Enregistrement de session 2109

Configurer les stratégies

Utilisez la console de stratégie d’enregistrement de session pour créer des stratégies d’enregistrement, des stratégies de détection d’événements, des stratégies de réponse aux événements et des stratégies de visionnage d’enregistrement. Lors de la création de stratégies, vous pouvez spécifier des Delivery Controller à partir des environnements locaux et Citrix Cloud.

Important :

pour utiliser la console de stratégie d’enregistrement de session, le Broker PowerShell Snap-in (Broker_PowerShellSnapIn_x64.msi) ou le SDK Citrix Virtual Apps and Desktops Remote PowerShell (CitrixPoshSdk.exe) doit être installé manuellement. Le programme d’installation n’installe pas automatiquement le composant logiciel enfichable. Recherchez le Broker PowerShell Snap-in sur l’ISO Citrix Virtual Apps and Desktops (\layout\image- full\x64\Citrix Desktop Delivery Controller) ou téléchargez le SDK Citrix Virtual Apps and Desktops Remote PowerShell (PS) sur la page de téléchargement de Citrix Virtual Apps and Desktops Service.

Conseil :

Vous pouvez modifier le Registre de façon à éviter la perte de fichiers d’enregistrement au cas où votre serveur d’enregistrement de session pourrait échouer de façon inattendue. Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé l’agent d’enregistrement de session, ouvrez l’Éditeur du Registre et ajoutez une valeur DWORD DefaultRecordActionOnError =1 sous HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent.

Stratégies d’enregistrement

Vous pouvez activer les stratégies d’enregistrement définies par le système ou créer et activer vos propres stratégies personnalisées. Les stratégies d’enregistrement définies par le système appliquent une règle unique à tous les utilisateurs, à toutes les applications publiées et à tous les serveurs. Les stratégies d’enregistrement personnalisées précisent quels utilisateurs, quelles applications publiées et quels serveurs sont enregistrés.  

La stratégie d’enregistrement active détermine quelles sessions sont enregistrées. Une seule stratégie d’enregistrement peut être active à la fois.

Stratégies d’enregistrement définies par le système

L’enregistrement de session fournit les stratégies d’enregistrement définies par le système suivantes :

  • Ne pas enregistrer. Stratégie par défaut. Si vous ne précisez pas d’autre stratégie, aucune session n’est enregistrée.

  • Enregistrer uniquement les événements (pour tous, avec notification). Cette stratégie enregistre uniquement les événements spécifiés par votre stratégie de détection d’événements. Elle n’enregistre pas d’écrans. Les utilisateurs reçoivent des notifications d’enregistrement à l’avance.

  • Enregistrer uniquement les événements (pour tous, sans notification). Cette stratégie enregistre uniquement les événements spécifiés par votre stratégie de détection d’événements. Elle n’enregistre pas d’écrans. Les utilisateurs ne reçoivent pas de notifications d’enregistrement.

  • Enregistrer sessions entières (pour tous, avec notification). Cette stratégie enregistre des sessions entières (écrans et événements). Les utilisateurs reçoivent des notifications d’enregistrement à l’avance.

  • Enregistrer sessions entières (pour tous, sans notification). Cette stratégie enregistre des sessions entières (écrans et événements). Les utilisateurs ne reçoivent pas de notifications d’enregistrement.

Vous ne pouvez pas modifier ou supprimer les stratégies d’enregistrement définies par le système.

Créer une stratégie d’enregistrement personnalisée

Lorsque vous créez votre propre stratégie d’enregistrement, vous définissez des règles pour spécifier les sessions de quels utilisateurs ou groupes, quelles applications publiées ou quels bureaux publiés, quels groupes de mise à disposition ou quelles machines VDA et quelles adresses IP du client de l’application Citrix Workspace sont enregistrées. Un assistant intégré à la console de stratégie d’enregistrement de session vous aide à créer des règles. Pour obtenir la liste des applications publiées ou des bureaux publiés, ainsi que la liste des groupes de mise à disposition ou des machines VDA, vous devez disposer d’autorisations d’accès en lecture de l’administrateur du site. Configurez l’autorisation de lecture de l’administrateur sur le Delivery Controller du site.

Pour chaque règle que vous créez, vous spécifiez une action d’enregistrement et un critère de règle. L’action d’enregistrement s’applique aux sessions qui correspondent au critère de règle.

Pour chaque règle, choisissez une action d’enregistrement :

  • Activer l’enregistrement de session avec notification. Cette option enregistre des sessions entières (écrans et événements). Les utilisateurs reçoivent des notifications d’enregistrement à l’avance.

  • Activer l’enregistrement de session sans notification. Cette option enregistre des sessions entières (écrans et événements). Les utilisateurs ne reçoivent pas de notifications d’enregistrement.

  • Activer l’enregistrement de session d’événement uniquement avec notification. Cette option enregistre uniquement les événements spécifiés par votre stratégie de détection d’événements au cours des sessions. Elle n’enregistre pas d’écrans. Les utilisateurs reçoivent des notifications d’enregistrement à l’avance.

  • Activer l’enregistrement de session d’événement uniquement sans notification. Cette option enregistre uniquement les événements spécifiés par votre stratégie de détection d’événements au cours des sessions. Elle n’enregistre pas d’écrans. Les utilisateurs ne reçoivent pas de notifications d’enregistrement.

  • Désactiver l’enregistrement de session. Cette option signifie qu’aucune session ne sera enregistrée.

    Options d'action d'enregistrement

Pour chaque règle, choisissez au moins l’une des règles suivantes pour créer les critères de règle :

  • Utilisateurs ou groupes. Crée une liste d’utilisateurs ou de groupes auxquels l’action de la règle s’applique. L’enregistrement de session vous permet d’utiliser les groupes Active Directory et de placer des utilisateurs sur liste blanche.
  • Applications ou bureaux publiés. Crée une liste d’applications ou de bureaux publiés à laquelle l’action de la règle s’applique. Dans l’assistant Règles, choisissez le ou les sites Citrix Virtual Apps and Desktops sur lesquels les applications ou bureaux sont disponibles.
  • Groupes de mise à disposition ou machines. Crée une liste de groupes de mise à disposition ou de machines auxquels l’action de la règle s’applique. Dans l’assistant Règles, choisissez l’emplacement des groupes de mise à disposition ou machines.
  • Adresse IP ou plage d’adresses IP. Crée une liste d’adresses IP ou de plages d’adresses IP auxquelles l’action de la règle s’applique. Dans la boîte de dialogue Sélectionner IP et plage d’adresses IP, ajoutez une adresse IP ou une plage d’adresses IP valide pour lesquelles l’enregistrement est activé ou désactivé. Les adresses IP mentionnées ici sont les adresses IP des applications Citrix Workspace.

    Critères de règle d'enregistrement

Remarque :

La console de stratégie d’enregistrement de session prend en charge la configuration de plusieurs critères au sein d’une règle unique. Lorsqu’une règle s’applique, les opérateurs logiques « ET » et « OU » sont utilisés pour calculer l’action finale. Généralement, l’opérateur « OU » est utilisé entre les éléments au sein d’un critère, et l’opérateur « ET » est quant à lui utilisé entre les critères distincts. Si le résultat est true, le moteur de stratégie d’enregistrement de session entreprend l’action de la règle. Sinon, il passe à la règle suivante et répète le processus.

Lorsque vous créez plus d’une règle dans une stratégie d’enregistrement, il est possible que certaines sessions correspondent aux critères de plusieurs de ces règles. Dans ces cas de figure, la règle ayant la plus haute priorité est celle appliquée aux sessions.

L’action d’enregistrement d’une règle en détermine la priorité :

  • Les règles avec l’action Ne pas enregistrer ont la plus haute priorité.
  • Les règles avec l’action Enregistrer avec notification ont la seconde plus haute priorité.
  • Les règles avec l’action Enregistrer sans notification ont la seconde plus faible priorité.
  • Les règles avec l’action Activer l’enregistrement de session d’événement uniquement avec notification ont la priorité moyenne.
  • Les règles avec l’action Activer l’enregistrement de session d’événement uniquement sans notification ont la priorité la plus faible.

Il se peut que certaines sessions ne correspondent à aucun critère de règle d’une stratégie d’enregistrement. Pour ces sessions, l’action de la règle de repli des stratégies s’applique. L’action de la règle de repli est toujours Ne pas enregistrer. Vous ne pouvez pas modifier ou supprimer la règle de repli.

Pour créer une stratégie d’enregistrement personnalisée :

  1. Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.
  2. Démarrez la console de stratégie d’enregistrement de session et sélectionnez Stratégies d’enregistrement dans le panneau gauche. Dans la barre de menu, choisissez Ajouter une nouvelle stratégie.
  3. Cliquez avec le bouton droit sur Nouvelle stratégie et sélectionnez Ajouter une règle.
  4. Dans l’assistant de règles, sélectionnez une option d’enregistrement, puis cliquez sur Suivant.

    Options d'action d'enregistrement

  5. Sélectionnez les critères de la règle : vous pouvez choisir une ou plusieurs critères de règle :
    Utilisateurs ou Groupes
    Applications ou bureaux publiés
    Groupes de mise à disposition ou Machines
    Adresse IP ou Plage d’adresses IP

    Critères de règle d'enregistrement

  6. Modifiez les critères de la règle : pour modifier, cliquez sur les valeurs soulignées. Les valeurs sont soulignées en fonction des critères que vous avez choisis dans l’étape précédente.

    Remarque :

    Si vous choisissez la valeur soulignée Applications ou bureaux publiés, l’adresse du site est l’adresse IP, une adresse URL ou un nom de machine si le Controller se trouve sur un réseau local. La liste Nom de l’application indique le nom d’affichage.

    Lorsque vous choisissez Applications ou bureaux publiés ou Groupes de mise à disposition ou Machines, spécifiez le Delivery Controller avec lequel votre console de stratégie d’enregistrement de session va communiquer.

    La console de stratégie d’enregistrement de session est le seul canal qui communique avec les Delivery Controller à partir d’environnements locaux ou Citrix Cloud.

    Sélectionner des critères de règles

    Par exemple, lorsque vous choisissez Groupes de mise à disposition ou machines, cliquez sur le lien hypertexte correspondant à l’étape 3 de la capture d’écran précédente et cliquez sur Ajouter pour ajouter des requêtes au Controller.

    Créer une requête au Controller

    Pour obtenir une description des cas d’utilisation qui couvrent les Delivery Controller Citrix Cloud et locaux, consultez le tableau suivant :

    Cas d’utilisation Action requise
    Delivery Controller locaux
    1. Installez Broker_PowerShellSnapin_x64.msi. 2. Désactivez la case à cocher Citrix Cloud Controller.
    Delivery Controller Citrix Cloud
    1. Installez le SDK Citrix Virtual Apps and Desktops Remote PowerShell. 2. Validez les informations d’identification du compte Citrix Cloud. 3. Sélectionnez la case à cocher Citrix Cloud Controller.
    Passer d’un Delivery Controller local à un Delivery Controller Citrix Cloud
    1. Désinstallez Broker_PowerShellSnapin_x64.msi et redémarrez l’ordinateur. 2. Installez le SDK Citrix Virtual Apps and Desktops Remote PowerShell. 3. Validez les informations d’identification du compte Citrix Cloud. 4. Sélectionnez la case à cocher Citrix Cloud Controller.
    Passer d’un Delivery Controller Citrix Cloud à un Delivery Controller local
    1. Désinstallez le SDK Remote PowerShell Citrix Virtual Apps and Desktops et redémarrez l’ordinateur. 2. Installez Broker_PowerShellSnapin_x64.msi. 3. Désactivez la case à cocher Citrix Cloud Controller.

    Validation des informations d’identification de Citrix Cloud

    Pour interroger les Delivery Controller hébergés dans Citrix Cloud, validez manuellement vos informations d’identification Citrix Cloud sur l’ordinateur sur lequel la console de stratégie d’enregistrement de session est installée. Le non-respect de ces conditions peut provoquer une erreur et votre console de stratégie d’enregistrement de session peut ne pas fonctionner comme prévu.

    Pour effectuer la validation manuelle :

    1. Connectez-vous à la console Citrix Cloud et recherchez Gestion des identités et des accès > Accès aux API. Créez un client sécurisé pour accéder aux API afin d’obtenir un profil d’authentification capable de contourner les invites d’authentification de Citrix Cloud. Téléchargez votre client sécurisé, renommez-le et enregistrez-le dans un emplacement sécurisé. Le nom de fichier est défini par défaut sur secureclient.csv.

      Valider les informations d'identification de Citrix Cloud

    2. Ouvrez une session PowerShell et exécutez la commande suivante pour que le profil d’authentification (obtenu à l’étape précédente) prenne effet.

      asnp citrix.*
      Set-XDCredentials -CustomerId “citrixdemo” -SecureClientFile “c:\temp\secureclient.csv” -ProfileType CloudAPI –StoreAs “default”
      
      <!--NeedCopy-->
      

      Définissez CustomerID et SecureClientFile si nécessaire. La commande précédente crée un profil d’authentification par défaut pour le client citrixdemo afin de contourner les invites d’authentification dans les sessions PowerShell en cours et à venir.

  7. Suivez les instructions de l’assistant pour terminer la configuration.

Remarque :Veuillez noter les limitations suivantes concernant les sessions d’application pré-lancées :

  • Si la stratégie active tente d’effectuer une correspondance avec un nom d’application, la correspondance avec les applications lancées dans la session de pré-lancement n’est pas établie, ce qui entraîne l’échec de l’enregistrement de la session.
  • Si la stratégie active enregistre chaque application, lorsqu’un utilisateur ouvre la session de l’application Citrix Workspace pour Windows (au même moment où la session de pré-lancement est ouverte), une notification d’enregistrement apparaît et la session de pré-lancement (vide) et toute application lancée ultérieurement dans cette session sont enregistrées.

Une solution consiste à publier les applications dans des groupes de mise à disposition séparés en fonction de leurs stratégies d’enregistrement. N’utilisez pas de nom d’application en tant que condition d’enregistrement. Cette approche garantit que les sessions pré-lancées peuvent être enregistrées. Toutefois, les notifications continuent à s’afficher.

Utiliser des groupes Active Directory

L’enregistrement de session vous permet d’utiliser les groupes Active Directory lorsque vous créez des stratégies. Utiliser les groupes Active Directory au lieu d’utilisateurs individuels simplifie la création et la gestion des règles et des stratégies. Par exemple, si les utilisateurs du service financier de votre société sont réunis dans un groupe Active Directory intitulé « Finance », vous pouvez créer une règle concernant tous les membres de ce groupe en sélectionnant le groupe Finance dans l’ assistant de règles lors de la création de la règle.

Utilisateurs sur liste blanche

Vous pouvez créer des stratégies d’enregistrement de session qui font en sorte que certains utilisateurs de votre organisation ne sont jamais enregistrés. Cela s’appelle mettre ces utilisateurs sur liste blanche. La liste blanche est utile pour les utilisateurs qui gèrent des informations relatives à la confidentialité ou lorsque votre organisation ne souhaite pas enregistrer les sessions d’une certaine classe d’employés.

Par exemple, si tous les managers d’une entreprise sont membres d’un groupe Active Directory intitulé Cadres supérieurs, vous pouvez faire en sorte que les sessions de ces utilisateurs ne sont jamais enregistrées en créant une règle désactivant l’enregistrement de sessions pour le groupe Cadres supérieurs. Lorsque la stratégie contenant cette règle est active, aucune session des membres du groupe Cadres supérieurs n’est enregistrée. Les sessions des autres membres de votre organisation sont enregistrées en fonction d’autres règles de la stratégie active.

Configurer Citrix Director pour utiliser le serveur d’enregistrement de session

Vous pouvez utiliser la console Director pour créer et activer des stratégies d’enregistrement.

  1. Dans le cas d’une connexion HTTPS, installez le certificat destiné à approuver le serveur d’enregistrement de session dans les certificats racines de confiance du serveur Director.
  2. Pour configurer le serveur Director pour utiliser le serveur d’enregistrement de session, exécutez la commande : C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording
  3. Entrez l’adresse IP ou le nom de domaine complet du serveur d’enregistrement de session, le numéro de port et le type de connexion (HTTP/HTTPS) que l’agent d’enregistrement de session utilise pour se connecter au broker d’enregistrement de session sur le serveur Director.

Stratégies de détection d’événements

L’enregistrement de session prend en charge la configuration centralisée des stratégies de détection d’événements. Vous pouvez créer des stratégies dans la console de stratégie d’enregistrement de session pour consigner divers événements.

Remarque :

pour consigner l’insertion de périphériques de stockage de masse USB et le démarrage/la fin de l’application, utilisez Enregistrement de session version 1811 ou ultérieure.
Pour consigner les événements d’opération de fichier et les activités de navigation Web, utilisez Enregistrement de session version 1903 ou ultérieure. Pour consigner les activités du Presse-papiers, utilisez Enregistrement de session version 2012 ou ultérieure.

Stratégie de détection d’événements définie par le système

La stratégie de détection d’événements définie par le système est Ne pas détecter. Elle est inactive par défaut. Lorsque cette stratégie est active, aucun événement n’est journalisé.

Ne pas détecter

Vous ne pouvez pas modifier ou supprimer les stratégies de détection définies par le système.

Créer une stratégie de détection d’événements personnalisée

Lorsque vous créez votre propre stratégie de détection d’événements, vous définissez des règles pour spécifier les événements spécifiques de quels utilisateurs ou groupes, quelles applications publiées ou quels bureaux publiés, quels groupes de mise à disposition ou quelles machines VDA et quelles adresses IP du client de l’application Citrix Workspace sont journalisés lors de l’enregistrement de session. Un assistant intégré à la console de stratégie d’enregistrement de session vous aide à créer des règles. Pour obtenir la liste des applications publiées ou des bureaux publiés, ainsi que la liste des groupes de mise à disposition ou des machines VDA, vous devez disposer d’autorisations d’accès en lecture de l’administrateur du site. Configurez l’autorisation de lecture de l’administrateur sur le Delivery Controller du site.

Pour créer une stratégie de détection d’événements personnalisée :

  1. Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.

  2. Démarrez la console de stratégie d’enregistrement de session. Par défaut, il n’existe pas de stratégie de détection d’événements active.

  3. Sélectionnez Stratégies de détection d’événements dans le volet gauche. Dans la barre de menu, choisissez Ajouter une nouvelle stratégie pour créer une stratégie de détection d’événements.

  4. (Facultatif) Cliquez avec le bouton droit de la souris sur la nouvelle stratégie et renommez-la.

    Renommer une stratégie de détection d'événements

  5. Cliquez avec le bouton droit sur la nouvelle stratégie de détection d’événements et sélectionnez Ajouter une règle.

    1. Spécifiez un ou plusieurs événements cibles à surveiller en cochant la case en regard de chaque type d’événement.

      Types d'événements

      • Consigner les événements USB mappés par CDM : journalise l’insertion d’un périphérique de stockage de masse mappé (CDM) sur une machine cliente sur laquelle application Citrix Workspace pour Windows ou Mac est installé et marque l’événement dans l’enregistrement.

      • Consigner les événements USB redirigés génériques : consigne l’insertion d’un périphérique de stockage de masse redirigé générique sur un client sur lequel l’application Citrix Workspace pour Windows ou Mac est installée et marque l’événement dans l’enregistrement.

      • Consigner les événements de démarrage d’application : enregistre les événements de démarrage des applications cibles et marque l’événement dans l’enregistrement.

      • Consigner les événements de fin d’application : enregistre les événements de fin des applications cibles et marque l’événement dans l’enregistrement.

        Remarque :

        L’enregistrement de session ne peut pas consigner les événements de fin d’une application sans consigner les événements de démarrage. Par conséquent, dans l’assistant de règles, la case à cocher Consigner les événements de fin d’application est grisée si l’option Consigner les événements de démarrage d’application n’est pas sélectionnée.

      • Liste de surveillance des applications : lorsque vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application, utilisez la liste de surveillance des applications pour spécifier les applications cibles à surveiller et éviter qu’une quantité excessive d’événements ne sature les enregistrements.

        Remarque :

        • Pour capturer le démarrage et la fin d’une application, ajoutez le nom du processus de l’application dans la liste de surveillance des applications. Par exemple, pour capturer le démarrage de la fonction Connexion Bureau à distance, ajoutez le nom du processus mstsc.exe dans la liste de surveillance des applications. Lorsque vous ajoutez un processus à la liste de surveillance des applications, les applications lancées par le processus ajouté et ses processus enfants sont surveillées. Par défaut, Enregistrement de session ajoute les noms des processus, cmd.exe, powershell.exe et wsl.exe, à la liste de surveillance des applications. Si vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application pour une stratégie de détection des événements, les démarrages et les fins des applications Invite de commandes, PowerShell et Sous-système Windows pour Linux (WSL) sont consignés, que vous ajoutiez ou non manuellement leurs noms de processus à la liste de surveillance des applications. Les noms de processus par défaut ne sont pas visibles dans la liste de surveillance des applications.
        • Séparez les noms de processus par un point-virgule (;).
        • Seule la correspondance exacte est prise en charge. Les caractères génériques ne sont pas pris en charge.
        • Les noms des processus que vous ajoutez ne sont pas sensibles à la casse.
        • Pour éviter qu’une quantité excessive d’événements ne sature les enregistrements, n’ajoutez aucun nom de processus système (par exemple, explorer.exe) et de navigateurs Web au registre.
      • Consigner les opérations de fichiers : journalise les opérations sur les fichiers cibles que vous avez spécifiés dans la Liste de surveillance des fichiers et journalise les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés). La sélection de cette option déclenche la journalisation des transferts de fichiers, que vous spécifiiez ou non la Liste de surveillance des fichiers.

        • Événements de fichiers présentés dans le lecteur Web

          Événements de fichiers présentés dans le lecteur Web

        • Événements de fichiers présentés dans le lecteur d’enregistrement de session

          Événements de fichiers présentés dans le lecteur d'enregistrement de session

      • Liste de surveillance des fichiers : lorsque vous sélectionnez Consigner les opérations de fichiers, utilisez la liste de surveillance des fichiers pour spécifier les fichiers cibles à surveiller. Vous pouvez spécifier les dossiers dans lesquels capturer tous les fichiers. Aucun fichier n’est spécifié par défaut, ce qui signifie qu’aucun fichier n’est capturé par défaut.

        Remarque :

        • Pour capturer les opérations de changement de nom, de création, de suppression ou de déplacement sur un fichier, ajoutez la chaîne de chemin du dossier de fichiers (et non le nom de fichier ou le chemin racine du dossier de fichiers) dans la liste de surveillance des fichiers. Par exemple, pour capturer les opérations de changement de nom, de création, de suppression et de déplacement sur le fichier sharing.ppt dans C:\User\File, ajoutez la chaîne de chemin C:\User\File dans la liste de surveillance des fichiers.
        • Les chemins de fichiers locaux et les chemins de dossiers partagés distants sont pris en charge. Par exemple, pour capturer les opérations sur le fichier RemoteDocument.txt dans le dossier \\remote.address\Documents, ajoutez la chaîne de chemin \\remote.address\Documents dans la liste de surveillance des fichiers.
        • Séparez les chemins à surveiller par un point-virgule (;).
        • Seules les correspondances exactes sont prises en charge. Les caractères génériques ne sont pas pris en charge.
        • Les chaînes de chemin sont insensibles à la casse.

        Limitations :

        • La copie de fichiers ou de dossiers d’un dossier local surveillé vers un dossier local non surveillé ne peut pas être capturée.
        • Lorsque la longueur du chemin d’accès d’un fichier ou d’un dossier, y compris le nom du fichier ou du dossier, dépasse la longueur maximale (260 caractères), les opérations sur le fichier ou le dossier ne peuvent pas être capturées.
        • Faites attention à la taille de la base de données. Pour empêcher la capture d’un grand nombre d’événements, sauvegardez ou supprimez régulièrement la table « Événement ».
        • Lorsqu’un grand nombre d’événements est capturé à des intervalles réguliers, le lecteur n’affiche qu’un seul élément d’événement et la base de données ne stocke qu’un seul élément d’événement pour chaque type d’événement afin d’éviter un engorgement du stockage.
      • Consigner les activités de navigation sur le Web : consigne les activités des utilisateurs sur les navigateurs pris en charge et identifie le nom du navigateur, l’URL et le titre de la page dans l’enregistrement.

        Activité de navigation sur Internet

        Liste des navigateurs pris en charge :

        Navigateur Version
        Chrome 69 et versions ultérieures
        Internet Explorer 11
        Firefox 61 et versions ultérieures
      • Consigner les événements de la fenêtre principale : consigne les événements de la fenêtre principale et ajoute une balise au nom, au titre et au numéro du processus dans l’enregistrement.

        Consigner les événements de la fenêtre principale

      • Enregistrer les activités du presse-papiers : consigne les opérations de copie de texte, d’images et de fichiers à l’aide du Presse-papiers. Le nom du processus et le chemin d’accès du fichier sont consignés pour une copie de fichier. Le titre et le nom du processus sont consignés pour une copie de texte. Le nom du processus est consigné pour une copie d’image.

      • Consigner les modifications du registre : journalise les modifications apportées au registre Windows qui se produisent pendant les sessions enregistrées. Les modifications détectées apportées au registre incluent l’ajout d’une clé ou d’une valeur, le changement de nom d’une clé ou d’une valeur, la modification d’une valeur existante et la suppression d’une clé ou d’une valeur.

      • Liste de surveillance du registre: lorsque vous sélectionnez Consigner les modifications du registre, entrez les chemins d’accès absolus des registres cibles que vous souhaitez surveiller et séparez les chemins par un point-virgule (;). Démarrez un chemin d’accès par HKEY_USERS, HKEY_LOCAL_MACHINE ou HKEY_CLASSES_ROOT. Par exemple, vous pouvez entrer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows;HKEY_CLASSES_ROOT\GuestStateVDev. Si vous ne spécifiez pas cette liste, aucune modification du registre n’est capturée.

    2. Sélectionnez et modifiez les critères de règle.

      De la même façon que vous avez créez une stratégie d’enregistrement personnalisée, sélectionnez un ou plusieurs critères de règle : Utilisateurs ou Groupes, Applications ou bureaux publiés, Groupes de mise à disposition ou Machines et Adresse IP ou Plage d’adresses IP. Pour plus d’informations, consultez les instructions de la section Créer une stratégie d’enregistrement personnalisée.

      Remarque :

      Il se peut que certaines sessions ne correspondent à aucun critère de règle d’une stratégie de détection d’événements. Pour ces sessions, l’action de la règle de repli s’applique ; celle-ci est toujours définie sur Ne pas détecter. Vous ne pouvez pas modifier ou supprimer la règle de repli.

    3. Suivez les instructions de l’assistant pour terminer l’installation.

      Configuration complète de la règle

Après le démarrage d’une session correspondant à une stratégie de détection d’événements, l’ID de session et ses valeurs de registre d’événements s’affichent dans l’agent d’enregistrement de session. Par exemple :

Valeurs de registre d'événements

Compatibilité avec les configurations de registre

Lorsque l’enregistrement de session est récemment installé ou mis à niveau, aucune stratégie de détection d’événements active n’est disponible par défaut. À l’heure actuelle, chaque agent d’enregistrement de session respecte les valeurs de registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents pour déterminer si des événements spécifiques doivent être journalisés. Pour obtenir une description des valeurs de registre, consultez le tableau suivant :

Valeur de registre Description
EnableSessionEvents 1 : active la détection d’événements de manière globale ; 0 : désactive la détection d’événements de manière globale (données de valeur par défaut).
EnableCDMUSBDriveEvents 1 : active la détection de l’insertion de périphériques de stockage de masse USB mappés CDM ; 0 : désactive la détection de l’insertion de périphériques de stockage de masse USB mappés CDM (données de valeur par défaut).
EnableGenericUSBDriveEvents 1 : active la détection de l’insertion de périphériques de stockage de masse USB génériques redirigés ; 0 : désactive la détection de l’insertion de périphériques de stockage de masse USB génériques redirigés (données de valeur par défaut).
EnableAppLaunchEvents 1: active la détection des démarrages d’applications uniquement ; 2: active la détection des démarrages et des fins d’applications ; 0: désactive la détection des démarrages et des fins d’applications (données de valeur par défaut)
AppMonitorList Spécifie les applications cibles à surveiller. Aucune application n’est spécifiée par défaut, ce qui signifie qu’aucune application n’est capturée par défaut.
EnableFileOperationMonitorEvents 1: active les opérations de détection de fichiers ; 0: désactive les opérations de détection de fichiers (données de valeur par défaut).
FileOperationMonitorList Spécifie les dossiers cibles à surveiller. Aucun dossier n’est spécifié par défaut, ce qui signifie qu’aucune opération de fichier n’est capturée par défaut.
EnableWebBrowsingActivities 1: active la détection des activités de navigation sur Internet ; 0: désactive la détection des activités de navigation sur Internet (données de valeur par défaut).

Vous trouverez ci-dessous plusieurs scénarios compatibles :

  • Si l’enregistrement de session est récemment installé ou mis à niveau à partir d’une version antérieure à 1811 qui ne prend pas en charge la détection (journalisation) d’événements, les valeurs de registre associées sur chaque agent d’enregistrement de session sont les valeurs par défaut. Par défaut, il n’existe pas de stratégie de détection d’événements active ; aucun événement n’est donc journalisé.

  • Si l’enregistrement de session est mis à niveau à partir d’une version antérieure à 1811 qui prend en charge la détection d’événements mais dont la fonctionnalité est désactivée avant la mise à niveau, les valeurs de registre associées sur chaque agent d’enregistrement de session restent les valeurs par défaut. Par défaut, il n’existe pas de stratégie de détection d’événements active ; aucun événement n’est donc journalisé.

  • Si l’enregistrement de session est mis à niveau à partir d’une version antérieure à 1811 qui prend en charge la détection d’événements et dont la fonctionnalité est partiellement ou entièrement activée avant la mise à niveau, les valeurs de registre associées sur chaque agent d’enregistrement de session restent les valeurs par défaut. Par défaut, il n’existe pas de stratégie de détection d’événements active ; le comportement de la détection d’événements reste donc le même.

  • Si l’enregistrement de session est mis à niveau à partir de 1811, les stratégies de détection (journalisation) des événements configurées dans la console de stratégie restent en fonction.

Attention :

Lorsque vous activez la stratégie de détection d’événements définie par le système ou personnalisée dans la console de stratégie d’enregistrement de session, les paramètres de registre pertinents sur chaque agent d’enregistrement de session sont ignorés et vous ne pouvez plus utiliser les paramètres de registre pour la détection d’événements.

Stratégies de visionnage d’enregistrement

Le lecteur d’enregistrement de session prend en charge le contrôle d’accès basé sur les rôles. Vous pouvez créer des stratégies de visionnage d’enregistrement dans la console de stratégie d’enregistrement de session et ajouter plusieurs règles à chaque stratégie. Chaque règle détermine les utilisateurs ou groupes d’utilisateurs autorisés à visionner les enregistrements provenant d’autres utilisateurs et groupes d’utilisateur, d’applications et de bureaux publiés, de groupes de mise à disposition et de VDA que vous spécifiez.

Créer une stratégie de visionnage d’enregistrement personnalisée

Avant de pouvoir créer des stratégies de visionnage d’enregistrement, activez la fonctionnalité comme suit :

  1. Ouvrez une session sur la machine hébergeant le serveur d’enregistrement de session.
  2. À partir du menu Démarrer, choisissez Propriétés du serveur d’enregistrement de session.
  3. Dans la fenêtre Propriétés du serveur d’enregistrement de session, cliquez sur l’onglet RBAC.
  4. Cochez la case Autoriser la configuration de stratégies de visionnage d’enregistrement.

    Autoriser la configuration de stratégies de visionnage d'enregistrement

Pour créer une stratégie de visionnage d’enregistrement personnalisée :

Remarque : Différente des stratégies d’enregistrement et des stratégies de détection d’événements, une stratégie de visionnage d’enregistrement (y compris toutes les règles qui y ont été ajoutées) est active immédiatement lors de sa création. Vous n’avez pas besoin de l’activer.

  1. Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.

  2. Démarrez la console de stratégie d’enregistrement de session. Par défaut, il n’y a pas de stratégie de visionnage d’enregistrement.

    Stratégies de visionnage d'enregistrement

    Remarque : le menu Stratégies de visionnage d’enregistrement n’est disponible que si vous avez activé la fonctionnalité dans Propriétés du serveur d’enregistrement de session.

  3. Sélectionnez Stratégies de visionnage d’enregistrement dans le volet gauche. Dans la barre de menu, choisissez Ajouter une nouvelle stratégie pour créer une stratégie de visionnage d’enregistrement.

  4. (Facultatif) Cliquez avec le bouton droit de la souris sur la nouvelle stratégie et renommez-la.

  5. Cliquez avec le bouton droit sur la nouvelle stratégie et sélectionnez Ajouter une règle.

    Boîte de dialogue de sélection d'observateurs

  6. Cliquez sur Ajouter.

  7. Dans la boîte de dialogue Sélectionnez des utilisateurs ou des groupes d’utilisateurs, sélectionnez un utilisateur ou un groupe d’utilisateurs comme observateur d’enregistrement.

    Spécifier un utilisateur ou un groupe d'utilisateurs comme observateur

    Remarque :

    Dans chaque règle, vous ne pouvez sélectionner qu’un seul utilisateur ou groupe d’utilisateurs comme personne autorisée à visionner un enregistrement. Si vous sélectionnez plusieurs utilisateurs ou groupes d’utilisateurs, seule votre sélection la plus récente prend effet et apparaît dans la zone de texte.
    Lorsque vous autorisez un utilisateur à visionner des enregistrements (rôle Observateur), assurez-vous d’avoir affecté ce dernier au rôle Lecteur. Un utilisateur qui n’est pas autorisé à lire des sessions enregistrées reçoit un message d’erreur lorsqu’il essaye de lire une session enregistrée. Pour de plus amples informations, consultez la section Autoriser les utilisateurs.

  8. Cliquez sur OK, puis sur Suivant. La boîte de dialogue de définition des critères de règle apparaît.

  9. Sélectionnez et modifiez les critères de règle pour spécifier les enregistrements qui sont visibles par l’utilisateur autorisé spécifié précédemment :
    • Utilisateurs ou groupes
    • Applications ou bureaux publiés
    • Groupes de mise à disposition ou machines

    Spécifier les enregistrements qui peuvent être consultés

    Remarque : si vous ne spécifiez pas les critères de règle, l’utilisateur autorisé spécifié précédemment ne peut visionner aucun enregistrement.

  10. Suivez les instructions de l’assistant pour terminer l’installation.

    Par exemple :

    Configuration complète de la règle

Stratégies de réponse aux événements

Ce paramètre de stratégie vous permet d’envoyer des alertes par e-mail, de démarrer immédiatement l’enregistrement à l’écran, ou de faire les deux en réponse aux événements journalisés dans les sessions enregistrées. Si votre stratégie d’enregistrement active enregistre uniquement des événements spécifiques sans capturer d’écran, vous pouvez configurer un déclencheur d’événements pour démarrer l’enregistrement à l’écran immédiatement lorsqu’un événement spécifique se produit. C’est ce qu’on appelle l’enregistrement d’écran dynamique déclenché par un événement.

La seule stratégie de réponse aux événements définie par le système est Ne pas répondre. Vous pouvez créer des stratégies de réponse aux événements personnalisées si nécessaire. Une seule stratégie de réponse aux événements peut être active à la fois.

Pour obtenir un exemple d’alerte par e-mail, consultez la capture d’écran suivante.

Exemple d'alerte par e-mail

Conseil :

Cliquez sur l’URL de lecture pour ouvrir la page de lecture de la session enregistrée dans le lecteur Web. Cliquez ici pour ouvrir la page Tous les enregistrements dans le lecteur Web.

Stratégie de réponse aux événements définie par le système

Enregistrement de session fournit une stratégie de réponse aux événements définie par le système :

  • Ne pas répondre. La stratégie de réponse aux événements par défaut. Si vous ne spécifiez pas d’autre stratégie de réponse aux événements, ni les alertes par e-mail ni l’enregistrement dynamique de l’écran ne sont enclenchés en réponse aux événements enregistrés dans vos enregistrements.

Créer une stratégie de réponse personnalisée aux événements

  1. Ouvrez une session en tant qu’administrateur de stratégie autorisé sur le serveur sur lequel la console de stratégie d’enregistrement de session est installée.

  2. Démarrez la console de stratégie d’enregistrement de session. Par défaut, il n’existe pas de stratégie de réponse aux événements active.

    Aucune stratégie de réponse active aux événements

  3. Sélectionnez Stratégies de réponse aux événements dans le volet gauche. Dans la barre de menu, choisissez Ajouter une nouvelle stratégie.

  4. (Facultatif) Cliquez avec le bouton droit de la souris sur la nouvelle stratégie de réponse aux événements et renommez-la.

  5. Cliquez avec le bouton droit sur la nouvelle stratégie de réponse aux événements et sélectionnez Ajouter une règle.

  6. Sélectionnez Envoyer alerte par e-mail lorsqu’un démarrage de session est détecté ou Utiliser des déclencheurs d’événements pour spécifier comment réagir lorsqu’un événement de session est détecté.

    Sélectionner une réponse aux événements de session

  7. (Facultatif) Définissez les destinataires des e-mails et les propriétés de l’expéditeur.

    1. Saisissez les adresses e-mail des destinataires des alertes dans l’assistant Règles.

      Définir les destinataires de l'e-mail

    2. Configurez les paramètres de messagerie sortante dans Propriétés du serveur d’enregistrement de session.

      Paramètres de messagerie du courrier sortant

      Remarque :

      si vous sélectionnez plus de deux options dans la section Titre de l’e-mail, une boîte de dialogue vous avertit que l’objet de l’e-mail peut être trop long. Une fois que vous avez sélectionné Autoriser l’envoi de notifications par e-mail et cliqué sur Appliquer, Enregistrement de session envoie un e-mail pour vérifier vos paramètres de messagerie. Si un paramètre est incorrect, par exemple un mot de passe ou un port incorrect, Enregistrement de session renvoie un message d’erreur avec les détails de l’erreur.

      Erreur, le compte de messagerie ne peut pas envoyer de messages

      Vos paramètres de messagerie mettent environ cinq minutes à être appliqués. Pour que vos paramètres de messagerie prennent effet immédiatement ou pour résoudre le problème d’e-mails qui ne sont pas envoyés conformément aux paramètres, redémarrez le service Gestionnaire de stockage (CitrixSsRecStorageManager). Vous devez également redémarrer le service Gestionnaire de stockage si vous effectuez une mise à niveau vers la version actuelle à partir de la version 2006 et antérieure.

    3. Modifiez le registre pour accéder au lecteur Web.

      Pour que les URL de lecture de vos e-mails d’alerte fonctionnent comme prévu, accédez à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server et procédez comme suit :

      • Définissez les données de valeur de LinkHost sur l’URL du domaine que vous utilisez pour accéder au lecteur Web. Par exemple, pour accéder à un lecteur Web sur https://example.com/webplayer/#/player/, définissez les données de valeur de LinkHost sur https://example.com.

      • Ajoutez une nouvelle valeur, EmailThreshold, et définissez ses données sur un nombre compris entre 1 et 100. Les données de valeur déterminent le nombre maximal d’e-mails d’alerte qu’un compte d’envoi d’e-mails envoie en une seconde. Ce paramètre permet de ralentir le nombre d’e-mails envoyés et donc de réduire l’utilisation de l’UC. Si vous ne spécifiez pas de données de valeur ou si vous les définissez sur un nombre hors plage, les données de valeur sont ramenées à 25.

      Remarque :

      • Votre serveur de messagerie peut traiter un compte d’envoi d’e-mails comme bot de spam et l’empêcher d’envoyer des e-mails. Pour autoriser un compte à envoyer des e-mails, un client de messagerie tel qu’Outlook peut vous demander de vérifier que le compte est utilisé par un utilisateur humain.

      • Il y a une limite pour l’envoi d’e-mails dans un délai donné. Par exemple, lorsque la limite journalière est atteinte, vous ne pouvez pas envoyer d’e-mails avant le début de la journée suivante. Dans ce cas, assurez-vous que la limite est supérieure au nombre de sessions enregistrées au cours de la période.

  8. (Facultatif) Configurez les déclencheurs d’événements.

    Après avoir sélectionné Utilisez des déclencheurs d’événements pour spécifier comment réagir lorsqu’un événement de session est détecté, le bouton Configurer déclencheurs d’événements devient disponible. Cliquez dessus pour spécifier les événements journalisés pouvant déclencher des alertes par e-mail, un enregistrement dynamique d’écran ou les deux.

    Déclencheurs d'événement

    Remarque :

    Vous devez sélectionner les types d’événements que la stratégie de détection d’événements active consigne. Cliquez sur Confirmer lorsque vous avez terminé.

    Sélectionnez les types d’événements dans la liste déroulante et définissez des règles d’événement selon les deux dimensions pouvant être combinées à l’aide de l’opérateur AND logique. Vous pouvez configurer jusqu’à sept règles d’événement. Vous pouvez également définir vos déclencheurs d’événements dans la colonne Description ou laisser la colonne vide. La description définie d’un déclencheur d’événement est fournie dans les e-mails d’alerte si vous avez sélectionné Envoyer un e-mail et si les événements de ce type sont journalisés. Si Démarrer enregistrement d’écran est sélectionné, l’enregistrement dynamique de l’écran démarre automatiquement lorsque certains événements se produisent pendant un enregistrement d’événement uniquement. Définissez la durée de l’enregistrement d’écran dynamique. Si vous ne spécifiez pas la durée, l’enregistrement d’écran se poursuit jusqu’à la fin de la session enregistrée.

    Durée de l’enregistrement d’écran dynamique

    Pour obtenir la liste complète des types d’événements pris en charge, reportez-vous au tableau suivant.

    Type d’événement Dimension Option
    Démarrage de l’application    
    Nom de l’application
    Ligne de commande complète
    Fin de l’application    
    Nom de l’application
    Principaux    
    Nom de l’application
    Titre de la fenêtre
    Navigation sur le Web    
    URL
    Titre de l’onglet
    Nom du navigateur
    Création de fichier    
    Chemin
    Taille du fichier (Mo)
    Changement de nom du fichier    
    Chemin
    Nom
    Déplacement de fichier    
    Chemin d’accès source
    Chemin de destination
    Taille du fichier (Mo)
    Suppression de fichier    
    Chemin
    Taille du fichier (Mo)
    USB CDM    
    Lettre de lecteur
    USB générique    
    Nom de l’appareil
    Inactif    
    Durée d’inactivité (heures)
  9. Cliquez sur Suivant pour sélectionner et modifier les critères de règle.

    De la même façon que vous avez créez une stratégie d’enregistrement personnalisée, sélectionnez un ou plusieurs critères de règle : Utilisateurs ou Groupes, Applications ou bureaux publiés, Groupes de mise à disposition ou Machines et Adresse IP ou Plage d’adresses IP. Pour plus d’informations, consultez les instructions de la section Créer une stratégie d’enregistrement personnalisée.

    Critères de règle pour une stratégie de réponse aux événements

    >**Note:**
    >
    >When a session or an event meets more than one rule in a single event response policy, the oldest rule takes effect.
    
  10. Suivez les instructions de l’assistant pour terminer l’installation.
  11. Activez la nouvelle stratégie de réponse aux événements.

Activer une stratégie

  1. Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé la console de stratégie d’enregistrement de session.
  2. Démarrez la console de stratégie d’enregistrement de session.
  3. Si la fenêtre Se connecter au serveur d’enregistrement de session s’affiche, veillez à ce que le nom du serveur d’enregistrement de session, le protocole et le port sont corrects. Cliquez sur OK.
  4. Dans la console de stratégie d’enregistrement de session, développez Stratégies d’enregistrement ou Stratégies de journalisation d’événements au besoin.
  5. Sélectionnez la stratégie que vous souhaitez activer.
  6. Dans la barre de menu, choisissez Activer la stratégie.

Modifier une stratégie

  1. Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé la console de stratégie d’enregistrement de session.
  2. Démarrez la console de stratégie d’enregistrement de session.
  3. Si la fenêtre Se connecter au serveur d’enregistrement de session s’affiche, veillez à ce que le nom du serveur d’enregistrement de session, le protocole et le port sont corrects. Cliquez sur OK.
  4. Dans la console de stratégie d’enregistrement de session, développez Stratégies d’enregistrement ou Stratégies de journalisation d’événements au besoin.
  5. Sélectionnez la stratégie que vous souhaitez modifier. Les règles de cette stratégie s’affichent dans le volet droit.
  6. Pour ajouter, modifier ou supprimer une règle :
    • Dans la barre de menu, choisissez Ajouter une nouvelle règle. Si cette stratégie est active, une fenêtre indépendante s’affiche pour demander confirmation de l’action entreprise. Utilisez l’assistant Règles pour créer une règle.
    • Sélectionnez la règle que vous souhaitez modifier, cliquez avec le bouton droit de la souris et choisissez Propriétés. Utilisez l’assistant Règles pour modifier la règle.
    • Sélectionnez la règle que vous souhaitez supprimer, cliquez avec le bouton droit de la souris et choisissez Supprimer la règle.

Supprimer une stratégie

Remarque :

Vous ne pouvez pas supprimer une stratégie définie par le système ou une stratégie active.

  1. Ouvrez une session en tant qu’administrateur sur la machine sur laquelle vous avez installé la console de stratégie d’enregistrement de session.
  2. Démarrez la console de stratégie d’enregistrement de session.
  3. Si la fenêtre Se connecter au serveur d’enregistrement de session s’affiche, veillez à ce que le nom du serveur d’enregistrement de session, le protocole et le port sont corrects. Cliquez sur OK.
  4. Dans la console de stratégie d’enregistrement de session, développez Stratégies d’enregistrement ou Stratégies de journalisation d’événements au besoin.
  5. Dans le panneau gauche, sélectionnez la stratégie que vous souhaitez supprimer. Si la stratégie est active, vous devez en activer une autre.
  6. Dans la barre de menu, choisissez Supprimer la stratégie.
  7. Sélectionnez Oui pour confirmer l’action.

Comportement de substitution - définitions

Lorsque vous activez une stratégie, la stratégie précédemment active reste en vigueur jusqu’à ce que la session en cours d’enregistrement se termine ou que le fichier de session enregistrée soit substitué. Les fichiers sont substitués lorsqu’ils atteignent la taille maximale. Pour plus d’informations sur la taille maximale des fichiers pour les enregistrements, consultez la section Définir la taille des fichiers pour les enregistrements.

Le tableau suivant illustre en détail les événements qui se produisent lorsque vous appliquez une nouvelle stratégie d’enregistrement pendant qu’une session est en cours d’enregistrement et qu’une substitution a lieu :

Stratégie d’enregistrement précédente Nouvelle stratégie d’enregistrement Stratégie d’enregistrement après substitution
Ne pas enregistrer Toute autre stratégie Pas de modification. La nouvelle stratégie ne prend effet que lorsque l’utilisateur ouvre une nouvelle session.
Enregistrer sans notification Ne pas enregistrer L’enregistrement s’arrête.
Enregistrer sans notification Enregistrer avec notification L’enregistrement continue et un message de notification s’affiche.
Enregistrer avec notification Ne pas enregistrer L’enregistrement s’arrête.
Enregistrer avec notification Enregistrer sans notification L’enregistrement continue. Aucun message ne s’affiche avant que l’utilisateur ouvre une nouvelle session.