisateurs > Résumé des accès . Dans les scénarios de connexion réussis, vous pouvez accéder aux données par le code d’état. Pour plus d’informations, consultez le tableau de bord Access Summary .
Utilisez les facettes pour filtrer les événements
Les facettes sont classées en fonction des événements reçus de votre source de données. Utilisez les facettes suivantes pour filtrer vos événements :
-
Étape d’authentification : recherchez des événements en fonction des différentes étapes de l’authentification du client, telles que primaire, secondaire et tertiaire.
-
Type d’authentification :recherchez les événements en fonction des types d’authentification client tels que Local, RADIUS, LDAP, TACACS, l’authentification par certificat client, y compris l’authentification par carte à puce.
-
Agent de périphériques- Recherchez des événements basés sur les périphériques clients tels que iPhone, iPad, Windows Mobile.
-
Type d’enregistrement :recherchez des événements en fonction des types d’enregistrements VPN. Les types d’enregistrements VPN suivants sont disponibles :
Type d’enregistrement Description VPN_AI Filtre les événements utilisateur liés à l’authentification. VPN_IF Filtre les événements utilisateur liés au fichier ICA. VPN_ST Filtre les événements utilisateur liés à la déconnexion de session. -
Navigateur- Rechercher des événements basés sur les navigateurs tels que Internet Explorer, Chrome, Firefox, Safari.
-
OS- Recherchez des événements en fonction des systèmes d’exploitation clients tels que Windows, Mac, Linux, Android, iOS.
-
Code d’état- Recherchez des événements en fonction des codes d’état VPN tels que l’échec de la réponse de redirection SSL, l’échec d’autorisation, l’échec de l’authentification unique.
-
État de la session : recherchez les événements en fonction des états de session VPN tels que l’état du client, l’état d’autorisation, l’état SSO, la mise à jour de la bande passante de l’application.
-
Mode session- Recherchez des événements en fonction des modes de session VPN tels que Tunnel complet, ICA Proxy, Clientless.
-
Méthode d’authentification SSO- Recherchez des événements en fonction de différentes méthodes d’authentification unique telles que basic, digest, NTLM, Kerberos, AG basic, SSO basée sur des formulaires.
-
Mode de déconnexion- Rechercher des événements basés sur les modes de déconnexion VPN tels que la déconnexion d’erreur interne, le délai de déconnexion de session, la déconnexion initiée par l’utilisateur, la session terminée par l’administrateur.
Spécifier la requête de recherche pour filtrer les événements
Placez le curseur dans la zone de recherche pour afficher la liste des dimensions des événements Gateway. Utilisez les dimensions et les opérateurs pour spécifier votre requête et rechercher les événements requis.
Par exemple, vous souhaitez afficher les événements d’un utilisateur « ns133 » dont le code d’état VPN est « connexion réussie ».
-
Saisissez « utilisateur » dans la zone de recherche pour choisir la dimension associée.
-
Sélectionnez Nom d’utilisateur et saisissez la valeur « ns133 » à l’aide de l’opérateur égal.
-
Sélectionnez l’opérateur AND, puis la dimension Code d’état . Entrez la chaîne « Connexion réussie » pour le code d’état à l’aide de l’opérateur égal.
Pour identifier les valeurs de chaîne possibles pour le code d’état, développez la liste de filtres Code d’état et utilisez le nom du filtre comme chaîne dans votre requête de recherche.
-
Sélectionnez la période et cliquez sur Rechercher pour afficher les événements dans la table DATA.
Valeurs prises en charge pour votre requête de recherche
Entrez les valeurs suivantes pour les dimensions afin de définir votre requête de recherche.
Indicateurs d’accès Insight
Indique les états de session VPN. Entrez l’une des valeurs d’indicateur suivantes :
| État de la session VPN | Valeur du drapeau |
|---|---|
| Pré-authentification | 2 |
| Dernier ou dernier état de l’authentification nFactor (multi-facteurs) | 1 |
| Post-authentification | 4 |
Remarque
Cet indicateur s’applique uniquement aux états de session VPN précédents pour les événements d’authentification. Pour tous les autres événements, la valeur de l’indicateur est nulle.
Consommation d’octets d’applications
Pour la Applications-Byte-Consumption dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : 40, 100
|
Nombre | Données (en octets) consommées par l’application que vous utilisez. |
Serveurs d’authentification IP
Pour la Authentication-Servers-IP dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xx.xx
|
Chaîne | Adresse IP du serveur d’authentification. |
Étape d’authentification
Pour la Authentication-Stage dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
PrimarySecondary, ou Tertiary
|
Chaîne | Différentes étapes de l’authentification du client. |
Type d’authentification
Pour la Authentication-Type dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
LDAP,SAML, Local, RadiusTACACS, SAMLIDP, ou OTP. |
Chaîne | Authentifiez vos utilisateurs via l’une des méthodes disponibles. |
Nom du serveur principal
Pour la Backend-Server-Name dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xxx.xx
|
Chaîne | Adresse IP du serveur principal. |
Browser
Pour la Browser dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
PN Agent, EdgeFirefox, Chrome, ou Safari. |
Chaîne | Navigateur utilisé. |
Ville
Pour la City dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : Boston, Beijing
|
Chaîne | Ville à partir de laquelle l’utilisateur s’est connecté. |
Client-IP
Pour la Client-IP dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xxx.xx
|
Chaîne | Adresse IP de la machine utilisateur. |
Type IP client
Pour la Client-IP-Type dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
| public, privé | Chaîne | Indique si l’adresse IP de l’utilisateur est publique ou privée. |
Remarque
Les valeurs sont sensibles à la casse. Entrez les valeurs en minuscules.
Port client
Pour la Client-Port dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 45334
|
Nombre | Numéro de port de la machine utilisateur. |
Pays
Pour la Country dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : United States, India
|
Chaîne | Pays depuis lequel l’utilisateur s’est connecté. |
Remarque
Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Country = « États-Unis ».
Type d’événement
Pour la Event-Type dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
| Authentification, fichier ICA, déconnexion de session | Chaîne | Type d’événements utilisateur. |
FQDN de passerelle
Pour la Gateway-FQDN dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : Gateway-test
|
Chaîne | Nom de domaine de votre Citrix Gateway. |
Passerelle IP
Pour la Gateway-IP dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xxx.xx
|
Chaîne | Adresse IP de votre Citrix Gateway. |
Port de passerelle
Pour la Gateway-Port dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 443
|
Chaîne | Numéro de port de votre Citrix Gateway. |
Mode de déconnexion
Pour la Logout-Mode dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Internal error", "Inactive time out", "User initiated logout", ou "Administrator killed session". |
Chaîne | Motif du délai d’expiration ou de la fin de la session VPN. |
Remarque
Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Mode de déconnexion =
"Internal error".
NetScaler-IP
Pour la NetScaler-IP dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xxx.xx.xx
|
Chaîne | Adresse IP de votre appliance Citrix ADC. |
OS
Pour la OS dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemples : MAC_OS, WINDOWS
|
Chaîne | Système d’exploitation de la machine utilisateur. |
Type d’enregistrement
Pour la Record Type dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
VPN_AI |
Chaîne | Indique les événements utilisateur liés à l’authentification. |
VPN_IF |
Chaîne | Indique les événements utilisateur liés au fichier ICA. |
VPN_ST |
Chaîne | Indique les événements utilisateur liés à la déconnexion de session. |
Méthode d’authentification SSO
Pour la SSO-Authentication-Method dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
NSAUTH_BEARER, NSAUTH_FORM, NSAUTH_CITRIXAGBASICNSAUTH_NEGOTIATE, NSAUTH_NTLM, ou NSAUTH_BASIC. |
Chaîne | Différentes méthodes d’authentification unique. |
IP du serveur
Pour la Server-IP dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 10.xx.xxx.xx
|
Chaîne | Adresse IP du serveur principal. |
Port serveur
Pour la Server-Port dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
Exemple : 47054
|
Nombre | Numéro de port du serveur principal. |
État de la session
Pour la Session-State dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Set Client State", "Authorization State""SSO State", et "Application Bandwidth Update"
|
Chaîne | État de la session VPN. |
Remarque
Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Session-State =
"Set Client State".
Code d’état
Pour la Status-Code dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Successful login", "Invalid credentials passed", "Post auth failed and connection quarantined", "Login not permitted", "Maximum login failures reached"
|
Chaîne | Le code d’état du VPN. |
Remarque
Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Session-Code =
"Successful login".
Agent utilisateur
Pour la User-Agent dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
IPHONEIPAD, ou WINPHONE
|
Chaîne | L’agent ou l’appareil utilisé pour accéder au VPN. |
ID de session VPN
Pour la VPN-Session-ID dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
Chaîne | ID de session attribué par le serveur pour la session VPN d’un utilisateur. |
Mode session VPN
Pour la VPN-Session-Mode dimension, saisissez la valeur suivante :
| Valeur | Type | Description |
|---|---|---|
"Full Tunnel""ICA Proxy", ou Clientless
|
Chaîne | Différents modes de session VPN d’un utilisateur. |
Remarque
Enclenchez la valeur dans « » si la valeur contient des espaces. Exemple : Session-Code =
"Full Tunnel".