Session Recording

ポリシーの設定

Session Recordingポリシーコンソールを使用して、レコーディングポリシー、イベントログポリシー、および録画の閲覧ポリシーを作成します。ポリシーの作成時は、Citrix Cloudとオンプレミス環境の両方からDelivery Controllerを指定できます。

重要:

Session Recordingポリシーコンソールを使用するには、Broker PowerShellスナップイン(Broker_PowerShellSnapIn_x64.msi)またはCitrix Virtual Apps and Desktops Remote PowerShell SDK(CitrixPoshSdk.exe)をインストールする必要があります。インストーラーが自動的にスナップインをインストールすることはありません。Citrix Virtual Apps and Desktops ISO(\layout\image- full\x64\Citrix Desktop Delivery Controller)でBroker PowerShellスナップインを検索します。シトリックスWebサイトでCitrix Virtual Apps and Desktops Remote PowerShell(PS)SDKを検索します。手動でスナップインやSDKをインストールするには、インストール手順に従ってください。従わない場合、エラーが発生する可能性があります。

ヒント:

レジストリを編集して、Session Recordingサーバーに予期しない障害が発生した場合にファイルが失われるのを防ぐことができます。Session Recording Agentをインストールしたマシンに管理者としてログオンし、レジストリエディターを開いて、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agentの下にDWORD値DefaultRecordActionOnError =1を追加します。

録画ポリシー

システム定義の録画ポリシーをアクティブにすることも、独自のカスタム録画ポリシーを作成してアクティブにすることもできます。システム定義の録画ポリシーでは、すべてのユーザー、公開アプリケーション、およびサーバーに、単一の規則を適用します。カスタム録画ポリシーでは、録画対象のユーザー、公開アプリケーション、およびサーバーを指定します。  

アクティブな録画ポリシーによって録画するセッションが決定されます。一度にアクティブにできる録画ポリシーは1つだけです。

システム定義の録画ポリシー

Session Recordingには、次のシステム定義の録画ポリシーがあります:

  • 録画しない。デフォルトのポリシーです。ほかのポリシーを指定しなければ、セッションは録画されません。
  • すべてのユーザーを通知して録画する。このポリシーを選択すると、すべてのセッションが録画されます。録画されていることを通知するウィンドウが表示されます。
  • すべてのユーザーを通知しないで録画する。このポリシーを選択すると、すべてのセッションが録画されます。記録の発生を通知するポップアップウィンドウは表示されません。

システム定義の録画ポリシーは変更または削除できません。

カスタム録画ポリシーの作成

独自の録画ポリシーを作成する場合、セッションを録画するユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはVDAマシン、Citrix WorkspaceアプリクライアントのIPアドレスを指定する規則を作成します。Session Recordingポリシーコンソールにはウィザードが用意されており、このウィザードに従って規則を作成します。公開されているアプリケーションまたはデスクトップや、デリバリーグループまたはVDAマシンの一覧を取得するには、サイト管理者の読み取り権限が必要です。サイトのDelivery Controllerで管理者の読み取り権限を構成します。

作成する規則ごとに録画操作および規則条件を指定します。録画操作は規則条件を満たすセッションに適用されます。

規則ごとに録画操作を1つ選択します:

  • 録画しない。(規則ウィザードで [セッションを録画しない] をクリックします) この録画操作では、規則条件を満たすセッションを録画しないことを指定します。
  • 通知して録画する。(規則ウィザードで [通知してセッションを録画する] をクリックします) この録画操作では、規則条件を満たすセッションを録画することを指定します。録画されていることを通知するウィンドウが表示されます。
  • 通知しないで録画する。(規則ウィザードで [通知しないでセッションを録画する] をクリックします) この録画操作では、規則条件を満たすセッションを録画することを指定します。ユーザーは録画されていることに気付きません。

規則ごとに次の項目のいずれかを少なくとも1つ選択して、規則条件を作成します:

  • ユーザーまたはグループ。規則の操作を適用するユーザーまたはグループの一覧を作成します。Session Recordingによって、Active Directoryグループの使用ユーザーのホワイトリスト化が可能になります。
  • 公開アプリケーションまたはデスクトップ。規則の操作を適用する公開アプリケーションまたはデスクトップの一覧を作成します。規則ウィザードで、アプリケーションまたはデスクトップを使用できる1つまたは複数のCitrix Virtual Apps and Desktopsサイトを選択します。
  • デリバリーグループまたはマシン。規則の操作を適用するデリバリーグループまたはマシンの一覧を作成します。規則ウィザードで、デリバリーグループまたはマシンの場所を選択します。
  • IPアドレスまたはIP範囲。規則の操作を適用するIPアドレスまたはIPアドレスの範囲の一覧を作成します。[IPアドレスまたはIPの範囲の選択] 画面で、録画が有効または無効になった有効なIPアドレスまたはIP範囲を追加します。このIPアドレスは、Citrix WorkspaceアプリのIPアドレスです。

注:

Session Recordingポリシーコンソールでは、1つの規則内で複数の条件を構成できます。規則が適用される際には、「AND」と「OR」の両方の論理演算子が、最終的なアクションを計算するために使われます。一般的に、「OR」演算子は一定の条件内の項目に使われ、「AND」演算子は違った複数の条件に当てはまる項目に使われます。結果がtrueであれば、Session Recordingポリシーエンジンがその規則のアクションをとります。そうでなければ、次の規則に進み、処理を繰り返します。

録画ポリシーに複数の規則を作成する場合は、複数の規則条件に一致するセッションがある可能性があります。そのような場合は、優先順位が最も高い規則がセッションに適用されます。

規則により実行される録画操作によってその優先順位が決まります。

  • 録画しない規則の優先順位が最も高くなります。
  • 通知して録画する規則の優先順位が次に高くなります。
  • 通知しないで録画する規則の優先順位が最も低くなります。

録画ポリシーの規則条件のいずれにも当てはまらないセッションがある可能性があります。そのようなセッションについては、フォールバック規則の操作が適用されます。フォールバック規則の操作は常に 「録画しない」 です。フォールバック規則は変更または削除できません。

カスタム録画ポリシーを作成するには:

  1. 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。
  2. Session Recordingポリシーコンソールを起動して、左側のペインで [レコーディングポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択します。
  3. [新しいポリシー] を右クリックして [規則の追加] をクリックします。
  4. 録画オプションの選択 - 規則ウィザードで、[セッションを録画しない][通知してセッションを録画する](または [通知しないでセッションを録画する])を選択し、[次へ] をクリックします。
  5. 規則条件の選択 - 次の1つまたは複数の規則条件を選択することができます:
    ユーザーまたはグループ
    公開アプリケーションまたはデスクトップ
    デリバリーグループまたはマシン
    IPアドレスまたはIPの範囲 
  6. 規則条件の編集 - 編集するには、下線付きの値をクリックします。前の手順で選択した条件に基づき、値に下線が引かれます。

    注:

    [公開アプリケーションまたはデスクトップ] の下線付きの値を選択した場合、[サイトアドレス] はIPアドレス、URL、またはコントローラーがローカルネットワーク上にある場合はコンピューター名になります。[アプリケーションの名前] リストに表示名が表示されます。

    [公開アプリケーションまたはデスクトップ] または [デリバリーグループまたはマシン] を選択する場合、Session Recordingポリシーコンソールで通信に使用するDelivery Controllerを指定します。

    Session Recordingポリシーコンソールは、Citrix Cloudおよびオンプレミス環境からDelivery Controllerに通信する唯一のチャネルです。

    規則条件の選択

    たとえば、[デリバリーグループまたはマシン] を選択する場合、上のスクリーンショットの手順3で関連するハイパーリンクを選択して [追加] をクリックし、Delivery Controllerへのクエリを追加します。

    Controllerへのクエリ作成

    以下の表は、オンプレミスおよびCitrix CloudのDelivery Controllerの使用例について説明しています:

    使用例 必要な操作
    オンプレミスDelivery Controller 1. Broker_PowerShellSnapIn_x64.msiをインストールする。2.[Citrix Cloud Controller] チェックボックスをオフにする。
    Citrix Cloud Delivery Controller 1. Citrix Virtual Apps and Desktops Remote PowerShell SDKをインストールする。2. Citrix Cloudのアカウント資格情報を検証する。3.[Citrix Cloud Controller] チェックボックスをオンにする。
    オンプレミスDelivery ControllerからCitrix Cloud Delivery Controllerに切り替える 1. Broker_PowerShellSnapIn_x64.msiをアンインストールしてマシンを再起動する。2. Citrix Virtual Apps and Desktops Remote PowerShell SDKをインストールする。3. Citrix Cloudのアカウント資格情報を検証する。4.[Citrix Cloud Controller] チェックボックスをオンにする。
    Citrix Cloud Delivery ControllerからオンプレミスDelivery Controllerに切り替える 1. Citrix Virtual Apps and Desktops Remote PowerShell SDKをアンインストールしてマシンを再起動する。2. Broker_PowerShellSnapIn_x64.msiをインストールする。3.[Citrix Cloud Controller] チェックボックスをオフにする。

    Citrix Cloudの資格情報の検証

    Citrix CloudでホストされているDelivery Controllerにクエリするには、Session Recordingポリシーコンソールがインストールされたマシンで手動でCitrix Cloud資格情報を検証します。この作業を行わない場合、エラーが発生しSession Recordingポリシーコンソールが正常に機能しなくなることがあります。

    手動で検証するには:

    1. Citrix Cloudコンソールにログオンし、[IDおよびアクセス管理]>[APIアクセス] に移動します。APIアクセス用セキュアクライアントを作成して、Citrix Cloudの認証プロンプトを省略できる認証プロファイルを取得します。セキュアクライアントをダウンロードし、名前を変更して安全な場所に保存します。デフォルトのファイル名はsecureclient.csvです。

      Citrix Cloudの資格情報の検証

    2. PowerShellセッションを開いて次のコマンドを実行し、(前の手順で取得した)認証プロファイルを有効にします。

      asnp citrix.*
      Set-XDCredentials -CustomerId “citrixdemo” -SecureClientFile “c:\temp\secureclient.csv” -ProfileType CloudAPI –StoreAs “default”
      
      

      必要に応じて、CustomerIdSecureClientFileを設定します。上記のコマンドで、顧客用のデフォルトの認証プロファイルcitrixdemoが作成され、以降のすべてのPowerShellセッションで認証プロンプトが省略されます。

  7. ウィザードの指示に従って構成を終了します。

**注: **事前起動されたアプリケーションセッションに関する制限事項:

  • アクティブなポリシーでアプリケーション名を照合する場合、事前起動されたセッションで起動されたアプリケーションは照合されないため、セッションが録画されません。
  • アクティブなポリシーですべてのアプリケーションが録画される場合、ユーザーがWindows向けCitrix Workspaceアプリにログインすると、(事前起動されたセッションが確立されるのと同時に)録画に関する通知が表示され、事前起動された(空の)セッションと、今後そのセッションで起動されるすべてのアプリケーションが録画されます。

これを回避するには、録画ポリシーに従って別のデリバリーグループでアプリケーションを公開します。録画条件にアプリケーション名を使用しないでください。このアプローチによって、事前起動されたセッションを録画できます。ただし、通知は表示されます。

Active Directoryグループの使用

Active Directoryグループを使用して、Session Recordingのポリシーを作成できます。個々のユーザーではなくActive Directoryグループを使用すると、規則とポリシーを簡単に作成したり管理したりできます。たとえば、財務部門のユーザーがFinanceという名前のActive Directoryグループに含まれている場合は、 規則を作成するときに規則ウィザードでFinanceグループを選択することで、このグループのすべてのメンバーに適用される規則を作成できます。

ユーザーのホワイトリスト化

組織内の一部のユーザーのセッションを確実に録画対象から除外する、Session Recordingポリシーを作成できます。これは ユーザーのホワイトリスト化と呼ばれます。個人情報を取り扱う社員や特定の階層の従業員など、セッションを録画するべきではないユーザーをホワイトリストに登録すると便利です。

すべての上級管理職がExecutiveという名前のActive Directoryグループのメンバーである場合、Executiveグループのセッション録画を無効にする規則を作成して、それらのユーザーのセッションが決して録画されないように設定できます。この規則を含むポリシーがアクティブな間は、Executiveグループのメンバーのセッションは録画されません。組織内のほかのメンバーのセッションは、アクティブなポリシーのほかの規則に基づいて録画されます。

Directorを構成してSession Recordingサーバーを使用する

Directorコンソールを使用して、録画ポリシーを作成およびアクティブ化できます。

  1. HTTPS接続の場合は、Directorサーバーの[信頼されたルート証明書]にSession Recordingサーバーを信頼する証明書をインストールします。
  2. Session Recordingサーバーを使用するようにDirectorサーバーを構成するには、C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecordingコマンドを実行します。
  3. Directorサーバーで、Session RecordingサーバーのIPアドレスまたはFQDN、ポート番号、およびSession Recording AgentがSession Recording Brokerとの接続に使用する接続の種類(HTTPまたはHTTPS)を入力します。

イベントログポリシー

Session Recordingはイベントログポリシーの一元的な構成をサポートします。Session Recordingポリシーコンソールでポリシーを作成してさまざまなイベントを記録できます。

注:

USB大容量記憶装置デバイスの挿入、およびアプリケーションの起動と終了を記録するには、Session Recording バージョン1811以降を使用します。
ファイル操作イベントやWeb閲覧アクティビティを記録するには、Session Recordingバージョン1903以降を使用します。 クリップボードのアクティビティをログに記録するには、Session Recordingバージョン2012以降を使用します。

システム定義のイベントログポリシー

システム定義のイベントログポリシーはログを記録しないです。デフォルトでは非アクティブです。アクティブの場合、イベントのログは記録されません。

システム定義のイベントログポリシーは変更または削除できません。

カスタムイベントログポリシーの作成

独自のイベントログポリシーを作成する場合、セッションの録画中にログを記録する特定のイベントがあるユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはVDAマシン、Citrix WorkspaceアプリクライアントのIPアドレスを指定する規則を作成します。Session Recordingポリシーコンソールにはウィザードが用意されており、このウィザードに従って規則を作成します。公開されているアプリケーションまたはデスクトップや、デリバリーグループまたはVDAマシンの一覧を取得するには、サイト管理者の読み取り権限が必要です。サイトのDelivery Controllerで管理者の読み取り権限を構成します。

カスタムイベントログポリシーを作成するには:

  1. 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。

  2. Session Recordingポリシーコンソールを起動します。 デフォルトでは、アクティブなイベントログポリシーはありません。

    イベントログポリシー

  3. 左ペインで [イベントログポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択してイベントログポリシーを作成します。

  4. (オプション)新しいイベントログポリシーを右クリックして、名前を変更します。

    イベントログポリシーの名前変更

  5. 新しいイベントログポリシーを右クリックして [規則の追加] を選択します。

    1. 各イベントの種類のチェックボックスをオンにして、監視する1つまたは複数の対象イベントを指定します。

      イベントの種類

      • CDMでマッピングされたUSBイベントのログを記録する:Windows向けまたはMac向けCitrix Workspaceアプリがインストールされているクライアントデバイスでクライアントドライブマッピング(CDM)を使用して大容量記憶装置デバイスが挿入されると記録し、録画のイベントにタグ付けできます。

      • 汎用USBリダイレクトイベントのログを記録する: Windows向けまたはMac向けCitrix Workspaceアプリがインストールされているクライアントで汎用リダイレクトを使用して大容量記憶装置デバイスが挿入されると記録し、録画のイベントにタグ付けできます。

      • アプリ起動イベントのログを記録する:ターゲットアプリケーションの起動のログを記録して、録画のイベントにタグ付けできます。

      • アプリ終了イベントのログを記録する:ターゲットアプリケーションの終了のログを記録して、録画のイベントにタグ付けできます。

        注:

        ただし、アプリケーションの起動を記録しない場合、アプリケーションの終了を記録することはできません。そのため、規則ウィザードでは [アプリ終了イベントのログを記録する] チェックボックスは、[アプリ起動イベントのログを記録する] の選択前は灰色表示になっています。

      • アプリ監視一覧[アプリ起動イベントのログを記録する] および [アプリ終了イベントのログを記録する] を選択した場合、[アプリ監視一覧] でターゲットアプリケーションを指定して監視し、録画内に過剰にイベントを発生させないようにします。

        注:

        • アプリケーションの起動と終了をキャプチャするには、[アプリ監視一覧] にアプリケーションのプロセス名を追加します。たとえば、リモートデスクトップ接続の起動イベントをキャプチャするには、プロセス名mstsc.exe[アプリ監視一覧] に追加します。プロセスを [アプリ監視一覧] に追加すると、追加したプロセスとその子プロセスにより実行されるアプリケーションが監視されます。Session Recordingはプロセス名cmd.exepowershell.exewsl.exe[アプリ監視一覧] にデフォルトで追加します。イベントログポリシーで [アプリ起動イベントのログを記録する] および [アプリ終了イベントのログを記録する] を選択すると、コマンドプロンプト、PowerShell、Windows Subsystem for Linux(WSL)アプリの起動および終了が、これらのプロセス名が手動で [アプリ監視一覧] に加えられているかどうかにかかわらず、記録されます。デフォルトのプロセス名は、[アプリ監視一覧] には表示されません。
        • プロセス名はセミコロン(;)で区切ります。
        • 完全一致のみがサポートされています。ワイルドカードはサポートされません。
        • 追加するプロセス名では、大文字と小文字は区別されません。
        • 録画内に過剰にイベントを発生させないように、システムプロセス名(explorer.exeなど)やWebブラウザーをレジストリに追加しないでください。
      • 機密ファイルイベントのログを記録する:録画内のターゲットファイルに対する操作をログに記録します。

      • ファイル監視一覧[機密ファイルイベントのログを記録する] を選択する場合、[ファイル監視一覧] を使用して監視対象のファイルを指定します。フォルダーを指定すると、フォルダー内のすべてのファイルをキャプチャできます。デフォルトでは、ファイルが指定されていないため、ファイルはキャプチャされません。

        注:

        • ファイルの名前変更、作成、削除、移動操作をキャプチャするには、[ファイル監視一覧] でファイルフォルダーのパス文字列(ファイル名やファイルフォルダーのルートパスではなく)を追加します。たとえば、C:\User\Filesharing.pptファイルの名前変更、作成、削除、移動操作をキャプチャするには、[ファイル監視一覧] でパス文字列C:\User\Fileを追加します。
        • ローカルファイルパスおよびリモート共有フォルダーパスの両方を使用できます。たとえば、\\remote.address\DocumentsフォルダーのRemoteDocument.txtファイルで操作をキャプチャするには、[ファイル監視一覧] でパス文字列\\remote.address\Documentsを追加します。
        • セミコロン(;)で監視パスを区切ります。
        • 完全一致のみがサポートされています。ワイルドカードはサポートされません。
        • パス文字列は大文字と小文字を区別しません。

        制限事項:

        • 監視されているフォルダーから監視されていないフォルダーへのファイルまたはフォルダーのコピーはキャプチャされません。
        • ファイルまたはフォルダーパスに、最大文字数(260文字)を超える名前のファイルまたはフォルダーが含まれている場合、ファイルまたはフォルダーの操作をキャプチャできません。
        • データベースのサイズに注意してください。大量のイベントがキャプチャされないようにするには、定期的に「Event」テーブルをバックアップするか削除します。
        • 一定の間隔で大量のイベントがキャプチャされる場合、Playerでの表示およびデータベースへの格納はイベントの種類ごとに1つのイベントアイテムのみになり、ストレージの拡大を回避します。
      • Web閲覧アクティビティをログに記録する:サポートされているブラウザーでユーザーアクティビティを記録し、記録にブラウザー名、URL、ページタイトルのタグを付けます。

        Web閲覧アクティビティ

        サポートされているブラウザーの一覧:

        Webブラウザー バージョン
        Chrome 69以降
        Internet Explorer 11
        Firefox 61以降
      • 最前面のウィンドウのアクティビティをログに記録する: 最前面のウィンドウのアクティビティをログに記録して、記録にプロセス名、タイトル、プロセス番号のタグを追加します。

        最前面のウィンドウのアクティビティをログに記録する

      • クリップボードのアクティビティをログに記録する:クリップボードを使用した、テキスト、画像、ファイルのコピー操作をログに記録します。プロセス名とファイルパスは、ファイルコピーのログとして記録されます。プロセス名とタイトルは、テキストコピーのログとして記録されます。プロセス名は、画像コピーのログとして記録されます。

    2. 規則条件を選択して編集します。

      カスタム録画ポリシーの作成と同様、次の1つまたは複数の規則条件を選択できます:ユーザーまたはグループ公開アプリケーションまたはデスクトップデリバリーグループまたはマシンIPアドレスまたはIPの範囲。詳しくは、「カスタム録画ポリシーの作成」セクションで手順を参照してください。

      注:

      イベントログポリシーの規則条件のいずれにも当てはまらないセッションがある可能性があります。これらのセッションの場合、フォールバック規則のイベントログ操作(常にログを記録しない)が適用されます。フォールバック規則は変更または削除できません。

    3. ウィザードの指示に従って構成を完了します。

      規則のセットアップの完了

レジストリ構成との互換性

Session Recordingが新しくインストールされた場合、またはアップグレードされた場合、デフォルトで使用できるアクティブなイベントログポリシーはありません。このとき、Session Recording AgentはHKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEventsのレジストリ値に従って特定イベントのログを記録するかを決定します。レジストリ値の説明については、次の表を参照してください:

レジストリ値 説明
EnableSessionEvents 1:イベントの記録をグローバルに有効にする、0:イベントの記録をグローバルに無効にする(デフォルトの値のデータ)。
EnableCDMUSBDriveEvents 1:CDMでマッピングされたUSB大容量記憶装置デバイスの挿入の記録を有効にする、0:CDMでマッピングされたUSB大容量記憶装置デバイスの挿入の記録を無効にする(デフォルトの値のデータ)。
EnableGenericUSBDriveEvents 1:汎用リダイレクトを使用したUSB大容量記憶装置デバイスの挿入の記録を有効にする、0:汎用リダイレクトを使用したUSB大容量記憶装置デバイスの挿入の記録を無効にする(デフォルトの値のデータ)。
EnableAppLaunchEvents 1:アプリケーションの起動のみの記録を有効にする、2:アプリケーションの起動と終了の両方の記録を有効にする、0:アプリケーションの起動と終了の記録を無効にする(デフォルトの値のデータ)。
AppMonitorList 監視するターゲットアプリケーションを指定する。デフォルトでは、アプリケーションが指定されていません。そのため、アプリケーションのイベントはキャプチャされません。
EnableFileOperationMonitorEvents 1:ファイル操作の記録を有効にする、0:ファイル操作の記録を無効にする(デフォルトの値のデータ)。
FileOperationMonitorList 監視するターゲットフォルダーを指定する。デフォルトでは、フォルダーが指定されていません。そのため、ファイル操作はキャプチャされません。
EnableWebBrowsingActivities 1:Web閲覧アクティビティを有効にする、0:Web閲覧アクティビティを無効にする(デフォルトの値のデータ)。

以下は、互換性のあるシナリオです:

  • Session Recording 1912が新しくインストールされたかイベントログをサポートしない以前のリリース(1811より前)からアップグレードされた場合。各Session Recording Agentの関連レジストリ値はデフォルトです。デフォルトでは、アクティブなイベントログポリシーがないため、イベントのログは記録されません。

  • Session Recording 1912がイベントログをサポートする以前のリリース(1811より前)からアップグレードされた場合。アップグレード前にこの機能を無効にすると、各Session Recording Agentの関連レジストリ値はデフォルトのままになります。デフォルトでは、アクティブなイベントログポリシーがないため、イベントのログは記録されません。

  • Session Recording 1912がイベントログをサポートする以前のリリース(1811より前)からアップグレードされた場合。アップグレード前にこの機能を部分的にまたは完全に有効にすると、各Session Recording Agentの関連レジストリ値は変更されません。デフォルトでは、アクティブなイベントログポリシーがないため、イベントのログの動作は変更されません。

  • Session Recording 1912が1811からアップグレードされた場合、ポリシーコンソールで構成されたイベントログポリシーは引き続き使用されます。

注意:

Session Recordingポリシーコンソールでシステム定義の、またはカスタムのイベントログポリシーをアクティブにすると、各Session Recording Agentで関連レジストリ設定が無視され、イベントログのレジストリ設定を使用できなくなります。

録画の閲覧ポリシー

Session Recording Playerでは、役割ベースのアクセス制御がサポートされています。Session Recordingポリシーコンソールで録画の閲覧ポリシーを作成し、各ポリシーに複数のルールを追加できます。各規則で、指定したその他のユーザーおよびユーザーグループ、公開アプリケーションおよびデスクトップ、デリバリーグループおよびVDAからの録画を閲覧できるユーザーまたはユーザーグループを特定します。

カスタム録画閲覧ポリシーの作成

録画の閲覧ポリシーを作成する前に、次の手順で機能を有効にします:

  1. Session Recordingサーバーをホストするマシンにログオンします。
  2. [スタート] ボタンをクリックし、[Session Recordingサーバーのプロパティ] を選択します。
  3. [Session Recordingサーバーのプロパティ] で、[RBAC] タブをクリックします。
  4. [録画の閲覧ポリシーの構成を許可する] チェックボックスをオンにします。

    録画の閲覧ポリシーの構成を許可する

カスタム録画閲覧ポリシーを作成するには:

注: レコーディングポリシーおよびイベントログポリシーとは異なり、録画の閲覧ポリシー(ポリシー内に追加したすべての規則を含む)は、作成すると直ちにアクティブになります。有効化する必要はありません。

  1. 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。

  2. Session Recordingポリシーコンソールを起動します。デフォルトでは、録画の閲覧ポリシーはありません。

    録画の閲覧ポリシー

    注: [録画の閲覧ポリシー] メニューは、[Session Recordingサーバーのプロパティ] でこの機能を有効にしないと利用できません。

  3. 左側のペインで [録画の閲覧ポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択して録画の閲覧ポリシーを作成します。

    録画の閲覧ポリシーの追加

  4. (オプション)新しい録画の閲覧ポリシーを右クリックして、名前を変更します。

    録画の閲覧ポリシーの名前変更

  5. 新しいポリシーを右クリックして [規則の追加] をクリックします。

    1. 指定した他のユーザーおよびユーザーグループからの録画を閲覧できるユーザーまたはユーザーグループを指定します。

      ユーザーまたはユーザーグループの指定

      注:

      各規則で、録画の閲覧者として選択できるのは1人のユーザーまたは1つのユーザーグループだけです。複数のユーザーまたはユーザーグループを選択した場合は、最新の選択のみが有効になり、テキストボックスに表示されます。
      録画の閲覧者を指定するときは、閲覧者にPlayerのロールを割り当てていることを確認してください。録画されたセッションを再生する権限がないユーザーが、録画されたセッションを再生しようとするとエラーメッセージが表示されます。詳しくは、「ユーザーの承認」を参照してください。

    2. 規則条件を選択して編集し、前述の閲覧者が閲覧できる録画を指定します。
      • ユーザーまたはグループ
      • 公開アプリケーションまたはデスクトップ
      • デリバリーグループまたはマシン

      閲覧する録画の指定

      注: 規則条件を指定しないでおくと、前述の指定した閲覧者には閲覧用の録画が表示されません。

    3. ウィザードの指示に従って構成を完了します。

      規則のセットアップの完了

メールアラートポリシー

このポリシー設定を使用すると、セッションの開始またはログに記録されたイベントが検出されたときに、指定した受信者にメールアラートを送信できます。メールアラートは、アクティブな録画ポリシーおよびイベントログポリシーに従って、録画されたセッションとログに記録されたイベントを対象としています。

以下のスクリーンショットは、メールアラートの例です:

メールアラートの例

ヒント:

再生URLをクリックすると、Webプレーヤーで録画されたセッションの再生ページが開きます。ここをクリックすると、Webプレーヤーの [すべての録画] ページが開きます。

システム定義のアラートポリシーをアクティブにすることも、独自のカスタムアラートポリシーを作成してアクティブにすることもできます。カスタムポリシーを作成するときに、各ポリシーに複数の規則を追加できます。各規則は、セッションの開始が検出されたときに、どのユーザーまたはグループ、公開アプリケーションまたはデスクトップ、デリバリーグループまたはVDAマシン、およびCitrix WorkspaceアプリクライアントのIPアドレスがメールアラートをトリガーできるかを決定します。

一度にアクティブにできるメールアラートポリシーは1つだけです。

システム定義のメールアラートポリシー

Session Recordingは、1つのシステム定義のメールアラートポリシーを提供します:

  • 警告しない。デフォルトのポリシーです。別のポリシーを指定しない場合、メールアラートは送信されません。

カスタムメールアラートポリシーの作成

カスタムメールアラートポリシーを作成するには、次の手順を実行します:

  1. Session Recordingサーバーのプロパティで送信メールの設定を構成します。

    送信メール設定

    注:

    [メールタイトル] セクションで3つ以上のオプションを選択すると、メールの件名が長すぎる可能性があることを示す警告ダイアログが表示されます。[メール通知の送信を許可する] を選択して [適用] をクリックすると、Session Recordingはメールの設定を確認するメールを送信します。不正なパスワードやポートなど設定が正しくない場合、Session Recordingはエラーの詳細を含むエラーメッセージを返します。

    メールアカウントがメッセージを正常に送信できないエラー

    メール設定が有効になるまで約5分かかります。メール設定をすぐに有効にする場合、または設定に従ってメールが送信されない問題を修正する場合は、ストレージマネージャ(CitrixSsRecStorageManager)サービスを再起動します。また、バージョン2006以前から最新リリースにアップグレードする場合は、ストレージマネージャーサービスを再起動してください。

  2. Session Recordingポリシーコンソールでカスタムメールアラートポリシーを作成します。

    1. 承認済みのポリシー管理者として、Session Recordingポリシーコンソールがインストールされているサーバーにログオンします。

    2. Session Recordingポリシーコンソールを起動します。デフォルトでは、アクティブなメールアラートポリシーはありません。

      アクティブなメールアラートポリシーがない

    3. 左ペインで [メールアラートポリシー] を選択します。メニューバーで [新しいポリシーの追加] を選択してメールアラートポリシーを作成します。

    4. (オプション)新しいメールアラートポリシーを右クリックして、名前を変更します。

    5. 新しいメールアラートポリシーを右クリックして [規則の追加] を選択します。

      5a.[セッション開始が検出されました] または [セッションイベントが検出されました] を選択します。アラート受信者のメールアドレスを追加します。

      [セッションイベントが検出されました]を選択する画像

      [セッションイベントが検出されました] を選択した場合は、[現在のイベントトリガー] をクリックして、メールアラートをトリガーするログ記録されたイベントを指定します。ドロップダウンリストからイベントの種類を選択し、論理積演算子を使って組み合わされる2つのディメンションを使用してイベントルールを設定します。最大7つのイベントルールを設定できます。イベントの種類を選択して、ディメンションを指定しない場合は、その種類のイベントが発生したときにメールアラートが送信されます。また、[説明] 列にイベントトリガーを定義したり、この列を空のままにしたりすることもできます。定義したイベントトリガーの説明は、その種類のイベントがログに記録されるときにアラートメールで提供されます。操作が終了したら、[確認] をクリックします。

      注: アクティブなイベントログポリシーがログに記録するイベントの種類を選択する必要があります。

      イベントの種類を選択する画像

      サポートされているイベントの種類の全一覧については、次の表を参照してください。

      イベントの種類 ディメンション オプション
      アプリ開始    
        アプリ名 等しい/次を含める/次に一致する
        フルコマンドライン 等しい/次を含める/次に一致する
      アプリ終了    
        アプリ名 等しい/次を含める/次に一致する
      最上位    
        アプリ名 等しい/次を含める/次に一致する
        ウィンドウのタイトル 等しい/次を含める/次に一致する
      Web閲覧    
        URL 等しい/次を含める/次に一致する
        タブのタイトル 等しい/次を含める/次に一致する
        ブラウザー名 等しい/次を含める/次に一致する
      ファイルの作成    
        パス 等しい/次を含める/次に一致する
        ファイルサイズ(MB) 次を上回る/次の範囲内/次を下回る
      ファイル名の変更    
        パス 等しい/次を含める/次に一致する
        名前 等しい/次を含める/次に一致する
      ファイルの移動    
        ソースパス 等しい/次を含める/次に一致する
        ターゲット パス 等しい/次を含める/次に一致する
        ファイルサイズ(MB) 次を上回る/次の範囲内/次を下回る
      ファイルの削除    
        パス 等しい/次を含める/次に一致する
        ファイルサイズ(MB) 次を上回る/次の範囲内/次を下回る
      CDM USB    
        ドライブ文字 等しい
      汎用USB    
        デバイス名 等しい/次を含める/次に一致する
      アイドル状態    
        アイドル時間(時間) 次を上回る
           

      5b. アラート受信者のメールアドレスを追加します。

      5c.[次へ] をクリックして、規則条件を選択および編集します。

      カスタム録画ポリシーの作成と同様、次の1つまたは複数の規則条件を選択できます:ユーザーまたはグループ公開アプリケーションまたはデスクトップデリバリーグループまたはマシンIPアドレスまたはIPの範囲。詳しくは、「カスタム録画ポリシーの作成」の手順を参照してください。

      メールアラートの規則条件

      注:

      セッションまたはイベントが単一のメールアラートポリシーで複数の規則を満たしている場合、最も古い規則が有効になります。

      5d. ウィザードの指示に従って構成を完了します。

    6. 新しいメールアラートポリシーをアクティブにします。

  3. Webプレーヤーにアクセスするためのレジストリを編集します。

    アラートメールの再生URLを正常に機能させるには、HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Serverのレジストリキーを見つけて、次の手順を実行します:

    • LinkHostの値データを、Webプレーヤーへのアクセスに使用するドメインのURLに設定します。たとえば、https://example.com/webplayer/#/player/のWebプレーヤーにアクセスするには、LinkHostの値データをhttps://example.comに設定します。

    • 新しい値EmailThresholdを追加し、その値データを1から100の範囲の数値に設定します。値データは、メール送信アカウントが1秒以内に送信するアラートメールの最大数を決定します。この設定は、送信されるメールの数を抑え、CPU使用率を削減するのに役立ちます。値データを指定しないままにするか、範囲外の数値に設定すると、値データは25にフォールバックします。

注:

  • メールサーバーは、メール送信アカウントをスパムボットとして扱い、メールの送信を阻止する可能性があります。アカウントがメールを送信できるようにするため、Outlookなどのメールクライアントは、アカウントが人間のユーザーによって使用されていることを確認するように要求する場合があります。

  • 一定期間内にメールを送信することに対する制限があります。たとえば、1日の制限に達すると、翌日の開始までメールを送信できません。この場合、制限の数が期間内に録画されているセッションの数を超えていることを確認してください。

ポリシーのアクティブ化

  1. Session Recordingポリシーコンソールをインストールしたマシンに管理者としてログオンします。
  2. Session Recordingポリシーコンソールを起動します。
  3. [Session Recordingサーバーへの接続] ウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
  4. Session Recordingポリシーコンソールで、[レコーディングポリシー] または [イベントログポリシー] を展開します。
  5. アクティブ化するポリシーを選択 します。
  6. メニューバーで [ポリシーのアクティブ化] を選択します。

ポリシーの変更

  1. Session Recordingポリシーコンソールをインストールしたマシンに管理者としてログオンします。
  2. Session Recordingポリシーコンソールを起動します。
  3. [Session Recordingサーバーへの接続] ウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
  4. Session Recordingポリシーコンソールで、[レコーディングポリシー] または [イベントログポリシー] を展開します。
  5. 変更するポリシーを選択します。ポリシーの規則が右ペインに表示されます。
  6. 規則を追加、変更、または削除するには:
    • メニューバーで [新しい規則の追加] を選択します。ポリシーがアクティブな場合はポップアップウィンドウが開き、操作の確認を促すメッセージが表示されます。規則ウィザードを使用して新しい規則を作成します。
    • 変更する規則を選択し、右クリックして [プロパティ] を選択します。規則ウィザードを使用して規則を変更します。
    • 削除する規則を選択し、右クリックして [規則の削除] を選択します。

ポリシーの削除

注:

システム定義のポリシーまたはアクティブなポリシーは削除できません。

  1. Session Recordingポリシーコンソールをインストールしたマシンに管理者としてログオンします。
  2. Session Recordingポリシーコンソールを起動します。
  3. [Session Recordingサーバーへの接続] ウィンドウが開いたら、Session Recordingサーバーの名前、プロトコル、およびポートが正しいことを確認します。[OK] をクリックします。
  4. Session Recordingポリシーコンソールで、[レコーディングポリシー] または [イベントログポリシー] を展開します。
  5. 左ペインで削除するポリシーを選択します。ポリシーがアクティブな場合は、ほかのポリシーをアクティブにする必要があります。
  6. メニューバーで [ポリシーの削除] を選択します。
  7. [はい] をクリックして操作を確定します。

ロールオーバーの動作

ポリシーをアクティブにする場合、それまでアクティブだったポリシーはセッションの録画が終了するまで、またはセッションの録画ファイルが上限に達するまで効力を保ちます。ロールオーバーは、ファイルサイズが上限に達すると実行されます。録画ファイルのサイズの上限について詳しくは、「録画ファイルのサイズの指定」 を参照してください。

次の表で、セッションの録画中に新しい録画ポリシーを適用してロールオーバーが起きたときに生じる現象について説明します:

以前の録画ポリシー: 新しい録画ポリシー: ロールオーバーの後の録画ポリシー:
録画しない ほかのポリシー 変更なし。ユーザーが新しいセッションにログオンするときのみに新しいポリシーが有効になります。
通知しないで録画する 録画しない 録画を停止します。
通知しないで録画する 通知して録画する 録画を続行し通知メッセージを表示します。
通知して録画する 録画しない 録画を停止します。
通知して録画する 通知しないで録画する 録画を続行します。ユーザーが次にログオンするときはメッセージが表示されません。
ポリシーの設定