数据管理

本节提供有关 Citrix Analytics 服务收集、存储和保留日志的信息。定义 部分中未定义的任何大写术语都具有 Citrix 最终用户服务协议 中指定的含义。

Citrix Analytics 旨在让客户深入了解其 Citrix 计算环境中的活动。Citrix Analytics 使安全管理员能够选择要监视的日志,并根据记录的活动采取定向操作。这些见解可帮助安全管理员管理对其计算环境的访问,并在客户计算环境中保护客户内容。

数据驻留

Citrix Analytics 日志与数据源分开维护,并聚合在位于美国和欧盟的多个 Microsoft Azure 云环境中。日志的存储取决于 Citrix Cloud 管理员在将其组织登录到 Citrix Cloud 时选择的主区域。例如,如果您在将组织加入到 Citrix Cloud 时选择了欧洲区域,则 Citrix Analytics 日志将存储在位于欧盟的 Microsoft Azure 环境中。

有关详细信息,请参阅Citrix Cloud 服务客户内容和日志处理地理方面的注意事项

数据收集

Citrix Cloud 服务通过仪表将日志传输到 Citrix Analytics。从以下数据源收集日志:

  • Citrix 访问控制

  • Citrix ADC(本地)以及 Citrix Application Delivery Management 的订阅

  • Citrix Content Collaboration

  • Citrix Endpoint Management

  • Citrix Virtual Apps and Desktops(服务和本地产品)

  • 微应用服务

数据传输

Citrix Cloud 日志安全传输到 Citrix Analytics。当客户环境的管理员显式启用 Citrix Analytics 时,这些日志将分析并存储在客户数据库中。这同样适用于配置了 Citrix Workspace 的 Citrix Virtual Apps and Desktops 本地数据源。

对于 Citrix ADC 数据源,仅当管理员为特定数据源显式启用了 Citrix Analytics 时才会启动日志传输。

对于微应用服务,管理员无法显式启用 Citrix Analytics 来分析和存储日志。在配置微应用后,日志将传输到 Citrix Analytics。

数据控制

管理员可以随时打开或关闭发送到 Citrix Analytics 的日志。

当 Citrix ADC 本地数据源关闭时,特定 ADC 数据源与 Citrix Analytics 之间的通信将停止。

对其他数据源关闭全部功能后,特定数据源的日志将不再分析和存储在 Citrix Analytics 中。

数据保留

Citrix Analytics 日志以可识别的形式保留最多 13 个月或 396 天。在此期间保留所有日志和相关分析数据,如用户风险配置文件、用户风险评分详细信息、用户风险事件详细信息、用户监视列表、用户操作和用户配置文件。

例如,如果您在 2018 年 1 月 1 日对某个数据源启用了分析,则默认情况下,2018 年 1 月 1 日收集的数据将保留在 Citrix Analytics 中,直到 2019 年 1 月 31 日,2018 年 1 月 15 日收集的数据将保留到 2019 年 2 月 15 日,依此类推。

即使在您关闭了数据源的数据处理或从 Citrix Analytics 中删除了数据源之后,此数据仍会存储在默认数据保留期内。

Citrix Analytics 会在订阅期或试用期过期后 90 天内删除所有客户内容。

Citrix 服务安全展览

有关应用于 Citrix Analytics 的安全控制(包括访问和身份验证、安全程序管理、业务连续性和事件管理)的详细信息,包括在 Citrix 服务安全展览中。

定义

客户内容是指上传到客户帐户以进行存储的任何数据或在客户环境中向 Citrix 提供执行服务的访问权限的数据。

日志是指与服务相关的事件记录,包括衡量性能、稳定性、使用率、安全性和支持的记录。

服务是指上述用于 Citrix Analytics 的 Citrix Cloud 服务。

数据收集协议

通过将数据上载到 Citrix Analytics 并使用 Citrix Analytics 的功能,即表示您同意并同意 Citrix 可以收集、存储、传输、维护、处理和使用有关 Citrix 产品和服务的技术、用户或相关信息。

在任何时候,Citrix 收到的信息都会根据 Citrix 的隐私政策进行处理,该政策可访问: https://www.citrix.com/about/legal/privacy/

附录:收集的日志

Citrix Analytics for Security 日志

常规日志

通常,Citrix Analytics 日志包含以下标题标识数据点:

  • 标题键

  • 设备识别

  • 标识

  • IP 地址

  • 组织

  • 产品

  • 产品版本

  • 系统时间

  • 租户识别

  • 类型

  • 用户:电子邮件、ID、SAM 帐户名、域、UPN

  • 版本

Citrix Content Collaboration 日志

Citrix Content Collaboration 日志包含以下数据点:

  • 账户编号

  • 帐户信息:API 控制平面、应用程序控制平面、子域名

  • 添加名称

  • 附加带宽

  • 额外带宽速率

  • 额外的磁盘空间

  • 附加磁盘空间速率

  • 其他用户费率

  • 其他用户

  • Address1

  • Address2

  • 高级自定义品牌推广文件夹名称

  • 别名编号

  • 应用程序代码

  • 关联的文件夹模板 ID

  • 最大带宽

  • 基本带宽

  • 基本账单费率

  • 基本磁盘空间

  • 基本用户

  • 账单联系人编号

  • 账单周期

  • 账单费率

  • 计费类型

  • 品牌推广风格

  • 已下载的字节数

  • 字节总计

  • 抄送发件人

  • 城市

  • 客户信息:城市、客户端 IP、控制平面、国家/地区、OAuth 客户端 ID、操作系统、工具显示名称、工具名称、工具版本

  • 客户端名称

  • 公司

  • 公司名称

  • 组件名称

  • 连接器类型

  • 联系人:操作名称、值、联系人 ID、电子邮件

  • 上下文:资源 ID、资源类型

  • 复制的文件编号

  • 国家/地区

  • 创建者

  • 创建日期

  • 创建者编号

  • 默认区域编号

  • 永久删除

  • 说明

  • 目标:文件路径、父 ID、路径、区域 ID

  • 磁盘空间限制

  • 最大磁盘空间

  • DLP 状态

  • 按服务下载

  • 下载编号

  • 电子邮件地址:操作名称、值

  • 加密速率

  • 结束时间

  • 实体编号

  • 事件 ID

  • 事件时间

  • 事件用户电子邮件

  • 事件用户 ID

  • 事件:操作名称、资源类型

  • 过期日期

  • 字段:帐户 ID、帐户信息类型、API 控制平面、应用程序控制平面、子域、批准上下文类型、批准步骤 ID、批准步骤状态、链接到批准步骤、下载字节、客户端信息类型、城市、客户端 IP、控制平面、国家、OAuth 客户端 ID、操作系统、工具显示名称、工具名称、工具版本、完成步骤 ID、连接器类型、按类型创建、通过电子邮件地址创建、名称创建、用 ID 创建、姓氏创建、到期事件用户 ID、文件扩展名、文件 ID、文件路径、文件大小、表单 ID、最后一个 Ping 返回、名、下一个 Ping 返回、名、名、名、名、名、下一个步骤 ID、参与者类型、参与者角色、参与者状态、参与者用户 ID、收件人类型、收件人操作名称、收件人电子邮件地址、收件人名字、收件人 ID、收件人姓氏、角色发起人类型、角色发起人运行名称、角色发起人电子邮件地址优先名称、角色启动器 ID、角色启动器姓氏、角色实例管理器类型、角色实例管理器操作名称、角色实例管理器电子邮件地址、角色实例管理器名称、角色实例管理器 ID、角色实例管理器姓氏、角色模板管理器操作名称、角色模板管理器经理电子邮件地址、角色模板管理器名、角色模板管理器 ID、角色模板管理器姓氏、角色视图报告类型、角色视图报告操作名、角色视图报告电子邮件地址、角色视图报告名、角色视图报告报告姓氏、路由键帐户ID、路由键组件名称、路由键文件扩展名、路由键文件 ID、路由键文件名、路由键表单 ID、路由键操作名称、路由键产品名称、路由键资源类型、路由键存储中心 ID、路由键提交 ID、路由键模板 ID、路由键工作流 ID、路由键区域 ID、路由键区域版本、服务器名称、开始时间、状态、步骤数据类型、步骤数据文件 ID、步骤数据状态、步骤数据步骤类型、完成步骤、剩余步骤类型、步骤批准者类型、步骤批准者电子邮件地址、步骤批准者名称、步骤 ID、步骤批准者姓氏、完成步骤天数、步骤顺序、步骤 ID、步骤要键入的步骤、电子邮件地址的步骤、步骤到名字的步骤、步骤 ID、步骤到姓氏的步骤、查看者类型、步骤查看者电子邮件地址、步骤查看者名称、步骤查看者名称、步骤查看者名称、步骤存储中心 ID、流 ID、提交 ID、模板 ID、触发器类型、触发器文件夹 ID、触发器表单 ID、用户 ID、工作流类型、工作流 ID、工作流启动器类型、工作流启动器用户 ID、工作流模板 ID、工作流触发器资源 ID、工作流触发器类型、工作流启动器信息用户 ID、工作流状态、工作流类型、区域 ID、区域服务、区域版本

  • 文件扩展名

  • 文件编号

  • 文件名

  • 文件路径

  • 文件大小

  • 文件大小字节

  • 名字

  • 文件夹 ID

  • 文件夹名称

  • 授予类型

  • 组编号

  • 具有加密功能

  • 具有多个版本

  • 有 Power Tools

  • 哈希

  • 集成 OAuth 客户端 ID

  • 集成提供程序类型

  • IRM 分类编号

  • 已确认

  • 已禁用

  • 是员工

  • 是免费试用

  • 是共享的

  • 是否拥有模板

  • 仅查看

  • 商品扩展

  • 商品扩展

  • 上次任何登录

  • 姓氏

  • 锁定编号

  • 锁定类型

  • 徽标 URL

  • 下载次数上限

  • 方法

  • 名称

  • 新建流编号

  • 许可证数量

  • 付费许可证数量

  • OAuth 客户端 ID

  • 旧流编号

  • 操作名称

  • 所有者编号

  • 父代编号

  • Path

  • 电话

  • 计划名称

  • 计划跟踪

  • Power Tools 速率

  • 每个许可证的价格

  • 主电子邮件

  • 主子域

  • 产品代码

  • 产品名称

  • 收件人编号

  • 收件人编号

  • 重定向 URI

  • 要求登录

  • 必需的用户信息

  • 资源类型

  • 根项目编号

  • 路由键:帐户 ID、添加名称、应用程序代码、组件名称、连接器类型、实体 ID、文件 ID、组 ID、集成提供程序类型、OAuth 客户端 ID、操作名称、父代 ID、产品名称、资源类型、共享 ID、流 ID、用户 ID、版本、区域 ID

  • 范围

  • 语义路径

  • 服务器名称

  • 共享编号

  • 共享信息:别名 ID、创建者 ID、共享 ID、共享子类型 ID

  • 共享子类型 ID

  • 共享类型

  • 单一版本

  • 开始时间

  • 状态

  • 存储中心名称

  • 流编号

  • 子域:操作名称,值

  • 已订阅的资源 ID

  • 已订阅的资源类型

  • 税务区域代码

  • 标题

  • 更新日期

  • 上载编号

  • URL 路径

  • 使用高级自定义品牌推广

  • 用户电子邮件

  • 用户 ID

  • 用户最大值

  • 用户角色:操作名称、值

  • 版本

  • Webhook 订阅 ID

  • Webhook URL

  • 压缩

  • 区域 ID

Citrix Endpoint Management 服务日志

Citrix Endpoint Management 服务日志包含以下数据点:

  • 合规

  • 公司拥有

  • 设备 ID

  • 设备型号

  • 设备类型

  • 地理纬度

  • 地理经度

  • 主机名

  • IMEI

  • IP 地址

  • 越狱

  • 上次活动

  • 管理模式

  • 操作系统

  • 操作系统版本

  • 平台信息

  • 原因

  • 序列号

  • 受监督

Citrix Virtual Apps and Desktops 日志

Citrix Virtual Apps and Desktops 日志包含以下数据点:

  • 应用程序名称

  • 浏览器

  • 详细信息:格式大小、格式类型、启动器、结果

  • 设备 ID

  • 设备类型

  • 文件名

  • 文件路径

  • 文件大小

  • 越狱

  • 作业详细信息:文件名、格式、大小

  • 位置:估计, 纬度, 经度

  • 长 CMD 行

  • 模块文件路径

  • 操作

  • 操作系统

  • 平台附加信息

  • 打印机名称

  • SaaS 应用程序名称

  • 会话域

  • 会话服务器名称

  • 会话用户名

  • 会话 GUID

  • 时间戳

  • 时区:偏置,DST,名称

  • 类型

  • URL

  • 用户代理

Citrix ADC 日志

Citrix ADC 日志包含以下数据点:

  • 容器

  • 文件

  • 格式化

  • 类型

Citrix Managed Desktops 日志

Citrix Managed Desktops 日志包含以下数据点:

  • 应用程序名称

  • 浏览器

  • 详细信息:格式大小、格式类型、启动器、结果

  • 设备 ID

  • 设备类型

  • 文件名

  • 文件路径

  • 文件大小

  • 越狱

  • 作业详细信息:文件名、格式、大小

  • 位置:估计, 纬度, 经度

  • 长 CMD 行

  • 模块文件路径

  • 操作

  • 操作系统

  • 平台附加信息

  • 打印机名称

  • SaaS 应用程序名称

  • 会话域

  • 会话服务器名称

  • 会话用户名

  • 会话 GUID

  • 时间戳

  • 时区:偏置,DST,名称

  • 类型

  • URL

  • 用户代理

微应用服务日志

  • 微应用名称

  • 微应用 ID

  • 通知名称

  • 通知编号

  • 通知优先级

  • 集成(应用程序)ID

  • 集成(应用程序)UUID

  • 集成(应用程序)名称

  • 集成(应用程序)类

  • 频道

  • 用户收件人/发布电子邮件

  • 用户接收者/发布OID

  • 用户 Citrix 客户 ID

  • 订户用户列表

  • 组收件人 OID

  • 操作编号

  • 操作类型

  • 操作时间戳

  • 操作持续时间

  • 操作结果

  • 动作名词

  • 动作动词

  • 页面/卡片ID

  • 页面/卡UUUID

  • 页面/卡片标题

  • 页面/卡片实体

  • 页面/卡片录制

  • 事件 ID

  • 事件 UUID

  • 事件标题

  • 事件类型

  • 事件通道

  • 事件实体

  • 按钮编号

  • 按钮 UUID

  • 按钮标题

  • 数据集成提供程序 API 调用平均持续时间

  • 数据集成提供商 API 调用峰值速率

  • 数据集成提供商 API 调用率

  • 数据集成提供程序 API 调用总数

  • 数据集成提供程序 API 调用持续时间

  • 数据集成提供程序 API 调用结果

Citrix 身份提供程序日志

  • 用户登录:

    • 身份验证域:名称、产品、IdP 类型、IdP 显示名称

      • IdP 属性:应用程序、身份验证类型、客户 ID、客户端 ID、目录、发行者、徽标、资源、TID

      • 扩展名:

        • 工作区:背景颜色、标题徽标、登录徽标、链接颜色、文本颜色、StoreFront 域

        • ShareFile:客户 ID,客户地理位置

        • 长寿令牌:启用,到期类型,绝对到期秒,滑动到期秒

    • 验证结果:用户名,错误消息

    • 登录消息:客户端 ID,客户端名称

    • 用户声明:AMR,访问令牌哈希,澳元,身份验证时间,CIP Cred,身份验证别名,身份验证域,组,产品,系统别名,电子邮件, 验证,Exp,姓名,给定名称,IAT,IdP,ISS,区域设置,名称,NBF,SID,子

      • 身份验证别名声明:名称、值

      • 目录上下文:域、林、身份提供程序、租户 ID

      • 用户:客户、电子邮件、OID、SID、UPN

      • IdP 额外字段:Azure 广告 OID,Azure 广告 TID

  • 用户注销:客户端 ID、客户端名称、Nonce、子

  • 客户端更新:操作、客户端 ID、客户端名称

Citrix Gateway 日志

  • 事务处理事件:

    • ICA 应用程序:记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 GUID、MSI 客户端 Cookie、流 ID Rx、ICA 标志、连接 ID、填充八位数二、ICA 设备序列号、IP 版本 4、协议标识符、源 IPv4 地址 Rx、目标 IPv4地址 Rx、源传输端口 Rx、目标传输端口 Rx、ICA 应用程序启动持续时间、ICA 应用程序启动时间、ICA 进程 ID 启动、ICA 应用程序名称、ICA 应用程序模块路径、ICA 应用程序终止类型、ICA 应用程序终止时间、应用程序名称应用程序 ID、ICA 应用程序进程 ID 终止、ICA 应用程序

    • ICA 事件:记录类型、实际模板代码、源 IPv4 地址 Rx、目标 IPv4 地址 Rx、ICA 会话 Guid、MSI 客户端 Cookie、连接链 ID、ICA 客户端版本、ICA 客户端主机名、ICA 用户名、登录票证设置、服务器名称、服务器版本、流 ID Rx、ICA Rx、ICA 标志、ICA 标志、观察点 ID、导出进程 ID、观察域 ID、连接 ID、ICA 设备序列号、ICA 会话设置时间、ICA 客户端 IP、NS ICA 会话状态设置、源传输端口 Rx、目标传输端口 Rx、ICA 客户端启动器、ICA 客户端类型、ICA 连接优先级设置、NS ICA 会话服务器端口、NS ICA 会话服务器 IP 地址、IPv4、协议标识符、连接链跳计数、访问类型

    • ICA 更新:记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 GUID、MSI 客户端 Cookie、流 ID Rx、ICA 标志、连接 ID、ICA 设备序列号、IPv4、协议标识符、填充八位数二、ICA RTT、客户端 RX 字节、客户端数据包重传、服务器端数据包重传、客户端 RTT、客户端抖动、服务器端抖动、ICA 网络更新开始时间、ICA 网络更新结束时间、客户端 SRTT、服务器端 SRTT、客户端延迟、主机延迟、客户端零窗口计数、服务器端零窗口计数、客户端计数、客户端计数端 RTO 计数、服务器端 RTO 计数、L7 客户端延迟、L7 服务器延迟、应用程序名称应用程序 ID、租户名称、ICA 会话更新开始秒、ICA 通道 ID 1、ICA 通道 ID 2 字节、ICA 通道 ID 3 字节、ICA 通道 ID 4 字节、ICA 通道 ID 4 字节、ICA 通道 ID 4 字节、ICA 通道 ID、ICA 4 字节、ICA 通道 ID、ICA 通道 ID、ICA 4 字节、ICA 通道 ID、ICA 4 字节、ICA 通道 ID 4 字节、ICA 通道 ID、ICA 通道 ID、ICA 4 字节、ICA 通道 ID、IC通道 ID 5,ICA 通道 ID 5 字节

    • AppFlow 配置:记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、系统规则标志 1、系统安全索引、AppFlow 配置文件放松标志、AppFlow 配置文件块标志、AppFlow 配置文件记录标志、AppFlow 配置文件统计标志、AppFlow配置文件无标志、AppFlow 应用程序名称 ID、AppFlow 配置文件签名禁用、AppFlow 配置文件签名块计数、AppFlow 配置文件签名统计数、AppFlow 化身序列号、AppFlow 配置文件签名自动更新、AppFlow 安全索引、AppFlow 应用程序安全索引、AppFlow 应用程序安全索引、AppFlow 应用程序安全索引、AppFlow配置文件秒检查安全索引、应用流配置文件类型、Iprep 应用程序安全索引、AppFlow 配置文件名称、AppFlow 检查名称 Ls、AppFlow 检查规则 ID2、AppFlow 检查规则 ID3、AppFlow 检查规则 ID4、AppFlow 检查规则 ID5、应用程检查规则 ID5、应用程序标志启用程检查规则启用程序流检查规则启用程序标志、应用程检查规则标志、应用程检查规则标志、应用程检查规则标志、AppFlow 检查规则标志应用流检查规则日志标志、AppFlow 检查规则文件名、AppFlow 检查规则类别 1、AppFlow 检查规则日志字符串 1、应用流检查规则类别 2、应用流检查规则类别 3、应用流检查规则类别 4、应用流检查规则日志字符串 4、应用程检查规则类别 4、应用程序规则类别 4、AppFlow 检查规则类别 4、AppFlow 检查规则记录字符串 4、AppFlow 检查规则类别 5 5

    • AppFlow:实际模板代码、观察域 ID、观察点 ID、导出进程 ID、事务 ID、应用程序违规发生时间、应用程序名称应用程序 ID、应用程序违规严重性、应用程序违规类型、应用程序违规位置、应用程序违规威胁索引、应用程序 NS 经度、来源IPv4 地址 Rx、应用程序威胁索引、应用程序威胁索引、应用程序块标志、应用程序转换标志、应用程序违规配置文件名称、应用程序违规配置文件名称、应用程序违规类型名称 1、应用程序违规类型 1、应用程序违规名称 2名称值 2、应用程序号码类别 2、应用程序违规类型名称 3、应用程序违规名称值 3、应用程序注册 X 转发方式、应用程序名称 Ls、IPrep 类别、IPrep 攻击时间、IPrep 信誉评分、IPrep NS 经度、IPrep NS 纬度、IPREP 方法、IPREP 方法、IPREP 方法, Iprep应用程序威胁索引,Iprep 地理位置,Tcp Sysn 攻击中心,Tcp 慢速 RIS 数据中心,Tcp 零窗口中心,Appfw 日志执行器名称,Appfw 日志执行器值,Appfw 日志执行器注释

    • VPN:实际模板代码、观察域 ID、访问智能分析标志、观察点 ID、导出进程 ID、访问智能分析状态代码、访问智能分析时间戳、身份验证持续时间、设备类型、设备 ID、设备位置、应用程序名称应用程序 ID 1、源传输端口 Rx、目标传输端口 Rx、身份验证阶段、验证类型、VPN 会话 ID、EPA ID、AAA 用户名、策略名称、身份验证代理名称、组名称、虚拟服务器 FQDN、CSec 表达式、源 IPv4 地址 Rx、目标 IPv4 地址 Rx、CUR 因子策略标签、下一个因子策略标签、应用程序名称、应用程序名称 Ls、应用程序名称 Ls、应用程序名称 Ls、应用程序名称 1 L、应用程序名称AAA 用户电子邮件 ID、网关 IP、网关端口、应用程序字节计数、VPN 会话状态、VPN 会话模式、SSO 身份验证方法、IIP 地址、VPN 请求 URL、后端服务器名称、VPN 会话注销模式、登录票证文件信息、STA 票证、会话共享密钥、资源名称、SNIP 地址、临时 VPN 地址会话 ID

    • HTTP: Actual Template Code, Http Req Method, Http Req Url, Http Req User Agent, Http Content Type, Http Req Host, Http Req Authorization, Http Req Cookie, Http Req Referer, Http Res Set Cookie, Ic Cont Grp Name, Ic Flags, Ic Nostore Flags, Ic Policy Name, Response Media Type, Ingress Interface Client, Origin Res Status, Origin Rsp Len, Srv Flow Flags Rx, Srv Flow Flags Tx, Flow Flags Rx, Flow Flags Tx, App Name, Observation Point Id, Exporting Process Id, Observation Domain Id, Http Trans End Time, Transaction Id, Http Rsp Status, Trans Clt Ipv4 Address, Trans Clt Dst Ipv4 Address, Backend Svr Dst Ipv4 Address, Backend Svr Ipv4 Address, Http Rsp Len, Trans Svr RTT, Trans Clt RTT, Http Req Rcv FB, Http Req Rcv LB, Http Res Rcv FB, Http Res Rcv LB, Http Req Forw FB, Http Req Forw LB, Http Res Forw FB, Http Res Forw LB, Http Req X Forwarded For, Http Domain Name, Http Res Location, Protocol Identifier, Egress Interface, Backend Svr Ipv6 Address, SSL Flags BE, SSL Flags FE, SSL Session IDFE, SSL Session IDBE, SSL Cipher Value FE, SSL Cipher Value BE, SSL Sig Hash Alg BE, SSL Sig Hash Alg FE, SSL Srvr Cert Sig Hash BE, SSL Srvr Cert Sig Hash FE, SSL Clnt Cert Sig Hash FE, SSL Clnt Cert Sig Hash BE, SSL Server Cert Size FE, SSL Server Cert Size BE, SSL Client Cert Size FE, SSL Client Cert Size BE, SSL Err App Name, SSL Err Flag, SSL Handshake Error Msg, Client IP, Virtual Server IP, Connection Chain Id, Connection Chain Hop Count, Trans Clt Tot Rx Oct Cnt, Trans Clt TotTx Oct Cnt, Trans Clt Src Port, Trans Clt Dst Port, Trans Srv Src Port, Trans Srv Dst Port, VLAN Number, Client Mss, Trans Info, Trans Clt Flow End Usec Rx, Trans Clt Flow End Usec Tx, Trans Clt Flow Start Usec Rx, Trans Clt Flow Start Usec Tx, Trans Svr Flow End Usec Rx, Trans Svr Flow End Usec Tx, Trans Svr Flow Start Usec Rx, Trans Svr Flow Start Usec Tx, Trans Svr Tot Rx Oct Cnt, Trans Svr Tot Tx Oct Cnt, Clt Flow Flags Tx, Clt Flow Flags Rx, Trans Clt Ipv6 Address, Trans Clt Dst Ipv6 Address, Subscriber Identifier, SSLi Domain Name, SSLi Domain Category, SSLi Domain Category Group, SSLi Domain Reputation, SSLi Policy Action, SSLi Executed Action, SSLi Reason For Action, SSLi URL Set Matched, SSLi URL Set Private, URL Category, URL Category Group, URL Category Reputation, Responder Action Type, URL Set Matched, URL Set Private, Category Domain Name, Category Domain Source, AAA User Name, VPN Session ID, Tenant Name

  • 指标事件

    • vServer LB:绑定实体名称、实体名称、周一服务绑定、NetScaler ID、表示、架构类型、时间、CPU、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、服务器服务组、服务器服务组、vServer Cr、vServer Cr、vServer Cr、vServer LB:速率 Sb:速率 Si 请求字节Tot 响应字节, 速率 Si Tot 响应, 速率 Si Tut Clt Tlb 事务处理, 速率 Si Tkt Rcvd, 速率 Si Tot 发送, 速率 Vsvr Tot 命中, Si CUR 客户端成立, Si Cur 服务器, Si Tot 请求字节, Si Tot 响应, 克莱特特事务处理、单单单单位、单位单位已发送、单位单位令人沮丧的事务处理、Si Ttlb 容忍事务处理、Vsvr 活动 Svcs、Vsvr 单位点击、Vsvr 托特定单位无效、Vsvr Tot Rot Rot Rot 无效丢弃

    • CPU:绑定实体名称、实体名称、周一服务绑定、NetScaler ID、表示、架构类型、时间、CC CPU 使用 GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler 服务器服务组、服务器服务组、vServer Cr、vServer Cs、vServer Lb、vServer 用户

    • 服务器服务组:绑定实体名称、实体名称、周一服务绑定、NetScaler ID、表示、架构类型、时间、抄送 CPU 使用、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、服务器服务器服务组:速率 Si Tot 请求字节,速率 Si 总回应字节,速率 Si 总回应,速率 Si Ttlb,速率 Si Clt Tlb 事务处理,速率 Si Svr Tfb,速率 Si Tfb 交易,速率 Si Ttbb 事务处理,汇率 Sr Ttlb 交易,汇率速率 Si Tlb 容忍事务, Si Cur 状态, Si Tot 请求字节, Si Tot 响应字节, Si Tot 响应, Si Tutt Clt Tlb 事务处理, Si Tutt Svr Ttfb 事务处理, Si Ttlb, Si 转换, Ttlb 事务处理行动,容许事务处理

    • 服务器 SVC CFG:绑定实体名称,实体名称,周一服务绑定,NetScaler ID,表示形式,架构类型,时间,CPU 使用率,GSLB 服务器,GSLB 虚拟服务器,接口,内存池,NetScaler 授权,vServer Cr,vServer Cs,vServer Lb,vServer Lb,vServer Lb,vServer 用户,虚拟服务器用户,虚拟服务器用户,虚拟服务器用户,服务器用户,服务器请求速率,服务器,服务器,服务器,服务器请求率,服务器,服务器,服务器,服务器,服务器,服务器,服务器,服务器,服务器Si Tot 请求, 速率 Si Tot 回应字节, 速率 Si Ttlb 回应, 速率 Si Ttlb 交易, 速率 Si Ttlb 交易, 速率 Si Tt 发送, 速率 Si Ttt Spr, 汇率 Sr Ttbb 交易, 汇率 Si Ttr 交易, 汇率高级别平均成交, 汇率Tut Tlb 令人沮丧的事务处理, 速率 Si Ttlb 容忍事务处理, Si Cur 状态, Si Tot 请求字节, Si Tot 请求, Si Tot 响应字节, Si Tot 响应, Si Tot Clt Tlb 事务处理, Si Tot Rcvd, Si Tot 发送, Sr Ttfb, 斯托特SVR TTfb 交易, Si TTBR, Si TTBR 交易, Si TTBB 令人沮丧的交易, Si TTBB 容忍交易

    • NetScaler: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, GSLB Server, GSLB VServer, Interface, Memory Pool, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User, NetScaler: RATE All Nic Tot Rx Mbits, RATE All Nic Tot Rx Mbits, RATE Dns Tot Queries, RATE Dns Tot Neg Nxdmn Entries,RATE Http Tot Gets, RATE Http Tot Others, RATE Http Tot Posts, RATE Http Tot Requests, RATE Http Tot Requests 1.0, RATE Http Tot Requests 1.1, RATE Http Tot Responses, RATE Http Tot Rx Request Bytes, RATE Http Tot Rx Response Bytes, RATE Ip Tot Rx Mbits, RATE Ip Tot Rx Bytes, RATE Ip Tot Rx Pkts, RATE Ip Tot Tx Mbits, RATE Ip Tot Tx Bytes, RATE Ip Tot Tx Pkts, RATE SSL Tot Dec Bytes, RATE SSL Tot Enc Bytes,RATE SSL Tot SSL Info Session Hits, RATE SSL Tot SSL Info Total Tx Count, RATE Tcp Err Rst, RATE Tcp Tot Client Open, RATE Tcp Tot Server Open, RATE Tcp Tot Rx Bytes, RATE Tcp Tot Rx Pkts, RATE Tcp Tot Syn, RATE Tcp Tot Tx Bytes, RATE Tcp Tot Tx Pkts, RATE Udp Tot Rx Bytes, RATE Udp Tot Rx Pkts, RATE Udp Tot Tx Bytes, RATE Udp Tot Tx Pkts, All Nic Tot Rx Mbits, All Nic Tot Tx Mbits, Cpu Use, Dns Tot Queries, Dns Tot Neg Nxdmn Entries, Http Tot Gets, Http Tot Others, Http Tot Posts, Http Tot Requests, Http Tot Requests1.0, Http Tot Requests1.1, Http Tot Responses, Http Tot Rx Request Bytes, Http Tot Rx Response Bytes, Ip Tot Rx Mbits, Ip Tot Rx Bytes, Ip Tot Rx Pkts, Ip Tot Tx Mbits, Ip Tot Tx Bytes, Ip Tot Tx Pkts, Mem Cur Free size, Mem Cur Free size Actual, Mem Cur Used size, Mem Tot Available, Mgmt Additional Cpu Use, Mgmt Cpu 0 Use, Mgmt Cpu Use, SSL Tot Dec Bytes, SSL Tot Enc Bytes, SSL Tot SSL Info Session Hits, SSL Tot SSL Info Total Tx Count, Sys Cpus, Tcp Cur Client Conn, Tcp Cur Client Conn Closing, Tcp Cur Client Conn Est, Tcp Cur Server Conn, Tcp Cur Server Conn Closing, Tcp Cur Server Conn Est, Tcp Err Rst, Tcp Tot Client Open, Tcp Tot Server Open, Tcp Tot Rx Bytes, Tcp Tot Rx Pkts, Tcp Tot Syn, Tcp Tot Tx Bytes, Tcp Tot Tx Pkts, Udp Tot Rx Bytes, Udp Tot Rx Pkts, Udp Tot Tx Bytes, Udp Tot Tx Pkts

    • 内存池:绑定实体名称,实体名称,周一服务绑定,NetScaler ID,架构类型,时间,CPU,Gslb 服务器,Gslb 虚拟服务器,接口,NetScaler,服务器服务组,服务器 Svc Cr,vServer Cr,vServer Lb,vServer Lb,vServer 用户,内存池: 记忆池大小分配大小备忘录错误分配失败,备忘录可用

    • 监视服务绑定:绑定实体名称,实体名称,NetScalerID,架构类型,时间,CPU,Gslb 服务器,Gslb 虚拟服务器,接口,内存池,NetScaler,服务器服务组,服务器 Svc CFg,vServer Cr,vServer Cs,vServer Lb,vServer SSL,vServer SSL,vServer 用户,vServer 用户,vServer 用户,虚拟服务器用户,服务器用户,服务器绑定,服务器绑定,服务器绑定,服务器用户,周一个服务器绑定:一个服务器绑定:一个服务器,一个服务器,一个服务器绑定:一个服务器,一个服务器绑定:星期一托特探测器

    • 接口:绑定实体名称、实体名称、周一服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、内存池、NetScaler、服务器服务组、服务器 Svc Cr、vServer Cr、虚拟服务器 Lb、虚拟服务器用户、虚拟服务器用户、接口:RT 字节、接口:率Rx 数据包、速率网卡 Tx 字节、速率网卡总数 Tx 数据包、NIC 总数 Rx 字节、NIC 总数 Rx 数据包、NIC 总数 Tx 字节、NIC 总数 Tx 数据包

    • vServer CS:绑定实体名称、实体名称、周一服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、内存池、NetScaler、服务器服务组、服务器服务组、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 Lb、虚拟服务器用户 SSL、虚拟服务器用户、虚拟服务器用户、虚拟服务器用户、虚拟服务器用户、虚拟服务器用户、虚拟服务器用户、虚拟服务器用户、虚拟服务器请求速率、虚拟服务器用户、虚拟服务器用户、虚拟服务器Si Tot 请求,速率 Si Tot 响应字节,速率 Si Tut Clt Tlb 事务处理,速率 Si Tut Tlb 事务处理,速率 Si Tot Pkt 发送,速率 Si Tlb 令人沮丧的事务处理,速率 Si Ttlb 容忍事务处理,速率 Vvr Tot 命中,Sr 请求,Si,状态,Si,Si 请求,Si,Si,字节,字节,Si,字节,Si直接请求、单位请求响应字节、单位请求响应字节、单位请求事务处理、单位请求、单位请求、单位请求发送、单位交易处理、单位允许事务处理、Si Tlb 允许事务处理、Vsvr Tot 命中、Vsvr 请求注销无效

安全浏览器日志

  • 应用程序帖子:

    • 已发布应用程序之前的日志:身份验证、浏览器、更改 ID、创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

    • 发布应用程序后的日志:身份验证、浏览器、更改 ID、已创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、传统图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

  • 应用程序删除

    • 已发布应用程序之前的日志:身份验证、浏览器、更改 ID、创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

    • 发布应用程序后的日志:身份验证、浏览器、更改 ID、已创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、传统图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

  • 应用程序更新:

    • 已发布应用程序之前的日志:身份验证、浏览器、更改 ID、创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

    • 发布应用程序后的日志:身份验证、浏览器、更改 ID、已创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、传统图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

  • 授权创建:

    • 授权创建前的日志:已批准、客户编号、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、起始日期、状态、类型

    • 授权创建后的日志:已批准、客户编号、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、起始日期、状态、类型

  • 权利更新:

    • 权利更新之前的日志:已批准、客户编号、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、起始日期、状态、类型

    • 授权更新后的日志:已批准、客户编号、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、起始日期、状态、类型

  • 会话访问主机:接受主机、客户端 IP、日期时间、主机、会话、用户名

  • 会话连接:

    • 会话连接前的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

    • 会话连接后的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话启动:

    • 会话启动前的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

    • 会话启动后的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话刻度

    • 会话勾选前的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

    • 会话勾选后的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

Microsoft Graph 安全日志

  • 租户编号

  • 用户 ID

  • 指标编号

  • 指标 UUID

  • 事件时间

  • 创建时间

  • 警报类别

  • 登录位置

  • 登录 IP

  • 登录类型

  • 用户帐户类型

  • 供应商信息

  • 供应商提供商信息

  • 脆弱性状态

  • 漏洞严重性

Microsoft Active Directory 日志

  • 租户编号

  • 收集时间

  • 类型

  • 目录上下文

  • 身份

  • 用户类型

  • 帐户名称

  • 密码计数错误

  • 城市

  • 公用名

  • 公司

  • 国家/地区

  • 密码到期之前的天数

  • 部门

  • 说明

  • 显示名称

  • 标识名

  • 电子邮件

  • 传真号码

  • 名字

  • 组类别

  • 组范围

  • 住宅电话

  • 缩写

  • IP 电话

  • 帐户是否已启用

  • 帐户是否已锁定

  • 是安全组

  • 姓氏

  • 经理

  • 成员

  • 移动电话

  • 寻呼机

  • 密码永不过期

  • 实际配送办公室名称

  • 邮政信箱

  • 邮政编码

  • 主要组编号

  • 状态

  • 街道地址

  • 标题

  • 用户帐户控制

  • 用户组列表

  • 用户主体名称

  • 工作电话

Citrix Analytics for Performance 日志

  • actionid

  • actionreason

  • actiontype

  • adminfolder

  • agentversion

  • allocationtype

  • applicationid

  • applicationname

  • applicationpath

  • applicationtype

  • applicationversion

  • associateduserfullnames

  • associatedusername

  • associatedusernames

  • associateduserupns

  • authenticationduration

  • autoreconnectcount

  • autoreconnecttype

  • blobcontainer

  • blobendpoint

  • blobpath

  • brokerapplicationchanged

  • brokerapplicationcreated

  • brokerapplicationdeleted

  • brokeringdate

  • brokeringduration

  • brokerloadindex

  • brokerregistrationstarted

  • browsername

  • catalogchangeevent

  • catalogcreatedevent

  • catalogdeletedevent

  • catalogid

  • catalogname

  • catalogsync

  • clientaddress

  • clientname

  • clientplatform

  • clientsessionvalidatedate

  • clientversion

  • collecteddate

  • connectedviahostname

  • connectedviaipaddress

  • connectionid

  • connectioninfo

  • connectionstate

  • connectiontype

  • controllerdnsname

  • cpu

  • cpuindex

  • createddate

  • currentloadindexid

  • currentpowerstate

  • currentregistrationstate

  • currentsessioncount

  • datetime

  • deliverygroupadded

  • deliverygroupchanged

  • deliverygroupdeleted

  • deliverygroupid

  • deliverygroupmaintenancemodechanged

  • deliverygroupname

  • deliverygroupsync

  • deliverytype

  • deregistrationreason

  • desktopgroupdeletedevent

  • desktopgroupid

  • desktopgroupname

  • desktopkind

  • disconnectcode

  • disconnectreason

  • disk

  • diskindex

  • dnsname

  • domainname

  • effectiveloadindex

  • enddate

  • errormessage

  • establishmentdate

  • eventreporteddate

  • eventtime

  • exitcode

  • failurecategory

  • failurecode

  • failuredata

  • failuredate

  • failurereason

  • failuretype

  • faultstate

  • functionallevel

  • gpoenddate

  • gpostartdate

  • hdxenddate

  • hdxstartdate

  • host

  • hostedmachineid

  • hostedmachinename

  • hostingservername

  • hypervisorconnectionchangedevent

  • hypervisorconnectioncreatedevent

  • hypervisorid

  • hypervisorname

  • hypervisorsync

  • icartt

  • icarttms

  • id

  • idletime

  • instancecount

  • interactiveenddate

  • interactivestartdate

  • ipaddress

  • isassigned

  • isinmaintenancemode

  • ismachinephysical

  • ispendingupdate

  • ispreparing

  • isreconnect

  • isremotepc

  • issecureica

  • lastderegisteredcode

  • launchedviahostname

  • launchedviaipaddress

  • lifecyclestate

  • logonduration

  • logonenddate

  • logonscriptsenddate

  • logonscriptsstartdate

  • logonstartdate

  • long

  • machineaddedtodesktopgroupevent

  • machineassignedchanged

  • machinecatalogchangedevent

  • machinecreatedevent

  • machinedeletedevent

  • machinederegistrationevent

  • machinednsname

  • machinefaultstatechangeevent

  • machinehardregistrationevent

  • machineid

  • machinemaintenancemodechangeevent

  • machinename

  • machinepvdstatechanged

  • machineregistrationendedevent

  • machineremovedfromdesktopgroupevent

  • machinerole

  • machinesid

  • machineupdatedevent

  • machinewindowsconnectionsettingchanged

  • memory

  • memoryindex

  • modifieddate

  • network

  • networkindex

  • ostype

  • path

  • percentcpu

  • persistentuserchanges

  • powerstate

  • processname

  • profileloadenddate

  • profileloadstartdate

  • protocol

  • provisioningschemeid

  • provisioningtype

  • publishedname

  • registrationstate

  • serversessionvalidatedate

  • sessioncount

  • sessionend

  • sessionid

  • sessionidlesince

  • sessionindex

  • sessionkey

  • sessionstart

  • sessionstate

  • sessionsupport

  • sessiontype

  • sid

  • siteid

  • sitename

  • startdate

  • totalmemory

  • triggerinterval

  • triggerlevel

  • triggerperiod

  • triggervalue

  • usedmemory

  • userid

  • username

  • usersid

  • vdalogonduration

  • version

  • vmstartenddate

  • vmstartstartdate

  • windowsconnectionsetting

数据管理