イベントのログ
Session Recordingでは、イベントをログに記録し録画内でタグ付けして、後で検索および再生で使うことができます。大量の録画から関心のあるイベントを検索したり、また、Session Recording Playerで再生中にイベントを見つけることもできます。
システム定義のイベント
Session Recordingでは、録画されたセッションで発生した次のシステム定義のイベントをログに記録できます:
-
USB大容量記憶装置デバイスの挿入
-
アプリケーションの起動と終了
-
アプリのエラー
-
アプリのインストールとアンインストール
-
ファイルの名前変更、作成、削除、移動のセッション内操作
-
セッションホスト(VDA)とクライアントデバイス(マップされたクライアントドライブと汎用リダイレクトを使用した大容量記憶装置デバイスを含む)との間のファイル転送
-
Web閲覧アクティビティ
-
最前面のウィンドウのイベント
-
クリップボードのアクティビティ
-
Windowsレジストリの変更
-
ユーザーアカウントの変更
-
RDP接続
注:
Web閲覧アクティビティと最前面のウィンドウのイベントを検出するアクティブなポリシーがある場合、PowerBuilderによって構築されたアプリケーションが予期せず終了することがあります。この問題を回避するには、PowerBuilder 2019 R3を使用してアプリケーションを構築します。
USB大容量記憶装置デバイスの挿入
Windows向けまたはMac向けCitrix Workspaceアプリがインストールされているクライアントでクライアントドライブマッピング(CDM)でマッピングされた、または汎用リダイレクトを使用したUSB大容量記憶装置デバイスが挿入されるとログに記録することができます。Session Recordingは、録画内のイベントにタグ付けします。
注:
挿入されたUSB大容量記憶装置デバイスを使用して挿入イベントをログに記録するには、Citrix Studioで「クライアントUSBデバイスリダイレクト」ポリシーを [許可] に設定します。
現在、USB大容量記憶装置デバイス(USB Class 08)の挿入のみがログに記録されます。詳しくは、「イベント検出ポリシー」を参照してください。
アプリケーションの起動と終了
Session Recordingは、アプリケーションの起動と終了の両方のログへの記録をサポートします。プロセスを [アプリ監視一覧] に追加すると、追加したプロセスとその子プロセスにより実行されるアプリが監視されます。Session Recordingが実行される前に開始する親プロセスの子プロセスもキャプチャできます。
Session Recordingはプロセス名cmd.exe
、powershell.exe
、wsl.exe
を [アプリ監視一覧] にデフォルトで追加します。イベントログポリシーで [アプリ起動イベントのログを記録する] および [アプリ終了イベントのログを記録する] を選択すると、コマンドプロンプト、PowerShell、Windows Subsystem for Linux(WSL)アプリの起動および終了が、これらのプロセス名が手動で [アプリ監視一覧] に加えられているかどうかにかかわらず、ログに記録されます。デフォルトのプロセス名は、[アプリ監視一覧] には表示されません。
さらに、Session Recordingは、ログに記録された各アプリ起動イベントの完全なコマンドラインを提供します。
アプリケーションエラー
イベント検出ポリシーの作成時に、[アプリエラーをログに記録する] を選択すると、予期しないアプリの終了と応答しないアプリをログに記録できます。この [アプリエラーをログに記録する]ルール はすべてのアプリに適用されます。
アプリのインストールとアンインストール
[アプリのインストールとアンインストールをログに記録する] のルールは、すべてのアプリに適用されます。
ユーザーアカウントの変更
アカウントの作成、有効化、無効化、削除、名前の変更、およびパスワード変更の試行をログに記録できます。
RDP接続
記録されたセッションをホストしているVDAから開始されたRDP接続をログに記録できます。
セッション内でのファイルの名前変更、作成、削除、移動の操作、およびセッションホスト(VDA)とクライアントデバイスとの間のファイル転送
Session Recordingは、[ファイル監視一覧] で指定したターゲットファイルおよびフォルダーの名前変更、作成、削除、および移動操作をログに記録できます。Session Recordingは、セッションホスト(VDA)とクライアントデバイス(マップされたクライアントドライブと汎用リダイレクトを使用した大容量記憶装置デバイスを含む)との間のファイル転送をログに記録することもできます。[機密ファイルイベントのログを記録する] オプションを選択すると、[ファイル監視一覧] を指定するかに関係なく、ファイル転送のログがトリガーされます。詳しくは、「イベント検出ポリシー」を参照してください。
注:
ファイルのドラッグアンドドロップを有効にし、ドラッグアンドドロップイベントをキャプチャするには、Citrix Studioで「ドラッグアンドドロップ」ポリシーを [有効] に設定します。
Web閲覧アクティビティ
サポートされているWebブラウザーでユーザーアクティビティをログに記録し、録画中にイベントにタグ付けできます。ブラウザー名、URL、ページタイトルがログに記録されます。例として、以下のスクリーンショットを参照してください。
フォーカスのあるWebページからカーソルを動かすと、このWebページの閲覧がタグ付けされますが、ブラウザー名は表示されません。この機能は、ユーザーがWebページに滞在する時間を推定するために使用できます。例として、以下のスクリーンショットを参照してください。
サポートされているブラウザーの一覧:
ブラウザー | バージョン |
---|---|
Chrome | 69以降 |
Internet Explorer | 11 |
Firefox | 61以降 |
注:
この機能には、Session Recordingバージョン1906以降が必要です。詳しくは、「イベント検出ポリシー」を参照してください。
最前面のウィンドウのイベント
Session Recordingでは、アプリのウィンドウが他のすべてのウィンドウの前面にあるときにイベントをログに記録できます。プロセス名、タイトル、プロセス番号がログに記録されます。
クリップボードのアクティビティ
Session Recordingでは、クリップボードを使用した、テキスト、画像、ファイルのコピー操作をログに記録できます。プロセス名とファイルパスは、ファイルコピーのログとして記録されます。プロセス名とタイトルは、テキストコピーのログとして記録されます。プロセス名は、画像コピーのログとして記録されます。
注: コピーされたテキストの内容は、デフォルトではログに記録されません。テキストの内容をログに記録するには、Session Recording Agentに移動し、HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\SmartAuditor\Agent\CaptureClipboardContent
を1
に設定します(デフォルト値は0
です)。
Windowsレジストリの変更
バージョン2109以降、Session Recordingは、セッションの録画中に次のレジストリ変更を検出してログに記録できます:
レジストリ変更 | 対応するイベント |
---|---|
キーの追加 | レジストリ - 作成 |
値の追加 | レジストリ - 値の設定 |
キーの名前の変更 | レジストリ - 名前の変更 |
値の名前の変更 | レジストリ - 値の削除とレジストリ - 値の設定 |
既存の値の変更 | レジストリ - 値の設定 |
キーの削除 | レジストリ - 削除 |
値の削除 | レジストリ - 値の削除 |
例:
このレジストリ監視機能を有効にするには、イベント検出ポリシーの [レジストリの変更をログに記録する] オプションを選択します。詳しくは、「カスタムイベント検出ポリシーの作成」を参照してください。
カスタムイベント
Session Recording Agentは、サードパーティアプリケーションがアプリケーション固有のイベントデータを、録画されたセッションに追加するときに使用できるIUserApi COMインターフェイスを提供します。イベントのカスタマイズに基づいて、Session Recordingは機密情報をブロックしたり、セッションの一時停止イベントやセッション再開イベントをログに記録したりできます。
機密情報のブロック
Session Recordingでは、画面の録画時に特定の期間をスキップしたり、セッションの再生中に特定の期間の機密情報をブロックしたりすることができます。この機能を使用するには、Session Recording 2012以降を使用します。
この機能を使用するには、次の手順を実行します:
-
[Session Recording Agentのプロパティ] で [このVDAマシンでサードパーティ製アプリケーションによるカスタムデータの記録を許可する] チェックボックスをオンにして、[適用] をクリックします。
-
Session RecordingイベントAPI(IUserApi COMインターフェイス)を呼び出す権限をユーザーに付与します。
Session Recordingは、バージョン7.15でイベントAPI COMインターフェイスにアクセス制御を追加しました。許可されたユーザーのみが、イベントメタデータを録画に挿入する機能を呼び出すことができます。
ローカル管理者には、デフォルトでこの権限が付与されています。他のユーザーにこのアクセス許可を付与するには、WindowsのDCOMの構成ツールを使用します:
-
dcomcnfg.exe
を実行して、Session Recording AgentのWindows DCOM構成ツールを開きます。 -
Citrix Session Recording Agentを右クリックし、[プロパティ] を選択します。
-
[セキュリティ] タブを選択します。次に、[起動とアクティブ化のアクセス許可] セクションで [編集] をクリックし、[ローカルからのアクティブ化] 権限を持つユーザーを追加します。
注:
DCOMの構成はすぐに有効になります。サービスやマシンを再起動する必要はありません。
-
-
Citrix仮想セッションを開始します。
-
PowerShellを起動して現在のドライブを <Session Recording Agentのインストールパス>\Bin フォルダーに変更し、SRUserEventHelperSnapin.dllモジュールをインポートします。
-
Session-Pause
およびSession-Resume
コマンドレットを実行し、機密情報のブロックをトリガーするパラメーターを設定します。パラメーター 説明 必須またはオプション -APP
コマンドレットを呼び出すアプリ名。 必須 -Reason
コンテンツがブロックされる理由。このパラメーターを指定しない場合は、コンテンツがブロックされていることおよび機密情報が存在し、ブロックされていることを示すデフォルト設定が表示されます。このパラメーターを設定すると、セッションの再生時にブロックされた期間に移動したときに、指定した理由が表示されます。 オプション たとえば、次のように
Session-Pause
を実行できます:
タグ付きイベントを使った録画の検索と再生
タグ付きイベントで録画を検索する
Session Recording Playerを使用すると、タグ付きイベントの録画を詳細に検索できます。
- [Session Recording Player]で、ツールバーの [高度な検索] をクリックするか、[ツール]>[高度な 検索] の順に選択します。
- [高度な 検索] ダイアログボックスで検索条件を定義します。
[イベント] タブでは、セッション内のタグ付きイベントをイベントテキストまたはイベントの種類別に、または両方を検索できます。[イベント]、[共通]、[日付/時刻]、[そのほか] の各フィルターを組み合わせて使用して、条件を満たす録画を検索できます。
注:
- [イベントの種類] 一覧には、すべてのイベントの種類が項目別に示されています。検索するイベントの種類を選択できます。[任意のCitrix定義のイベント] を選択すると、イベントの種類にかかわらずCitrix Session Recordingによってログに記録されたすべての録画を検索します。
- イベントテキストフィルタは部分一致をサポートしています。ワイルドカードはサポートされません。
- イベントテキストフィルターでは、照合時に大文字と小文字が区別されません。
- イベントの種類の
App Start
、App End
、Client drive mapping
、File Rename
という文字はイベントテキストで検索する場合、照合に使用されません。したがって、[イベントテキスト] ボックスにApp Start
、App End
、Client drive mapping
、またはFile Rename
を入力すると、結果が見つかりません。
タグ付きイベントで録画を再生する
イベントがタグ付けされた録画を再生すると、[イベントとブックマーク] パネルにイベントが表示され、Session Recording Playerの下部に黄色い点で表示されます:
イベントを使用してセッションの録画内を移動したり、イベントがタグ付けされているポイントに飛ぶことができます。