Journaliser les événements
L’enregistrement de session peut enregistrer des événements et les marquer dans des enregistrements en vue de faciliter leur recherche et lecture ultérieurement. Vous pouvez rechercher des événements d’intérêt au sein d’un grand nombre d’enregistrements et localiser les événements pendant la lecture dans le lecteur d’enregistrement de session.
Événements définis par le système
L’enregistrement de session peut journaliser les événements définis par le système suivants qui se produisent pendant les sessions enregistrées :
-
Insertion des périphériques de stockage de masse USB
-
Démarrages et fins d’applications
-
Défaillances d’application
-
Installations et désinstallations d’applications
-
Opérations de changement de nom, de création, de suppression et de déplacement de fichier lors de sessions
-
Transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés)
-
Activités de navigation sur Internet
-
Événements de la fenêtre principale
-
Activités du presse-papiers
-
Modifications apportées au registre Windows
-
Modifications du compte utilisateur
-
Connexions RDP
Remarque :
Les applications créées par PowerBuilder peuvent se fermer de manière inattendue lorsque des stratégies actives détectent les activités de navigation Web et les événements de la fenêtre principale. Pour éviter ce problème, utilisez PowerBuilder 2019 R3 pour créer vos applications.
Insertion des périphériques de stockage de masse USB
L’enregistrement de session peut consigner l’insertion d’un périphérique de stockage de masse USB redirigé générique ou mappé (CDM) sur un client sur lequel l’application Citrix Workspace pour Windows ou Mac est installée. Enregistrement de session marque ces événements dans l’enregistrement.
Remarque :
Pour utiliser un périphérique de stockage de masse USB inséré et consigner les événements d’insertion, définissez la stratégie Redirection de périphérique USB client sur Autorisé dans Citrix Studio.
Actuellement, seule l’insertion de périphériques de stockage de masse USB (Classe USB 08) peut être consignée. Pour plus d’informations, consultez la section Stratégies de détection d’événements.
Démarrages et fins d’applications
L’enregistrement de session prend en charge la journalisation des démarrages et des arrêts d’applications Lorsque vous ajoutez un processus à la liste de surveillance des applications, les applications lancées par le processus ajouté et ses processus enfants sont surveillées. Les processus enfants d’un processus parent qui démarre avant l’exécution de l’enregistrement de session peuvent également être capturés.
Par défaut, Enregistrement de session ajoute les noms des processus, cmd.exe, powershell.exe et wsl.exe, à la liste de surveillance des applications. Si vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application pour une stratégie de journalisation des événements, les démarrages et les fins des applications Invite de commandes, PowerShell et Sous-système Windows pour Linux (WSL) sont consignés, que vous ajoutiez ou non manuellement leurs noms de processus à la liste de surveillance des applications. Les noms de processus par défaut ne sont pas visibles dans la liste de surveillance des applications.
En outre, Enregistrement de session fournit une ligne de commande complète pour chaque événement de démarrage d’application consigné.
Échecs applicatifs
Vous pouvez consigner les fermetures inattendues d’applications et les applications qui ne répondent pas en sélectionnant Consigner défaillances d’application lors de la création de votre stratégie de détection d’événements. La règle Consigner défaillances d’application s’applique à toutes les applications.
Installations et désinstallations d’applications
La règle Consigner installations et désinstallations d’applications s’applique à toutes les applications.
Modifications du compte utilisateur
Vous pouvez consigner la création, l’activation, la désactivation, la suppression, les changements de nom et les tentatives de modification du mot de passe de compte.
Connexions RDP
Vous pouvez consigner les connexions RDP initiées à partir du VDA hébergeant la session enregistrée.
Opérations de changement de nom, de création, de suppression et de déplacement de fichiers dans les sessions et les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes
L’enregistrement de session peut consigner les opérations de changement de nom, de création, de suppression et de déplacement sur les fichiers et dossiers cibles que vous spécifiez dans la Liste de surveillance des fichiers. L’enregistrement de session peut également consigner les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés). La sélection de l’option Consigner les événements de fichiers sensibles déclenche la journalisation des transferts de fichiers, que vous spécifiiez ou non la Liste de surveillance des fichiers. Pour plus d’informations, consultez la section Stratégies de détection d’événements.
Remarque :
Pour activer le glisser-déplacer de fichier et capturer les événements de glisser-déplacer, définissez la stratégie Glisser-déposer sur Activé dans Citrix Studio.
Activités de navigation sur Internet
Vous pouvez enregistrer les activités des utilisateurs sur les navigateurs pris en charge et marquer les événements dans l’enregistrement. Le nom du navigateur, l’URL et le titre de la page sont enregistrés. Pour obtenir un exemple, consultez la capture d’écran suivante.
Lorsque vous éloignez votre curseur d’une page Web qui a le focus, votre navigation sur cette page Web est marquée sans afficher le nom du navigateur. Cette fonctionnalité peut être utilisée pour estimer combien de temps un utilisateur reste sur une page Web. Pour obtenir un exemple, consultez la capture d’écran suivante.
Liste des navigateurs pris en charge :
| Navigateur | Version |
|---|---|
| Chrome | 69 et versions ultérieures |
| Internet Explorer | 11 |
| Firefox | 61 et versions ultérieures |
Remarque :
Cette fonctionnalité nécessite Enregistrement de session version 1906 ou ultérieure. Pour plus d’informations, consultez la section Stratégies de détection d’événements.
Événements de la fenêtre principale
L’enregistrement de session peut journaliser les événements lorsque la fenêtre d’une application est au-dessus de tous les autres fenêtres. Le nom, le titre et le numéro du processus sont consignés.
Activités du presse-papiers
L’enregistrement de session peut consigner les opérations de copie de texte, d’images et de fichiers à l’aide du presse-papiers. Le nom du processus et le chemin d’accès du fichier sont consignés pour une copie de fichier. Le titre et le nom du processus sont consignés pour une copie de texte. Le nom du processus est consigné pour une copie d’image.
Remarque : Le contenu du texte copié n’est pas consigné par défaut. Pour consigner le contenu du texte, accédez à l’Agent d’enregistrement de session et définissez HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\SmartAuditor\Agent\CaptureClipboardContent sur 1 (la valeur par défaut est 0).
Modifications apportées au registre Windows
À partir de la version 2109, l’enregistrement de session peut détecter et journaliser les modifications apportées au registre suivantes lors de l’enregistrement de sessions :
| Modification du registre | Événement correspondant |
|---|---|
| Ajouter une clé | Créer registre |
| Ajouter une valeur | Définir valeur du registre |
| Renommer une clé | Renommer registre |
| Renommer une valeur | Supprimer valeur du registre et Définir valeur du registre |
| Modifier une valeur existante | Définir valeur du registre |
| Supprimer une clé | Supprimer registre |
| Supprimer une valeur | Supprimer valeur du registre |
Par exemple :
Pour activer cette fonctionnalité de surveillance du registre, sélectionnez l’option Consigner les modifications du registre pour votre stratégie de détection d’événements. Pour plus d’informations, consultez la section Créer une stratégie de détection d’événements personnalisée.
Événements personnalisés
L’agent d’enregistrement de session fournit l’interface COM IUserAPI que les applications tierces peuvent utiliser pour ajouter des données d’événement spécifiques à l’application dans les sessions enregistrées. En fonction de la personnalisation de l’événement, l’enregistrement de session peut bloquer les informations sensibles et consigner les événements de pause et de reprise de session en conséquence.
Blocage d’informations sensibles
L’enregistrement de session vous permet d’ignorer certaines périodes lors de l’enregistrement de l’écran et de bloquer les informations sensibles pendant ces périodes au cours de la lecture de session. Pour utiliser cette fonctionnalité, utilisez Enregistrement de session 2012 et versions ultérieures.
Pour utiliser cette fonctionnalité, procédez comme suit :
-
Dans Propriétés de l’Agent d’enregistrement de session, activez la case à cocher Autoriser les applications tierces à enregistrer des données personnalisées sur cette machine VDA et cliquez sur Appliquer.
-
Accordez aux utilisateurs l’autorisation d’appeler l’API d’événements de l’enregistrement de session (interface COM IUserAPI).
L’enregistrement de session a ajouté le contrôle d’accès à l’interface COM API d’événement dans la version 7.15. Seuls les utilisateurs autorisés peuvent invoquer la fonctionnalité pour insérer des métadonnées d’événement dans un enregistrement.
Les administrateurs locaux bénéficient de cette autorisation par défaut. Pour accorder cette autorisation à d’autres utilisateurs, utilisez l’outil de configuration Windows DCOM :
-
Ouvrez l’outil de configuration Windows DCOM sur l’agent d’enregistrement de session en exécutant
dcomcnfg.exe.
-
Cliquez avec le bouton droit sur Agent d’enregistrement de session Citrix et choisissez Propriétés.
-
Sélectionnez l’onglet Sécurité, puis cliquez sur Modifier pour ajouter des utilisateurs disposant de l’autorisation Activation locale dans la section Autorisations d’exécution et d’activation.
Remarque :
la configuration DCOM prend effet immédiatement. Il n’est pas nécessaire de redémarrer les services ou la machine.
-
-
Démarrez une session virtuelle Citrix.
-
Démarrez PowerShell et modifiez le lecteur actuel vers le dossier <chemin d’installation de l’Agent d’enregistrement de session>\Bin pour importer le module SRUserEventHelperSnapin.dll.
-
Exécutez les applets de commande
Session-PauseetSession-Resumepour définir les paramètres de déclenchement du blocage des informations sensibles.Paramètre Description Requis ou facultatif -APPNom de l’application qui appelle l’applet de commande. Requis -ReasonRaison pour laquelle le contenu est bloqué. Si vous laissez ce paramètre non spécifié, la valeur par défaut s’affiche, indiquant Contenu bloqué et Du contenu sensible a été détecté et bloqué.. Si vous définissez ce paramètre, la raison que vous spécifiez s’affiche lorsque vous accédez à la période bloquée pendant la lecture de session. Facultatif Par exemple, vous pouvez exécuter
Session-Pausede la manière suivante :
Rechercher et visualiser des enregistrements avec des événements marqués
Rechercher des enregistrements avec des événements marqués
Le lecteur d’enregistrement de session vous permet d’effectuer des recherches avancées sur des enregistrements avec événements marqués.
- Dans le lecteur d’enregistrement de session, cliquez sur Recherche avancée dans la barre d’outils ou choisissez Outils > Recherche avancée.
- Définissez vos critères de recherche dans la boîte de dialogue Recherche avancée.
L’onglet Événements vous permet de rechercher des événements marqués dans les sessions par texte d’événement, type d’événement ou les deux. Vous pouvez combiner les filtres Événements, Commun, Date/Heure et Autre pour rechercher des enregistrements répondant à vos critères.
Remarque :
- La liste Type d’événement répertorie tous les types d’événements. Vous pouvez sélectionner un type d’événement à rechercher. La sélection de Tout événement défini par Citrix équivaut à rechercher tous les enregistrements avec tout type d’événement consigné par l’enregistrement de session Citrix.
- Le filtre Texte de l’événement prend en charge la correspondance partielle. Les caractères génériques ne sont pas pris en charge.
- Le filtre Texte de l’événement n’est pas sensible à la casse lors de la correspondance.
- Pour les types d’événements, les mots
App Start,App End,Client drive mappingetFile Renamene donnent pas de résultat lors d’une recherche par Texte de l’événement. Par conséquent, lorsque vous tapezApp Start,App End,Client drive mappingouFile Renamedans la zone Texte de l’événement, aucun résultat ne peut être trouvé.
Lire des enregistrements avec des événements marqués
Lorsque vous lisez un enregistrement avec des événements marqués, les événements sont présents dans le panneau Événements et signets et apparaissent en tant que points jaunes dans la partie inférieure du lecteur d’enregistrement de session :
Vous pouvez utiliser les événements pour naviguer dans une session enregistrée ou passer directement aux points où les événements sont marqués.