Journaliser les événements

L’enregistrement de session peut enregistrer des événements et les marquer dans des enregistrements en vue de faciliter leur recherche et lecture ultérieurement. Vous pouvez facilement rechercher des événements d’intérêt au sein d’un grand nombre d’enregistrements et localiser les événements pendant la lecture dans le lecteur d’enregistrement de session.

Insertion dans le journal des périphériques de stockage de masse USB

L’enregistrement de session peut consigner l’insertion d’un périphérique de stockage de masse USB redirigé générique ou mappé (CDM) sur une machine cliente sur laquelle application Citrix Workspace pour Windows ou Mac est installé et peut marquer l’événement dans l’enregistrement.

Remarque :

Actuellement, seule l’insertion de périphériques de stockage de masse USB (Classe USB 08) peut être consignée. Pour que la fonction fonctionne comme prévu, mettez à niveau l’enregistrement de session et le VDA vers la version 7.17 ou une version ultérieure.

Activer ou désactiver la journalisation

Sur l’agent d’enregistrement de session, trois clés de registre sont ajoutées pour activer ou désactiver cette fonctionnalité. Les clés sont définies par défaut sur 0, ce qui signifie que la fonctionnalité est désactivée par défaut.

Pour activer ou désactiver la fonctionnalité, procédez comme suit :

  1. Une fois l’installation de l’enregistrement de session terminée, connectez-vous en tant qu’administrateur à la machine sur laquelle vous avez installé l’agent d’enregistrement de session.
  2. Ouvrez l’éditeur de registre.
  3. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Définissez la valeur de EnableSessionEvents sur 1 ou utilisez la valeur par défaut 0.
    1: active la journalisation des événements globalement
    0: désactive la journalisation des événements globalement
  5. Définissez la valeur de EnableCDMUSBDriveEvents sur 1 ou utilisez la valeur par défaut, 0.
    1: active la journalisation de l’insertion de périphériques de stockage de masse USB mappés CDM 0: désactive la journalisation de l’insertion de périphériques de stockage de masse USB mappés CDM
  6. Définissez la valeur de EnableGenericUSBDriveEvents sur 1 ou utilisez la valeur par défaut, 0.
    1: active la journalisation de l’insertion de périphériques de stockage de masse USB génériques redirigés 0: désactive la journalisation de l’insertion de périphériques de stockage de masse USB génériques redirigés
  7. (Facultatif) Dans Citrix Studio, configurez la stratégie de mappage CDM (activée par défaut) et la stratégie de redirection USB (désactivée par défaut) selon les besoins.

Le tableau suivant décrit les scénarios d’utilisation et les paramètres de clé de registre correspondants.

Scénario Paramètre de clé de registre
Pour consigner l’insertion des périphériques de stockage de masse USB redirigés génériques et mappés CDM EnableSessionEvents = 1; EnableCDMUSBDriveEvents = 1; EnableGenericUSBDriveEvents = 1
Pour consigner uniquement l’insertion des périphériques de stockage de masse USB mappés CDM EnableSessionEvents = 1;EnableCDMUSBDriveEvents = 1; EnableGenericUSBDriveEvents = 0
Pour consigner uniquement l’insertion des périphériques de stockage de masse USB redirigés génériques EnableSessionEvents = 1; EnableCDMUSBDriveEvents = 0; EnableGenericUSBDriveEvents = 1
Pour désactiver la journalisation des événements globalement EnableSessionEvents = 0; EnableCDMUSBDriveEvents = 0; EnableGenericUSBDriveEvents = 0

Avertissement :

la modification incorrecte du Registre peut entraîner des problèmes graves pouvant nécessiter la réinstallation de votre système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

Journaliser les démarrages et les arrêts d’applications

L’enregistrement de session prend en charge la journalisation des démarrages et des arrêts d’applications Cette fonctionnalité étend la diversité des événements que l’enregistrement de session peut capturer.

Remarque :

pour qu’elle fonctionne comme prévu, mettez à niveau l’agent d’enregistrement de session et le lecteur d’enregistrement de session vers la version 1808 ou une version ultérieure.

Activer ou désactiver la journalisation

Sur l’agent d’enregistrement de session, une clé de registre EnableAppLaunchEvents est ajoutée pour activer ou désactiver cette fonctionnalité. La clé de registre est définie par défaut sur 0, ce qui signifie que la fonctionnalité est désactivée par défaut.

Pour activer ou désactiver la fonctionnalité, procédez comme suit :

  1. Une fois l’installation de l’enregistrement de session terminée, connectez-vous en tant qu’administrateur à la machine sur laquelle vous avez installé l’agent d’enregistrement de session.
  2. Ouvrez l’éditeur de registre.
  3. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Définissez la valeur de EnableSessionEvents sur 1 ou utilisez la valeur par défaut 0.
    1: active la journalisation des événements globalement 0: désactive la journalisation des événements globalement
  5. Définissez la valeur de EnableAppLaunchEvents sur 1 ou 2 ou utilisez la valeur par défaut, 0.
    1 : active la journalisation des démarrages d’applications uniquement
    2 : active la journalisation des démarrages et des arrêts d’applications
    0 : désactive la journalisation des démarrages et des arrêts d’applications
Scénario Paramètre de clé de registre
Pour activer la journalisation des démarrages d’applications uniquement EnableSessionEvents = 1 ; EnableAppLaunchEvents = 1
Pour activer la journalisation à la fois des démarrages et des arrêts d’applications EnableSessionEvents = 1; EnableAppLaunchEvents = 2
Pour désactiver la journalisation des démarrages et des arrêts d’applications Définissez les deux registres suivants (ou l’un des deux) sur 0 : EnableSessionEvents = 0 ; EnableAppLaunchEvents = 0

Avertissement :

la modification incorrecte du Registre peut entraîner des problèmes graves pouvant nécessiter la réinstallation de votre système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

Spécifier les applications cibles à surveiller

Un filtre de registre nommé AppMonitorList est disponible pour vous permettre de spécifier les applications cibles à surveiller et ainsi éviter que trop d’événements ne soient consignés. Aucune application n’est spécifiée par défaut, ce qui signifie qu’aucune application n’est capturée par défaut.

Pour spécifier les applications à surveiller, procédez comme suit :

  1. Ouvrez une session en tant qu’administrateur sur l’ordinateur sur lequel vous avez installé l’agent d’enregistrement de session.
  2. Ouvrez l’éditeur de registre.
  3. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Ajoutez les noms de processus des applications cibles dans AppMonitorList.

image localisée

Remarque :

  • Pour capturer le lancement et l’arrêt d’une application, ajoutez le nom du processus de l’application dans AppMonitorList. Par exemple, pour capturer le lancement de Connexion Bureau à distance, ajoutez le nom du processus mstsc.exe dans AppMonitorList.
  • AppMonitorList est un registre à chaînes multiples. Chaque chaîne ajoutée doit se terminer par un CRLF.
  • Seule la correspondance exacte est prise en charge. Les caractères génériques ne sont pas pris en charge.
  • Les noms des processus que vous ajoutez ne sont pas sensibles à la casse.
  • Pour éviter qu’une quantité excessive d’événements ne sature les enregistrements, n’ajoutez aucun nom de processus système (par exemple, explorer.exe) et de navigateurs Web au Registre.

Opérations de changement de nom de fichier journal (fonctionnalité expérimentale)

Vous pouvez consigner les opérations de changement de nom de fichier dans les dossiers cibles et marquer l’événement dans l’enregistrement.

Remarque :

pour qu’elle fonctionne comme prévu, mettez à niveau tous les composants de l’agent d’enregistrement de session, y compris les composants de l’administration d’enregistrement de session, l’agent d’enregistrement de session et le lecteur d’enregistrement de session vers la version 1808 ou une version ultérieure.

Activer ou désactiver la journalisation

Sur l’agent d’enregistrement de session, une clé de registre EnableFileOperationMonitorEvents est ajoutée pour activer ou désactiver cette fonctionnalité. La clé de registre est définie par défaut sur 0, ce qui signifie que la fonctionnalité est désactivée par défaut.

Pour activer ou désactiver la fonctionnalité, procédez comme suit :

  1. Une fois l’installation de l’enregistrement de session terminée, connectez-vous en tant qu’administrateur à la machine sur laquelle vous avez installé l’agent d’enregistrement de session.
  2. Ouvrez l’éditeur de registre.
  3. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Définissez la valeur de EnableSessionEvents sur 1 ou utilisez la valeur par défaut 0.
    1: active la journalisation des événements globalement 0: désactive la journalisation des événements globalement
  5. Définissez la valeur de EnableFileOperationMonitorEvents sur 1 ou utilisez la valeur par défaut, 0.
    1 : active la journalisation des opérations de changement de nom de fichier
    0 : désactive la journalisation des opérations de changement de nom de fichier

    Pour activer la journalisation des opérations de changement de nom de fichier, définissez EnableSessionEvents et EnableFileOperationMonitorEvents sur 1.

  6. Redémarrez l’agent d’enregistrement de session pour que vos paramètres prennent effet.
    Si vous utilisez MCS ou PVS pour le déploiement, modifiez les paramètres sur votre image principale et effectuez une mise à jour pour que vos modifications prennent effet.

Avertissement :

la modification incorrecte du Registre peut entraîner des problèmes graves pouvant nécessiter la réinstallation de votre système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil. Veillez à faire une copie de sauvegarde de votre registre avant de le modifier.

Spécifier les dossiers cibles à surveiller

Dans la phase expérimentale, un filtre de registre nommé FileOperationMonitorList est disponible pour vous permettre de spécifier les dossiers cibles à surveiller et ainsi éviter que trop d’événements ne soient consignés. Aucun dossier n’est spécifié par défaut, ce qui signifie qu’aucun fichier n’est capturé par défaut.

Pour spécifier les dossiers à surveiller, procédez comme suit :

  1. Ouvrez une session en tant qu’administrateur sur l’ordinateur sur lequel vous avez installé l’agent d’enregistrement de session.
  2. Ouvrez l’éditeur de registre.
  3. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents.
  4. Ajoutez les chaînes de chemin des dossiers cibles dans FileOperationMonitorList.

    image localisée

    Remarque :

    • Pour capturer les opérations de changement de nom sur un fichier, ajoutez la chaîne de chemin du dossier du fichier dans FileOperationMonitorList. Par exemple, pour capturer les opérations de changement de nom sur le fichier sharing.ppt dans C:\User\File, ajoutez la chaîne de chemin C:\User\File dans FileOperationMonitorList.
    • FileOperationMonitorList est un registre à chaînes multiples. Chaque chaîne ajoutée doit se terminer par un CRLF.
    • Seule la correspondance exacte est prise en charge. Les caractères génériques ne sont pas pris en charge.
    • Les chaînes de chemin que vous ajoutez sont insensibles à la casse.
  5. Redémarrez le service Agent d’enregistrement de session pour que votre paramètre prenne effet.
    Si vous utilisez MCS ou PVS pour le déploiement, modifiez le paramètre sur votre image principale et effectuez une mise à jour pour que vos modifications prennent effet.

Rechercher et visualiser des enregistrements avec des événements marqués

Rechercher des enregistrements avec des événements marqués

Le lecteur d’enregistrement de session vous permet d’effectuer des recherches avancées sur des enregistrements avec événements marqués.

  1. Dans le lecteur d’enregistrement de session, cliquez sur Recherche avancée dans la barre d’outils ou choisissez Outils > Recherche avancée.
  2. Définissez vos critères de recherche dans la boîte de dialogue Recherche avancée.

L’onglet Événements vous permet de rechercher des événements marqués dans les sessions par texte d’événement et/ou type d’événement. Vous pouvez combiner les filtres Événements, Commun, Date/Heure et Autre pour rechercher des enregistrements répondant à vos critères.

image localisée

Remarque :

  • La liste déroulante Type d’événement détaille tous les types d’événements qui ont été consignés par l’enregistrement de session Citrix. Vous pouvez sélectionner n’importe quel type d’événement à rechercher. La sélection de Tout événement défini par Citrix équivaut à rechercher tous les enregistrements avec tout type d’événement consigné par l’enregistrement de session Citrix.
  • Le filtre Texte de l’événement prend en charge la correspondance partielle. Les caractères génériques ne sont pas pris en charge.
  • Le filtre Texte de l’événement n’est pas sensible à la casse lors de la correspondance.
  • Pour les événements Citrix.EventMonitor.AppStart, Citrix.EventMonitor.AppEnd, Citrix.EventMonitor.CDMUSBDriveAttach et Citrix.EventMonitor.FileRename, les mots App Start, App End, Client drive mapping et File Rename ne sont pas inclus à la correspondance lorsque vous effectuez une recherche par Texte de l’événement. Par conséquent, lorsque vous tapez App Start, App End, Client drive mapping ou File Rename dans la zone Texte de l’événement, aucun résultat ne peut être trouvé.

Lire des enregistrements avec des événements marqués

Lorsque vous lisez un enregistrement avec des événements marqués, les événements sont présents dans le panneau Événements et signets et apparaissent en tant que points jaunes dans la partie inférieure du lecteur d’enregistrement de session comme suit :

image localisée

Vous pouvez utiliser les événements pour naviguer dans une session enregistrée ou passer directement aux points où les événements sont marqués.