Secure Private Access 与 Monitor 的集成(预览版)
Secure Private Access 已与 Monitor 集成,Monitor 是 Citrix DaaS 的监控和故障排除控制台。管理员和技术支持人员除了可以通过 Secure Private Access 控制板之外,还可以从 DaaS Monitor 监控和排查 Web/SaaS 和 TCP/UDP 应用程序会话和事件。
服务授权
要将 DaaS Monitor 功能与 Secure Private Access 结合使用,您必须同时拥有 Secure Private Access 和 DaaS 授权。
支持的客户端
- Citrix Workspace™ 应用程序 - 2409 及更高版本
- 适用于 Windows 的 Citrix Secure Access - 24.8.1.19 及更高版本
- 适用于 macOS 的 Citrix Secure Access - 24.10.1 及更高版本
如何访问 Monitor
您可以从 Secure Private Access 控制板(转到 Monitor)或从 Citrix DaaS™ 服务磁贴访问 Monitor。
会话定义
Secure Private Access 会话提供了最终用户会话生命周期、应用程序活动以及特定设备上的用户体验的全面摘要。会话作为故障排除和分析的统一记录,通过提供以下方面的可见性:
- 有关如何访问应用程序的详细见解,包括启动跳转、网络拓扑、连接和路由详细信息。这些详细信息对于解决与访问策略相关的问题至关重要。
-
跟踪所有会话活动来源:
- 访问 Web 或 SaaS 应用程序的浏览器。
- 用于使用 TCP/UDP 协议的专用应用程序的 Citrix Secure Access 客户端。
Secure Private Access 会话的一些主要特征包括:
- 每个会话都分配有一个唯一的 ID,用于跟踪和分析。
- 单个会话可以包含多个应用程序启动,并提供该特定会话中用户活动的全面视图。
-
对于每个应用程序,会话跟踪:
- 适用于该应用程序的安全控制。
- 触发安全控制的策略显示名称和 ID。
- 导致策略强制执行的条件。
- 会话跟踪用户在 Citrix Enterprise Browser™ 中访问过的所有内部域,从而提供用户在安全环境中的导航见解。
Web/SaaS 应用程序会话
Web/SaaS 应用程序的会话开始和结束定义如下:
- 开始:在 Citrix Workspace 应用程序中打开 Citrix Enterprise Browser 并访问应用程序。
- 结束:会话在以下场景中结束。
- 您关闭 Citrix Enterprise Browser。
-
不活动 30 分钟后,且未报告任何会话活动。
Citrix Enterprise Browser 客户端每 15 分钟向 Monitor 发送一次会话活动。如果 30 分钟内未收到此会话活动,这可能是由于以下原因:
- 网络故障。
- 互联网连接问题。
- 30 分钟不活动间隔后会话关闭。
注意:
对于通过本机浏览器(无代理)启动的应用程序,会话在不活动 120 分钟后结束。
TCP/UDP 应用程序会话
TCP/UDP 应用程序的会话开始和结束定义如下:
- 开始:您登录 Citrix Secure Access™ 客户端并访问应用程序。
- 结束:会话在以下场景中结束。
- 您注销 Citrix Secure Access 客户端。
- 不活动 30 分钟后,且未报告任何会话活动。
无代理应用程序会话
无代理应用程序的会话开始和结束定义如下:
- 开始:您从 Citrix Workspace 或使用 URL 启动应用程序。
- 结束:会话在不活动 120 分钟后结束。
已知限制:
无论 Secure Private Access 控制台(设置 > 超时)中配置的超时设置如何,无代理应用程序会话都会在不活动 120 分钟后终止。
按用户查看 Secure Private Access 会话
使用“搜索”字段查看会话
-
在 Monitor 控制板上,单击搜索并输入用户名。此时将显示选择会话屏幕。
[可选步骤]。如果您找不到输入的用户名,请单击搜索目录以查找用户名。
-
选择所需的用户。此时将显示选择会话屏幕。
从“筛选器”页面查看会话
您可以从筛选器页面搜索会话,在该页面中,您可以使用各种条件搜索特定会话。
执行以下步骤以从筛选器页面查看用户会话:
-
根据各种筛选器(例如计算机、会话、连接、应用程序实例、Secure Private Access 会话和 Secure Private Access 应用程序)优化搜索。您还可以根据时间线优化搜索。
-
使用下拉列表选择更多筛选条件(例如关联用户、端点 IP 等)。有关详细信息,请参阅筛选数据以排查故障。
将显示与指定用户关联的会话列表。
有关无代理应用程序的注意事项:
- 无代理应用程序的会话详细信息,无论是通过 Workspace 用户界面还是通过直接 URL 启动,都记录在会话列表中。
- 由于无代理应用程序是在本机浏览器中启动的,因此这些应用程序在会话列表中显示的端点名称不是用户定义的端点标识符。相反,系统会自动生成并分配一个随机的全局唯一标识符 (GUID) 作为端点名称。
Secure Private Access 会话的活动管理器
Citrix Monitor 为 Secure Private Access 会话提供了“活动管理器”视图,该视图可让您全面了解会话活动。“活动管理器”提供了所有成功打开、未能打开的应用程序和桌面以及 Secure Private Access 应用程序中设置的策略结果的全面视图。
“活动管理器”包含以下选项卡:
可用应用程序: 显示 Citrix Workspace 应用程序中可用的应用程序。此部分显示应用程序的上次枚举尝试以及枚举尝试的状态。
已启动应用程序: 显示在 Citrix Workspace 应用程序中打开的应用程序。
注意:
如果应用程序在同一会话中多次访问,则仅捕获最近一次访问的详细信息。
查看活动管理器
要查看“活动管理器”,请执行以下操作:
-
在 Monitor 控制板上,单击搜索并输入用户名。
[可选步骤]。如果您找不到输入的用户名,请单击搜索目录以查找用户名。
-
选择所需的用户。此时将显示选择会话屏幕。
-
选择使用 Secure Private Access 会话打开的活动会话。此时将显示所选会话的“活动管理器”。
-
单击可用应用程序以查看 Citrix Workspace 应用程序中可用的应用程序,或单击已启动应用程序(会话)以查看在 Citrix Workspace 应用程序中打开的应用程序。
您可以根据用户的访问状态对资源进行分类和筛选。这些状态反映了 Secure Private Access 应用程序中配置的策略的结果。
- 允许: 表示 Secure Private Access 策略允许访问指定的资源。因此,该资源在用户的 Citrix Workspace 应用程序中可见且可访问。
- 拒绝: 表示 Secure Private Access 策略阻止用户访问资源。尽管该资源可能在用户的 Citrix Workspace 应用程序中可见,但它仍然无法访问,这表明由于策略强制执行而导致的访问限制。
- 错误: 表示用户根据 Secure Private Access 应用程序策略应有权访问资源的情况。但是,由于底层问题,该资源无法正常运行或在 Citrix Workspace 应用程序中不可用。该错误可能与枚举或会话有关。
- 成功: 表示应用程序启动是否成功。
Secure Private Access 会话详细信息页面
Secure Private Access 会话详细信息页面包含以下四个窗格:
-
应用程序拓扑: 提供应用程序启动过程的流程。此外,还提供有关应用程序的完整详细信息。端点连接到 Citrix Gateway,Citrix Gateway 连接到 Secure Private Access 插件。使用 Secure Private Access 插件中的信息,启动应用程序。
您可以从“活动管理器”的可用应用程序或已启动应用程序部分查看应用程序的应用程序拓扑。您还可以从拒绝访问选项卡查看访问被拒绝的应用程序的应用程序拓扑。
- 关于: 显示有关 Web/SaaS、TCP/UDP 和无代理应用程序的附加信息,包括成功启动的应用程序和失败的应用程序。
-
策略评估: 在访问和会话选项卡中显示与策略相关的信息,例如规则、操作和条件。
- 访问策略详细信息可在访问选项卡下查看。
- 会话策略详细信息可在会话选项卡中查看。
- 会话详细信息: 显示成功建立的会话的会话详细信息。对于失败的会话,将显示会话失败的原因。
下图显示了成功启动应用程序的 Secure Private Access 会话详细信息页面示例。
应用程序拓扑
在成功的应用程序启动场景中,“应用程序拓扑”以统一的颜色表示整个通信流。相反,当应用程序启动因连接器设备不可达或后端服务器不可用等问题而失败时,“应用程序拓扑”会以不同的颜色显示发生故障的流的特定段。 例如,如果连接器设备不可达,Citrix Cloud™ 与资源位置之间的连接可能会以红色突出显示,表示故障。
下图显示了应用程序流示例。
| 字段名称 | 描述 |
|---|---|
| 端点 | 显示应用程序打开的端点。可能的选项是 Citrix Workspace 应用程序和 Citrix Secure Agent。显示设备 ID。您还可以查看端点操作系统和位置类型。 |
| Citrix Cloud | 显示枚举的应用程序数量和配置的策略数量。 |
| 策略评估 | 显示 Secure Private Access 应用程序上设置的策略结果。可能的值为允许、拒绝、允许访问但受限制和错误。 |
| 公共网络 | 显示应用程序类型和应用程序启动状态。应用程序类型的可能值为 Web/SaaS 应用程序。同样,应用程序启动状态的可能值为允许、拒绝、允许访问但受限制和错误。您还可以查看顶级 URL、应用程序类型和应用程序发布。 |
| 资源位置 | 显示应用程序类型和应用程序启动状态。应用程序类型的可能值为 TCP/UDP 应用程序。您还可以查看顶级 URL、应用程序类型和应用程序发布。 |
“关于”窗格
显示有关 Web/SaaS、TCP/UDP 和无代理应用程序的附加信息,包括成功启动的应用程序和失败的应用程序。 如果应用程序失败,关于窗格会显示相应的错误代码。单击此代码会将您重定向到详细说明原因和解决方法的技术文档页面。对于其他问题,您将被定向到 Citrix 支持页面。
下图显示了关于窗格示例。
| 字段名称 | 描述 |
|---|---|
| 事务 ID | 会话或枚举期间生成的 Citrix 事务 ID。 |
| 资源类型 | 显示资源类型。可能的值为 Web、SaaS、TCP/UDP(服务器到客户端)和 TCP/UDP(客户端到服务器)。 |
| 已访问资源
|
已访问资源字段中显示的数据因应用程序类型而异。 |
| SaaS 应用程序 - URL 或应用程序 FQDN | |
| TCP/UDP – IP 地址/FQDN、端口和协议 | |
| Web 应用程序(通过 Citrix Secure Access 客户端启动)- FQDN、端口和协议 | |
| Web 应用程序(通过 Citrix Workspace 启动)- URL | |
| 无代理应用程序 - 应用程序的 URL | |
| 已配置策略规则 | 会话或枚举中使用的策略数量。 |
| 原因 | 会话或枚举活动分析的结果。 |
| 应用的安全限制 | 显示对此应用程序强制执行的安全限制。 |
| 路由上下文
|
显示路由期间应用的策略类型(访问策略、会话策略或应用程序域)。路由上下文有助于识别影响路由决策的层次结构(访问策略 > 会话策略 > 默认应用程序域)。 |
| 对于会话策略,“查看详细信息”链接提供有关会话策略的更多详细信息。 |
策略评估窗格
在访问和会话选项卡中显示与策略相关的信息,例如规则、操作和条件。访问策略详细信息可在访问选项卡下查看。会话策略详细信息可在会话选项卡中查看。
| 字段名称 | 描述 |
|---|---|
| ID | Citrix 事务 ID |
| 策略名称 | 与应用程序关联的策略名称。如果存在多个策略,则显示与设置条件匹配的第一个策略。 |
| 规则名称 | 策略中配置的规则名称。 |
| 状态 | 策略评估结果 |
| 应用的操作 | 根据策略评估结果对应用程序应用的操作。例如,拒绝访问。 |
| 操作路由 | 显示用户请求通过 Secure Private Access 服务所采用的路由路径(直接、通过连接器内部、通过网关内部)。 |
| 类型 | 策略条件的类型。 |
| 条件标准 | 会话或枚举期间应用的策略的条件标准。 |
| 值 | 条件评估结果。 |
| 评估状态 | 策略条件评估结果的状态。不同的值为允许、拒绝、允许访问但受限制和错误。 |
会话详细信息窗格
对于失败的会话,将显示会话失败的原因。对于成功的会话,将显示与会话相关的其他详细信息。
对于从可用应用程序选项卡单击的应用程序,会话详细信息窗格保持为空,因为应用程序枚举与会话不关联。
| 字段名称 | 描述 |
|---|---|
| 会话状态 | 显示会话是活动还是非活动状态。 |
| 开始时间 | 显示会话开始时间。 |
| 上次活动时间 | 显示成功会话的上次活动时间。 |
| 启动源 | 显示 Secure Private Access 会话的启动源。 |
| DaaS 会话 | 显示 DaaS 会话的详细信息。此字段仅在单个会话或多会话 VDA 的情况下显示。 |
| 登录详细信息 | |
| SPA SSO | 显示 Secure Private Access 会话的单点登录是成功还是失败。如果失败,用户必须手动登录。 |
| 配置 | 显示 Secure Private Access 会话的单点登录配置状态。如果未配置,详细信息将共享给管理员。 |
| 登录尝试 | 显示 Secure Private Access 会话的单点登录尝试状态。 |
| 错误代码
|
显示 Secure Private Access 会话的单点登录尝试失败时的错误代码。可能的错误代码为:6007 和 6003。 |
| 6003 - 从 Broker Agent 服务检索 Secure Private Access 单点登录句柄时出错。 | |
| 6007 - 登录 Secure Private Access 失败。 | |
| 用户登录 | 显示 Secure Private Access 会话的手动用户登录状态。 |
| 网关虚拟 IP
|
显示成功会话连接到的网关的虚拟 IP 地址。 |
| 此字段仅适用于混合数据路径部署。 | |
| 上下文标记 | 显示上下文标记。Secure Private Access 插件上的上下文标记是应用于已验证用户会话的 NetScaler® Gateway 策略(会话、预身份验证、EPA)的名称。 |
| 已访问域(内部) | 显示使用成功会话访问的内部域。 |
| 已访问域(外部)
|
显示使用成功会话访问的外部域。 |
| 已访问域字段仅适用于 Web/SaaS 应用程序,并且仅在 15 分钟后更新,因为 macOS 和 Windows 上的 Citrix Enterprise Browser 客户端每 15 分钟发送一次会话活动。 | |
注意:
对于从“可用应用程序”选项卡单击的应用程序,会话详细信息列窗格保持为空,因为应用程序枚举与会话不关联。
各种应用程序的示例拓扑图
Web/SaaS 应用程序 - 成功场景:
Web/SaaS 应用程序 - 失败场景:
无代理应用程序 - 成功场景:
无代理应用程序 - 失败场景:
TCP/UDP 应用程序 - 成功场景:
TCP/UDP 应用程序 - 失败场景:
本地部署:
混合部署:
多会话 VDA 的可观察性
多会话 VDA 的可观察性功能增强了多用户 VDA 环境中 Secure Private Access 会话的监控和故障排除能力。此功能使 Citrix 技术支持管理员能够监控 Secure Private Access 会话、排查问题,并在多会话 VDA 的情况下深入了解应用程序启动和用户事务。
主要功能:
- 增强的可观察性:管理员可以在 Citrix Director 界面中监控 Secure Private Access 会话,包括应用程序启动和枚举。这包括枚举和应用程序启动问题的详细视图。
- 用户上下文跟踪:此功能维护共享 VDA 环境中访问的应用程序的用户上下文,确保每个用户的会话数据可见性准确。
- 错误洞察:捕获并显示单点登录 (SSO) 失败、错误代码(例如 6003、6007)以及解决问题的故障排除步骤。
- 会话搜索:管理员可以使用与 VDI 会话和应用程序相同的工作流搜索会话、应用程序和用户事务。
- 跨会话导航:支持 Secure Private Access 会话和 VDA 会话之间的导航,以简化故障排除。
支持的场景:
- 多用户 VDA 环境:支持多个并发用户会话通过 Citrix Secure Access 客户端访问内部应用程序、SaaS 应用程序和 Web 应用程序。
- 单会话桌面:将相同的功能扩展到单会话桌面,以实现跨环境的一致可观察性。
错误处理:
- 错误代码 6003:从 Broker Agent 服务检索 Secure Private Access 单点登录句柄时出错。
- 错误代码 6007:登录 Secure Private Access 失败。
- 故障排除指南:提供详细的错误描述和指向 Citrix Monitor 中故障排除步骤的链接。
有关详细信息,请参阅 Citrix Secure Private Access 文档中的Citrix Secure Access 客户端 SSO 失败。
要求:
- Citrix Secure Access 版本:Windows 需要 Citrix Secure Access 25.2.1.18 或更高版本。
- DaaS 服务:DaaS 服务必须可访问,才能使用 Citrix Monitor 排查 Secure Private Access 会话问题。
- CAS 部署:CAS 部署必须在客户已加入的 Citrix Cloud 区域中可用。
- Citrix Secure Access 代理已自动安装并预配在 VDI 上。
- Secure Private Access 会话是针对通过内部连接器设备路由的内部 Web 应用程序、TCP/UDP 应用程序和 SaaS 应用程序启动的。
多会话 VDA 的可观察性功能为管理员提供了强大的工具,用于监控、排查和管理多用户 VDA 环境中的 Secure Private Access 会话。通过提供详细的见解和简化的工作流,此功能增强了整体管理体验并确保了高效的资源利用。