Session Recording

Journaliser les événements

L’enregistrement de session peut enregistrer des événements et les marquer dans des enregistrements en vue de faciliter leur recherche et lecture ultérieurement. Vous pouvez rechercher des événements d’intérêt au sein d’un grand nombre d’enregistrements et localiser les événements pendant la lecture dans le lecteur d’enregistrement de session.

Événements définis par le système

L’enregistrement de session peut journaliser les événements définis par le système suivants qui se produisent pendant les sessions enregistrées :

  • Insertion des périphériques de stockage de masse USB

  • Démarrages et fins d’applications

  • Opérations de changement de nom, de création, de suppression et de déplacement de fichiers dans les sessions et les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés).

  • Activités de navigation sur Internet

  • Événements de la fenêtre principale

  • Activités du presse-papiers

  • Modifications apportées au registre Windows

Insertion des périphériques de stockage de masse USB

L’enregistrement de session peut consigner l’insertion d’un périphérique de stockage de masse USB redirigé générique ou mappé (CDM) sur un client sur lequel l’application Citrix Workspace pour Windows ou Mac est installée. Enregistrement de session marque ces événements dans l’enregistrement.

Remarque :

Pour utiliser un périphérique de stockage de masse USB inséré et consigner les événements d’insertion, définissez la stratégie Redirection de périphérique USB client sur Autorisé dans Citrix Studio.

Actuellement, seule l’insertion de périphériques de stockage de masse USB (Classe USB 08) peut être consignée. Pour plus d’informations, consultez la section Stratégies de détection d’événements.

Démarrages et fins d’applications

L’enregistrement de session prend en charge la journalisation des démarrages et des arrêts d’applications Lorsque vous ajoutez un processus à la liste de surveillance des applications, les applications lancées par le processus ajouté et ses processus enfants sont surveillées. Les processus enfants d’un processus parent qui démarre avant l’exécution de l’enregistrement de session peuvent également être capturés.

Par défaut, Enregistrement de session ajoute les noms des processus, cmd.exe, powershell.exe et wsl.exe, à la liste de surveillance des applications. Si vous sélectionnez Consigner les événements de démarrage d’application et Consigner les événements de fin d’application pour une stratégie de journalisation des événements, les démarrages et les fins des applications Invite de commandes, PowerShell et Sous-système Windows pour Linux (WSL) sont consignés, que vous ajoutiez ou non manuellement leurs noms de processus à la liste de surveillance des applications. Les noms de processus par défaut ne sont pas visibles dans la liste de surveillance des applications.

En outre, Enregistrement de session fournit une ligne de commande complète pour chaque événement de démarrage d’application consigné.

Événements de démarrage et de fin d'application

Opérations de changement de nom, de création, de suppression et de déplacement de fichiers dans les sessions et les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes

L’enregistrement de session peut consigner les opérations de changement de nom, de création, de suppression et de déplacement sur les fichiers et dossiers cibles que vous spécifiez dans la Liste de surveillance des fichiers. L’enregistrement de session peut également consigner les transferts de fichiers entre les hôtes de session (VDA) et les machines clientes (y compris les lecteurs clients mappés et les périphériques de stockage de masse génériques redirigés). La sélection de l’option Consigner les événements de fichiers sensibles déclenche la journalisation des transferts de fichiers, que vous spécifiiez ou non la Liste de surveillance des fichiers. Pour plus d’informations, consultez la section Stratégies de détection d’événements.

Remarque :

Pour activer le glisser-déplacer de fichier et capturer les événements de glisser-déplacer, définissez la stratégie Glisser-déposer sur Activé dans Citrix Studio.

Activités de navigation sur Internet

Vous pouvez enregistrer les activités des utilisateurs sur les navigateurs pris en charge et marquer les événements dans l’enregistrement. Le nom du navigateur, l’URL et le titre de la page sont enregistrés. Pour obtenir un exemple, consultez la capture d’écran suivante.

Image de l'activité de navigation sur Internet

Lorsque vous éloignez votre curseur d’une page Web qui a le focus, votre navigation sur cette page Web est marquée sans afficher le nom du navigateur. Cette fonctionnalité peut être utilisée pour estimer combien de temps un utilisateur reste sur une page Web. Pour obtenir un exemple, consultez la capture d’écran suivante.

Image du curseur s'éloignant d'une page Web qui a le focus

Liste des navigateurs pris en charge :

Navigateur Version
Chrome 69 et versions ultérieures
Internet Explorer 11
Firefox 61 et versions ultérieures

Remarque :

Cette fonctionnalité nécessite Enregistrement de session version 1906 ou ultérieure. Pour plus d’informations, consultez la section Stratégies de journalisation d’événements.

Événements de la fenêtre principale

L’enregistrement de session peut journaliser les événements lorsque la fenêtre d’une application est au-dessus de tous les autres fenêtres et ajouter une balise aux événements de la fenêtre principale de l’enregistrement. Le nom, le titre et le numéro du processus sont consignés.

Événements de la fenêtre principale

Activités du presse-papiers

L’enregistrement de session peut consigner les opérations de copie de texte, d’images et de fichiers à l’aide du presse-papiers. Le nom du processus et le chemin d’accès du fichier sont consignés pour une copie de fichier. Le titre et le nom du processus sont consignés pour une copie de texte. Le nom du processus est consigné pour une copie d’image.

Remarque : Le contenu du texte copié n’est pas consigné par défaut. Pour consigner le contenu du texte, accédez à l’Agent d’enregistrement de session et définissez HKEY_LOCAL_MACHINE\SOFTWARE\ Citrix\SmartAuditor\Agent\CaptureClipboardContent sur 1 (la valeur par défaut est 0).

Événements d'activité du presse-papiers

Modifications apportées au registre Windows

À partir de la version 2109, l’enregistrement de session peut détecter et journaliser les modifications apportées au registre suivantes lors de l’enregistrement de sessions :

Modification du registre Événement correspondant
Ajouter une clé Créer registre
Ajouter une valeur Définir valeur du registre
Renommer une clé Renommer registre
Renommer une valeur Supprimer valeur du registre et Définir valeur du registre
Modifier une valeur existante Définir valeur du registre
Supprimer une clé Supprimer registre
Supprimer une valeur Supprimer valeur du registre

Par exemple :

Événements de modification du registre

Pour activer cette fonctionnalité de surveillance du registre, sélectionnez l’option Consigner les modifications du registre pour votre stratégie de détection d’événements. Pour plus d’informations, consultez la section Créer une stratégie de détection d’événements personnalisée.

Événements personnalisés

L’agent d’enregistrement de session fournit l’interface COM IUserAPI que les applications tierces peuvent utiliser pour ajouter des données d’événement spécifiques à l’application dans les sessions enregistrées. En fonction de la personnalisation de l’événement, l’enregistrement de session peut bloquer les informations sensibles et consigner les événements de pause et de reprise de session en conséquence.

Blocage d’informations sensibles

L’enregistrement de session vous permet d’ignorer certaines périodes lors de l’enregistrement de l’écran et de bloquer les informations sensibles pendant ces périodes au cours de la lecture de session. Pour utiliser cette fonctionnalité, utilisez Enregistrement de session 2012 et versions ultérieures.

Invite de contenu bloqué

Pour utiliser cette fonctionnalité, procédez comme suit :

  1. Dans Propriétés de l’Agent d’enregistrement de session, activez la case à cocher Autoriser les applications tierces à enregistrer des données personnalisées sur cette machine VDA et cliquez sur Appliquer.

    Image de l'autorisation de la personnalisation d'événements

  2. Accordez aux utilisateurs l’autorisation d’appeler l’API d’événements de l’enregistrement de session (interface COM IUserAPI).

    L’enregistrement de session a ajouté le contrôle d’accès à l’interface COM API d’événement dans la version 7.15. Seuls les utilisateurs autorisés peuvent invoquer la fonctionnalité pour insérer des métadonnées d’événement dans un enregistrement.

    Les administrateurs locaux bénéficient de cette autorisation par défaut. Pour accorder cette autorisation à d’autres utilisateurs, utilisez l’outil de configuration Windows DCOM :

    1. Ouvrez l’outil de configuration Windows DCOM sur l’agent d’enregistrement de session en exécutant dcomcnfg.exe.

      Image de l'outil de configuration Windows DCOM

    2. Cliquez avec le bouton droit sur Agent d’enregistrement de session Citrix et choisissez Propriétés.

      Image de la sélection des propriétés de l'agent d'enregistrement de session

    3. Sélectionnez l’onglet Sécurité, cliquez sur Modifier pour ajouter des utilisateurs disposant de l’autorisation Activation locale dans la section Autorisations d’exécution et d’activation.

      Image de l'ajout d'utilisateurs avec l'autorisation Activation locale

      Image de l'ajout d'utilisateurs avec l'autorisation Activation locale

    Remarque :

    la configuration DCOM prend effet immédiatement. Il n’est pas nécessaire de redémarrer les services ou la machine.

  3. Démarrez une session virtuelle Citrix.

  4. Démarrez PowerShell et modifiez le lecteur actuel vers le dossier <chemin d’installation de l’Agent d’enregistrement de session>\Bin pour importer le module SRUserEventHelperSnapin.dll.

  5. Exécutez les applets de commande Session-Pause et Session-Resume pour définir les paramètres de déclenchement du blocage des informations sensibles.

    Paramètre Description Requis ou facultatif
    -APP Nom de l’application qui appelle l’applet de commande. Requis
    -Reason Raison pour laquelle le contenu est bloqué. Si vous laissez ce paramètre non spécifié, la valeur par défaut s’affiche, indiquant Contenu bloqué et Du contenu sensible a été détecté et bloqué.. Si vous définissez ce paramètre, la raison que vous spécifiez s’affiche lorsque vous accédez à la période bloquée pendant la lecture de session. Facultatif

    Par exemple, vous pouvez exécuter Session-Pause de la manière suivante :

    Image de l'exécution de Session-Pause

Rechercher et visualiser des enregistrements avec des événements marqués

Rechercher des enregistrements avec des événements marqués

Le lecteur d’enregistrement de session vous permet d’effectuer des recherches avancées sur des enregistrements avec événements marqués.

  1. Dans le lecteur d’enregistrement de session, cliquez sur Recherche avancée dans la barre d’outils ou choisissez Outils > Recherche avancée.
  2. Définissez vos critères de recherche dans la boîte de dialogue Recherche avancée.

L’onglet Événements vous permet de rechercher des événements marqués dans les sessions par texte d’événement, type d’événement ou les deux. Vous pouvez combiner les filtres Événements, Commun, Date/Heure et Autre pour rechercher des enregistrements répondant à vos critères.

Image de la recherche avancée d'événements

Remarque :

  • La liste Type d’événement détaille tous les types d’événements qui ont été consignés par l’enregistrement de session Citrix. Vous pouvez sélectionner n’importe quel type d’événement à rechercher. La sélection de Tout événement défini par Citrix équivaut à rechercher tous les enregistrements avec tout type d’événement consigné par l’enregistrement de session Citrix.
  • Le filtre Texte de l’événement prend en charge la correspondance partielle. Les caractères génériques ne sont pas pris en charge.
  • Le filtre Texte de l’événement n’est pas sensible à la casse lors de la correspondance.
  • Pour les types d’événements, les mots App Start, App End, Client drive mapping et File Rename ne donnent pas de résultat lors d’une recherche par Texte de l’événement. Par conséquent, lorsque vous tapez App Start, App End, Client drive mapping ou File Rename dans la zone Texte de l’événement, aucun résultat ne peut être trouvé.

Lire des enregistrements avec des événements marqués

Lorsque vous lisez un enregistrement avec des événements marqués, les événements sont présents dans le panneau Événements et signets et apparaissent en tant que points jaunes dans la partie inférieure du lecteur d’enregistrement de session :

Image de lecture des enregistrements avec des événements marqués

Vous pouvez utiliser les événements pour naviguer dans une session enregistrée ou passer directement aux points où les événements sont marqués.

Journaliser les événements