数据治理

本节提供有关 Citrix Analytics 服务收集、存储和保留日志的信息。未在“定 义”部分中定义 的任何大写术语均具有 Citrix 最终用户服务协议中指定的含义。

Citrix Analytics 旨在让客户深入了解其 Citrix 计算环境中的事件。Citrix Analytics 使安全管理员能够选择他们想要监视的日志,并根据记录的事件采取定向措施。这些见解可帮助安全管理员管理对其计算环境的访问,并在客户的计算环境中保护客户内容。

数据驻留

Citrix Analytics 日志与数据源分开维护,并聚合到位于美国、欧盟和亚太南部地区的多个 Microsoft Azure 云环境中。日志的存储取决于 Citrix Cloud 管理员在将组织加入 Citrix Cloud 时选择的主区域。例如,如果您在将组织加入 Citrix Cloud 时选择了欧洲区域 ,则 Citrix Analytics 日志将存储在欧盟的 Microsoft Azure 环境中。

有关更多信息,请参阅 Citrix Cloud Services 客户内容和日志处理 以及 地理注意事项

数据收集

Citrix Cloud 服务经过精心设计,可将日志传输到 Citrix Analytics。日志是从以下数据源收集的:

  • Citrix ADC(本地) 以及 Citrix Application Delivery Management 的订阅

  • Citrix Endpoint Management

  • Citrix Gateway(本地)

  • Citrix 身份提供程序

  • Citrix Secure Browser

  • Citrix Secure Private Access

  • Citrix Virtual Apps and Desktops

  • Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)

  • Microsoft Active Directory

  • Microsoft Graph 安全性

数据传输

Citrix Cloud 日志安全传输到 Citrix Analytics。当客户环境的管理员明确启用 Citrix Analytics 时,这些日志将被分析并存储在客户数据库中。这同样适用于配置了 Citrix Workspace 的 Citrix Virtual Apps and Desktops 数据源。

对于 Citrix ADC 数据源,只有当管理员为特定数据源明确启用 Citrix Analytics 时,才会启动日志传输。

数据控制

管理员可以随时打开或关闭发送到 Citrix Analytics 的日志。

当 Citrix ADC 本地数据源关闭时,特定 ADC 数据源与 Citrix Analytics 之间的通信将停止。

如果对其他数据源全部关闭,则不再分析特定数据源的日志并将其存储在 Citrix Analytics 中。

数据保留

Citrix Analytics 日志以可识别的形式保留最长 13 个月或 396 天。所有日志和相关的分析数据(如用户风险概况、用户风险评分详细信息、用户风险事件详细信息、用户观察列表、用户操作和用户配置文件)将在此期间保留。

例如,如果您已于 2021 年 1 月 1 日在数据源上启用了分析,则默认情况下,2021 年 1 月 1 日收集的数据将保留在 Citrix Analytics 中,直到 2022 年 1 月 31 日。同样,2021 年 1 月 15 日收集的数据将保留到 2022 年 2 月 15 日,依此类推。

即使在关闭数据源的数据处理或从 Citrix Analytics 中删除数据源之后,此数据仍会在默认数据保留期内存储。

Citrix Analytics 将在订阅期或试用期到期后 90 天内删除所有客户内容。

数据导出

本节介绍从 Citrix Analytics for Security 和 Citrix Analytics for Performance 中导出的数据。

Citrix Analytics for Performance 从数据源收集和分析性能指标。

您可以将自助搜索页面中的数据下载为 CSV 文件。

Citrix Analytics for Security 从各种产品(数据源)收集用户事件。对这些事件进行处理,以提供对用户风险和异常行为的可见性。您可以将这些与用户风险洞察和用户事件相关的已处理数据导出到系统信息和事件管理 (SIEM) 服务。

目前,可以通过两种方式从 Citrix Analytics for Security 中导出数据:

  • 将 Citrix Analytics for Security 与您的 SIEM 服务集成

  • 将自助搜索页面中的数据作为 CSV 文件下载。

将 Citrix Analytics for Security 与 SIEM 服务集成时,数据将通过使用北向的 Kafka 主题或基于 Logstash 的数据连接器发送到您的 SIEM 服务。

目前,您可以与以下 SIEM 服务集成:

  • Splunk(通过 Citrix Analytics 附加组件进行连接)

  • 任何支持 Kafka 主题或基于 Logstash 的数据连接器的 SIEM 服务,例如 Elasticsearch 和 Microsoft Azure Sentinel

您还可以使用 CSV 文件将数据导出到 SIEM 服务。在自助搜索页面中,您可以查看数据源的数据(用户事件)并将这些数据下载为 CSV 文件。有关 CSV 文件的详细信息,请参阅 自助搜索

重要提示

将数据导出到 SIEM 服务后,Citrix 不负责安全性、存储、管理和导出数据在 SIEM 环境中的使用。

您可以打开或关闭从 Citrix Analytics for Security 到 SIEM 服务的数据传输。

有关处理过的数据和 SIEM 集成的信息,请参阅安全信息和事件管理 (SIEM) 集成适用于 SIEM 的 Citrix Analytics 数据格式

Citrix Services Security Exhibit

有关应用于 Citrix Analytics 的安全控制的详细信息,包括访问和身份验证、安全计划管理、业务连续性和事件管理,都包含在 Citrix Services 安全展览中。

定义

客户内容 是指上载到客户帐户以供存储的任何数据,或客户环境中允许Citrix执行服务的数据。

日志是指与服务相关的事件记录,包括衡量性能、稳定性、使用率、安全性和支持的记录。

服务 是指上述为 Citrix Analytics 目的概述的 Citrix Cloud 服务。

数据收集协议

将数据上传到 Citrix Analytics 并使用 Citrix Analytics 的功能,即表示您同意并同意 Citrix 可以收集、存储、传输、维护、处理和使用有关 Citrix 产品和服务的技术、用户或相关信息。

Citrix 始终根据 Citrix 隐私政策处理收到的信息。

附录:收集的日志

Citrix Analytics for Security 日志

常规日志

通常,Citrix Analytics 日志包含以下标头标识数据点:

  • 标题键

  • 设备识别

  • 标识

  • IP 地址

  • 组织

  • 产品

  • 产品版本

  • 系统时间

  • 租户身份

  • 类型

  • 用户:电子邮件、ID、SAM 帐户名、域、UPN

  • 版本

Citrix Endpoint Management 服务日志

Citrix Endpoint Management 服务日志包含以下数据点:

  • 合规性

  • 企业拥有

  • 设备 ID

  • 设备型号

  • 设备类型

  • 地理纬度

  • 地理经度

  • 主机名

  • IMEI

  • IP 地址

  • 越狱

  • 上次事件

  • 管理模式

  • 操作系统

  • 操作系统版本

  • 平台信息

  • 原因

  • 序列号

  • 受监督

Citrix Secure Private Access 日志

  • AAA 用户名

  • 身份验证策略操作名称

  • 身份验证会话 ID

  • 请求 URL

  • URL 类别策略名称

  • VPN 会话 ID

  • 虚拟服务器 IP

  • AAA 用户电子邮件 ID

  • 实际模板代码

  • 应用程序 FQDN

  • 应用程序名称

  • 应用名称虚拟服务器 LS

  • 应用标志

  • 身份验证类型

  • 认证阶段

  • 身份验证状态码

  • 后端服务器 Dst IPv4 地址

  • 后端服务器 IPv4 地址

  • 后端服务器 IPv6 地址

  • 类别域名

  • 类别域名来源

  • 客户端 IP

  • 客户端 MSS

  • 客户端快速 Rex 计数

  • 客户端 TCP 抖动

  • 重新传输的客户端 TCP 数据包

  • 客户端 TCP RTO 计数

  • 客户端 TCP 零窗口计数

  • 客户端流标志 Rx

  • 客户端流标志 Tx

  • 客户端 TCP 标志 Rx

  • 客户端 TCP 标志 Tx

  • 连接链跳数

  • 连接链 ID

  • 出口接口

  • 导出进程 ID

  • 流量标志 Rx

  • 流量标志 Tx

  • HTTP 内容类型

  • HTTP 域名

  • HTTP 请求授权

  • HTTP Req Cookie

  • HTTP Req Forw FB

  • HTTP Req Forw LB

  • HTTP 请求主机

  • HTTP 请求方法

  • HTTP Rq Rcv FB

  • HTTP Req Rcv LB

  • HTTP Req 引用

  • HTTP 请求 URL

  • HTTP Req XForwarded For

  • HTTP Res Forw FB

  • HTTP Res Forw LB

  • HTTP 资产位置

  • HTTP Res Rcv FB

  • HTTP Res Rcv LB

  • HTTP Res Set Cookie

  • HTTP Rsp Len

  • HTTP Rsp 状态

  • HTTP 事务结束时间

  • HTTP 事务 ID

  • IC Cont Gp 名称

  • IC 标志

  • IC 没有商店标志

  • IC 策略名称

  • 入口接口客户端

  • NetScaler Gateway Service 应用程序 ID

  • NetScaler Gateway Service 应用程序名称

  • NetScaler Gateway Service 应用程序类型

  • NetScaler 分区 ID

  • 观察域 ID

  • 观察点 ID

  • 起源资源状态

  • 原产地 Rsp Len

  • 协议标识符

  • 速率限制标识符名称

  • 记录类型

  • 响应程序操作类型

  • 响应媒体类型

  • Srv Flow 标志 Rx

  • Srv Flow 标志 Tx

  • srvr 快速 Rex 计数

  • 服务器 TCP 抖动

  • 服务器 TCP 数据包已重新传输

  • 服务器 TCP 恢复计数

  • 服务器 TCP 零窗口计数

  • SSL 密码值 BE

  • SSL 密码值 FE

  • SSL 客户端证书大小 BE

  • SSL 客户端证书大小 FE

  • SSL 客户端证书签名哈希 BE

  • SSL Cnt 证书签名哈希 FE

  • SSL Err 应用程序名称

  • SSL 错误标志

  • SSL 标志 BE

  • SSL 标志 FE

  • SSL 握手错误消息

  • SSL 服务器证书大小 BE

  • SSL 服务器证书大小 FE

  • SSL 会话 ID BE

  • SSL 会话 ID FE

  • SSL Sig 哈希算法 BE

  • SSL Sig 哈希算法 FE

  • SSL 服务器证书签名哈希 BE

  • SSL 服务器证书签名哈希 FE

  • SSL iDomain 类别

  • SSL iDomain 类别组

  • SSL iDomain 名称

  • SSL iDomain 声誉

  • SSL iExecuted 操作

  • SSL iPolicy 操作

  • SSL iReason 采取行动

  • SSL iURL 集已匹配

  • SSL iURL 设置为私有

  • 订户标识符

  • Svr Tcp 标志 Rx

  • Svr Tcp 标志 Tx

  • 租户姓名

  • 跟踪请求父跨度 ID

  • 跟踪请求跨度 ID

  • 跟踪跟踪 ID

  • Trans Ct Dst IPv4 地址

  • 事务客户端目标 IPv6 地址

  • 事务客户端目标端口

  • Trans Ct Flow 最终使用 Rx

  • Trans Clt Flow End Usec Tx

  • Trans Ct Flow 开始使用 Rx

  • Trans Clt Flow Start Usec Tx

  • Trans Clr IPv4 地址

  • Trans Clr IPv6 地址

  • Trans Ct 数据包 Tt Cnt Rx

  • Trans Clt Packet Tot Cnt Tx

  • 事务客户端 RTT

  • Trans Clr Ssc 端口

  • Trans Ct Tt Rx Oct Cnt

  • Trans Ct Tt Tx Oct Cnt

  • Trans Info

  • Trans Srv Dst 端口

  • Trans srv 数据包 Tt Cnt Rx

  • Trans Srv 数据包 Tt Cnt Tx

  • Trans Srv Src 端口

  • Trans Svr Flow End Usec Rx

  • Trans Svr Flow End Usec Tx

  • Trans Svr Flow Start Usec Rx

  • Trans Svr Flow Start Usec Tx

  • 事务服务器 RTT

  • Trans Svr Tot Rx Oct Cnt

  • Trans Svr Tot Tx Oct Cnt

  • 事务 ID

  • URL 类别

  • URL 类别组

  • URL 类别声誉

  • URL 类别操作原因

  • URL 集已匹配

  • URL 设置为私人

  • URL 对象 ID

  • VLAN 编号

Citrix Virtual Apps and Desktops 和 Citrix DaaS 日志

Citrix Virtual Apps and Desktops 和 Citrix DaaS 日志包含以下数据点:

  • 应用程序名称

  • 浏览器

  • 客户 ID

  • 详细信息:格式大小、格式类型、启动器、结果

  • 设备 ID

  • 设备类型

  • 反馈

  • 反馈 ID

  • 文件名

  • 文件路径

  • 文件大小

  • 就像

  • 越狱

  • 作业详细信息:文件名、格式、大小

  • 位置:估计、纬度、经度

    注意

    位置信息是在城市和国家/地区级别提供的,并不代表精确的地理位置。

  • 长 CMD 线

  • 模块文件路径

  • 操作

  • 操作系统

  • 平台额外信息

  • 打印机名称

  • 问题

  • 问题 ID

  • SaaS 应用程序名称

  • 会话域

  • 会话服务器名称

  • 会话用户名

  • 会话 GUID

  • 时间戳

  • 时区:Bias、DST、名称

  • 打印的总份数

  • 打印的总页数

  • 类型

  • URL

  • 用户代理

Citrix ADC 日志

Citrix ADC 日志包含以下数据点:

  • 集装箱

  • 文件

  • 格式

  • 类型

Citrix DaaS Standard for Azure 日志

适用于 Azure 的 Citrix DaaS 标准日志包含以下数据点:

  • 应用程序名称

  • 浏览器

  • 详细信息:格式大小、格式类型、启动器、结果

  • 设备 ID

  • 设备类型

  • 文件名

  • 文件路径

  • 文件大小

  • 越狱

  • 作业详细信息:文件名、格式、大小

  • 位置:估计、纬度、经度

    注意

    位置信息是在城市和国家/地区级别提供的,并不代表精确的地理位置。

  • 长 CMD 线

  • 模块文件路径

  • 操作

  • 操作系统

  • 平台额外信息

  • 打印机名称

  • SaaS 应用程序名称

  • 会话域

  • 会话服务器名称

  • 会话用户名

  • 会话 GUID

  • 时间戳

  • 时区:Bias、DST、名称

  • 类型

  • URL

  • 用户代理

Citrix 身份提供程序日志

  • 用户登录:

    • Authentication Domains: Name, Product, IdP Type, IdP Display Name

      • IdP Properties: App, Auth Type, Customer Id, Client Id, Directory, Issuer, Logo, Resources, TID

      • 扩展程序:

        • Workspace: Background Color, Header Logo, Logon Logo, Link Color, Text Color, StoreFront Domains

        • ShareFile: Customer Id, Customer Geo

        • Long Lived Token: Enabled, Expiry Type, Absolute Expiry Seconds, Sliding Expiry Seconds

    • Authentication Result: User Name, Error Message

    • Sign-in Message: Client Id, Client Name

    • User Claim: AMR, Access Token Hash, Aud, Auth Time, CIP Cred, Auth Alias, Auth Domains, Groups, Product, System Aliases, Email, Email Verified, Exp, Family Name, Given Name, IAT, IdP, ISS, Locale, Name, NBF, SID, Sub

      • Auth Alias Claims: Name, Value

      • Directory Context: Domain, Forrest, Identity Provider, Tenant Id

      • User: Customers, Email, OID, SID, UPN

      • IdP Extra Fields: Azure AD OID, Azure AD TID

  • User Logoff: Client Id, Client Name, Nonce, Sub

  • Client Update: Action, Client Id, Client Name

Citrix Gateway 日志

  • 交易事件:

    • ICA App: Record Type, Actual Template Code, Observation Domain Id, Observation Point Id, Exporting Process Id, ICA Session Guid, MSI Client Cookie, Flow Id Rx, ICA Flags, Connection Id, Padding Octets Two, ICA Device Serial Number, IP Version 4, Protocol Identifier, Source IPv4 Address Rx, Destination IPv4 Address Rx, Source Transport Port Rx, Destination Transport Port Rx, ICA Application Start up Duration, ICA Launch Mechanism, ICA Application Start up Time, ICA Process ID Launch, ICA Application Name, ICA App Module Path, ICA Application Termination Type, ICA Application Termination Time, Application Name App Id, ICA App Process ID Terminate, ICA App

    • ICA Event: Record Type, Actual Template Code, Source IPv4 Address Rx, Destination IPv4 Address Rx, ICA Session Guid, MSI Client Cookie, Connection Chain ID, ICA Client Version, ICA Client Host Name, ICA User Name, ICA Domain Name, Logon Ticket Setup, Server Name, Server Version, Flow Id Rx, ICA Flags, Observation Point Id, Exporting Process Id, Observation Domain Id, Connection Id, ICA Device Serial Number, ICA Session Setup Time, ICA Client IP, NS ICA Session Status Setup, Source Transport Port Rx, Destination Transport Port Rx, ICA Client Launcher, ICA Client Type, ICA Connection Priority Setup, NS ICA Session Server Port, NS ICA Session Server IP Address, IPv4, Protocol Identifier,Connection Chain Hop Count, Access Type

    • ICA Update: Record Type, Actual Template Code, Observation Domain Id, Observation Point Id, Exporting Process Id, ICA Session Guid, MSI Client Cookie, Flow Id Rx,ICA Flags, Connection Id, ICA Device Serial Number, IPv4, Protocol Identifier, Padding Octets Two, ICA RTT, Client Side RX Bytes, Client Side Packets Retransmit, Server Side Packets Retransmit, Client Side RTT, Client Side Jitter, Server Side Jitter, ICA Network Update Start Time, ICA Network Update End Time, Client Side SRTT, Server Side SRTT,Client Side Delay, Server Side Delay, Host Delay, Client Side Zero Window Count, Server Side Zero Window Count, Client Side RTO Count, Server Side RTO Count, L7 Client Latency, L7 Server Latency, App Name App Id, Tenant Name, ICA Session Update Begin Sec, ICA Session Update End Sec, ICA Channel Id 1, ICA Channel Id 2, ICA Channel Id 2 Bytes, ICA Channel Id 3, ICA Channel Id 3 Bytes, ICA Channel Id 4, ICA Channel Id 4 Bytes, ICA Channel Id 5, ICA Channel Id 5 Bytes

    • AppFlow Config: Record Type, Actual Template Code, Observation Domain Id, Observation Point Id, Exporting Process Id, System Rule Flag 1, System Safety Index, AppFlow Profile Relaxed Flags, AppFlow Profile Block Flags, AppFlow Profile Log Flags, AppFlow Profile Learn Flags, AppFlow Profile Stats Flags, AppFlow Profile None Flags, AppFlow App Name Id, AppFlow Profile Sign Disabled, AppFlow Profile Sign Block Count, AppFlow Profile Sign Log Count, AppFlow Profile Sign Stat Count, AppFlow Incarnation Number,AppFlow Sequence Number, AppFlow Profile Sign Auto Update, AppFlow Safety Index, AppFlow App Safety Index, AppFlow Profile Sec Checks Safety Index, AppFlow Profile Type, Iprep App Safety Index, AppFlow Profile Name, AppFlow Sig Name, AppFlow App Name Ls, AppFlow Sig Rule ID1, AppFlow Sig Rule ID2, AppFlow Sig Rule ID3, AppFlow Sig Rule ID4, AppFlow Sig Rule ID5, AppFlow Sig Rule Enabled Flags, AppFlow Sig Rule Block Flags, AppFlow Sig Rule Log Flags, AppFlow Sig Rule File Name, AppFlow Sig Rule Category1, AppFlow Sig Rule Logstring1, AppFlow Sig Rule Category2, AppFlow Sig Rule Logstring2, AppFlow Sig Rule Category3, AppFlow Sig Rule Category4, AppFlow Sig Rule Logstring4, AppFlow Sig Rule Category5, AppFlow Sig Rule LogString5

    • AppFlow: Actual Template Code, Observation Domain Id, Observation Point Id, Exporting Process Id, Transaction Id, Appfw Violation Occurred Time, App Name App Id, Appfw Violation Severity, Appfw Violation Type, Appfw Violation Location, Appfw Violation Threat Index, Appfw NS Longitude, Appfw NS Latitude, Source IPv4 Address Rx, Appfw Http Method, Appfw App Threat Index, Appfw Block Flags, Appfw Transform Flags, Appfw Violation Profile Name, Appfw Session Id, Appfw Req Url, Appfw Geo Location, Appfw Violation Type Name 1, Appfw Violation Name Value 1, Appfw Sig Category 1, Appfw Violation Type Name 2, Appfw Violation Name Value 2, Appfw Sig Category 2, Appfw Violation Type Name 3, Appfw Violation Name Value 3, Appfw Sig Category3, Appfw Req X Forwarded For, Appfw App Name Ls,App Name Ls, Iprep Category, Iprep Attack Time, Iprep Reputation Score, Iprep NS Longitude, Iprep NS Latitude, Iprep Severity, Iprep HTTP Method, Iprep App Threat Index, Iprep Geo Location, Tcp Syn Attack Cntr, Tcp Slow Ris Cntr, Tcp Zero Window Cntr, Appfw Log Expr Name, Appfw Log Expr Value, Appfw Log Expr Comment

    • VPN: Actual Template Code, Observation Domain Id, Access Insight Flags, Observation Point Id, Exporting Process Id, Access Insight Status Code, Access Insight Timestamp, Authentication Duration, Device Type, Device ID, Device Location, App Name App Id, App Name App Id1, Source Transport Port Rx, Destination Transport Port Rx, Authentication Stage, Authentication Type, VPN Session ID, EPA Id, AAA User Name, Policy Name, Auth Agent Name, Group Name, Virtual Server FQDN, cSec Expression, Source IPv4 Address Rx, Destination IPv4 Address Rx, Cur Factor Policy Label, Next Factor Policy Label, App Name Ls, App Name 1 Ls,AAA User Email Id, Gateway IP, Gateway Port, Application Byte Count, VPN Session State, VPN Session Mode, SSO Auth Method, IIP Address, VPN Request URL, SSO Request URL, Backend Server Name, VPN Session Logout Mode, Logon Ticket File Info, STA Ticket, Session Sharing Key, Resource Name, SNIP Address, Temp VPN Session ID

    • HTTP: Actual Template Code, Http Req Method, Http Req Url, Http Req User Agent, Http Content Type, Http Req Host, Http Req Authorization, Http Req Cookie, Http Req Referer, Http Res Set Cookie, Ic Cont Grp Name, Ic Flags, Ic Nostore Flags, Ic Policy Name, Response Media Type, Ingress Interface Client, Origin Res Status, Origin Rsp Len, Srv Flow Flags Rx, Srv Flow Flags Tx, Flow Flags Rx, Flow Flags Tx, App Name, Observation Point Id, Exporting Process Id, Observation Domain Id, Http Trans End Time, Transaction Id, Http Rsp Status, Trans Clt Ipv4 Address, Trans Clt Dst Ipv4 Address, Backend Svr Dst Ipv4 Address, Backend Svr Ipv4 Address, Http Rsp Len, Trans Svr RTT, Trans Clt RTT, Http Req Rcv FB, Http Req Rcv LB, Http Res Rcv FB, Http Res Rcv LB, Http Req Forw FB, Http Req Forw LB, Http Res Forw FB, Http Res Forw LB, Http Req X Forwarded For, Http Domain Name, Http Res Location, Protocol Identifier, Egress Interface, Backend Svr Ipv6 Address, SSL Flags BE, SSL Flags FE, SSL Session IDFE, SSL Session IDBE, SSL Cipher Value FE, SSL Cipher Value BE, SSL Sig Hash Alg BE, SSL Sig Hash Alg FE, SSL Srvr Cert Sig Hash BE, SSL Srvr Cert Sig Hash FE, SSL Clnt Cert Sig Hash FE, SSL Clnt Cert Sig Hash BE, SSL Server Cert Size FE, SSL Server Cert Size BE, SSL Client Cert Size FE, SSL Client Cert Size BE, SSL Err App Name, SSL Err Flag, SSL Handshake Error Msg, Client IP, Virtual Server IP, Connection Chain Id, Connection Chain Hop Count, Trans Clt Tot Rx Oct Cnt, Trans Clt TotTx Oct Cnt, Trans Clt Src Port, Trans Clt Dst Port, Trans Srv Src Port, Trans Srv Dst Port, VLAN Number, Client Mss, Trans Info, Trans Clt Flow End Usec Rx, Trans Clt Flow End Usec Tx, Trans Clt Flow Start Usec Rx, Trans Clt Flow Start Usec Tx, Trans Svr Flow End Usec Rx, Trans Svr Flow End Usec Tx, Trans Svr Flow Start Usec Rx, Trans Svr Flow Start Usec Tx, Trans Svr Tot Rx Oct Cnt, Trans Svr Tot Tx Oct Cnt, Clt Flow Flags Tx, Clt Flow Flags Rx, Trans Clt Ipv6 Address, Trans Clt Dst Ipv6 Address, Subscriber Identifier, SSLi Domain Name, SSLi Domain Category, SSLi Domain Category Group, SSLi Domain Reputation, SSLi Policy Action, SSLi Executed Action, SSLi Reason For Action, SSLi URL Set Matched, SSLi URL Set Private, URL Category, URL Category Group, URL Category Reputation, Responder Action Type, URL Set Matched, URL Set Private, Category Domain Name, Category Domain Source, AAA User Name, VPN Session ID, Tenant Name

  • 指标事件:

    • VServer LB: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, CPU, GSLB Server, GSLB VServer, Interface, Memory Pool, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer LB: RATE Si Tot Request Bytes, RATE Si Tot Requests, RATE Si Tot Response Bytes, RATE Si Tot Responses, RATE Si Tot Clt Ttlb Transactions, RATE Si Tot Clt Ttlb Pkt Rcvd, RATE Si Tot Clt Ttlb Pkt Sent, RATE Vsvr Tot Hits, Si Cur Clients, Si Cur Conn Established, Si Cur Servers, Si Cur State, Si Tot Request Bytes, Si Tot Responses, Si Tot Clt Ttlb, Si Tot Clt Ttlb Transactions, Si Tot Pkt Rcvd, Si Tot Pkt Sent, Si Tot Ttlb Frustrating Transactions, Si Tot Ttlb Tolerating Transactions, Vsvr Active Svcs, Vsvr Tot Hits, Vsvr tot Req Resp Invalid, Vsvr Tot Req Resp Invalid Dropped

    • CPU: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, Cc CPU Use GSLB Server, GSLB Vserver, Interface, Memory Pool, NetScaler, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User

    • Server Service Group: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, Cc CPU Use, GSLB Server, GSLB Vserver, Interface, Memory Pool, NetScaler, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User, Server Service Group: RATE Si Tot Request Bytes, RATE Si Tot Requests, RATE Si Tot_Response Bytes, RATE Si Tot Responses, RATE Si Tot Clt Ttlb, RATE Si Tot Clt Ttlb Transactions, RATE Si Tot Svr Ttfb, RATE Si Tot Svr Ttfb Transactions, RATE Si Tot Svr Ttlb, RATE Si Tot Svr Ttlb Transactions, RATE Si Tot Ttlb Frustrating Transactions, RATE Si Tot Ttlb Tolerating Transactions, Si Cur State, Si Tot Request Bytes, Si Tot Requests, Si Tot Response Bytes, Si Tot Responses, Si Tot Clt Ttlb, Si Tot Clt Ttlb Transactions, Si Tot Svr Ttfb, Si Tot Svr Ttfb Transactions,Si Tot Svr Tlb, Si Tot Svr Ttlb Transactions, Si Tot Ttlb Frustrating Transactions, Si Tot Ttlb Tolerating Transactions

    • Server SVC CFG: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, CPU Use, GSLB Server, GSLB Vserver, Interface, Memory Pool, NetScaler, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User, Server Svc Cfg: RATE Si Tot Request Bytes, RATE Si Tot Requests, RATE Si Tot Response Bytes, RATE Si Tot Responses, Si Tot Clt Ttlb, RATE Si Tot Clt Ttlb Transactions, RATE Si Tot Pkt Rcvd, RATE Si Tot Pkt Sent, RATE Si Tot Svr Busy Err, RATE Si Tot Svr Ttfb, RATE Si Tot Svr Ttfb Transactions, RATE Si Tot Svr Ttlb, RATE Si Tot Svr Ttlb Transactions, RATE Si Tot Ttlb Frustrating Transactions, RATE Si Tot Ttlb Tolerating Transactions, Si Cur State, Si Cur Transport, Si Tot Request Bytes, Si Tot Requests, Si Tot Response Bytes, Si Tot Responses, Si Tot Clt Ttlb, Si Tot Clt Ttlb Transactions, Si Tot Pkt Rcvd, Si Tot Pkt Sent, Si Tot Svr Busy Err, Si Tot Svr Ttfb, Si Tot Svr Ttfb Transactions, Si Tot Svr Ttlb, Si Tot Svr Ttlb Transactions, Si Tot Ttlb Frustrating Transactions, Si Tot Ttlb Tolerating Transactions

    • NetScaler: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, GSLB Server, GSLB VServer, Interface, Memory Pool, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User, NetScaler: RATE All Nic Tot Rx Mbits, RATE All Nic Tot Rx Mbits, RATE Dns Tot Queries, RATE Dns Tot Neg Nxdmn Entries,RATE Http Tot Gets, RATE Http Tot Others, RATE Http Tot Posts, RATE Http Tot Requests, RATE Http Tot Requests 1.0, RATE Http Tot Requests 1.1, RATE Http Tot Responses, RATE Http Tot Rx Request Bytes, RATE Http Tot Rx Response Bytes, RATE Ip Tot Rx Mbits, RATE Ip Tot Rx Bytes, RATE Ip Tot Rx Pkts, RATE Ip Tot Tx Mbits, RATE Ip Tot Tx Bytes, RATE Ip Tot Tx Pkts, RATE SSL Tot Dec Bytes, RATE SSL Tot Enc Bytes,RATE SSL Tot SSL Info Session Hits, RATE SSL Tot SSL Info Total Tx Count, RATE Tcp Err Rst, RATE Tcp Tot Client Open, RATE Tcp Tot Server Open, RATE Tcp Tot Rx Bytes, RATE Tcp Tot Rx Pkts, RATE Tcp Tot Syn, RATE Tcp Tot Tx Bytes, RATE Tcp Tot Tx Pkts, RATE Udp Tot Rx Bytes, RATE Udp Tot Rx Pkts, RATE Udp Tot Tx Bytes, RATE Udp Tot Tx Pkts, All Nic Tot Rx Mbits, All Nic Tot Tx Mbits, Cpu Use, Dns Tot Queries, Dns Tot Neg Nxdmn Entries, Http Tot Gets, Http Tot Others, Http Tot Posts, Http Tot Requests, Http Tot Requests1.0, Http Tot Requests1.1, Http Tot Responses, Http Tot Rx Request Bytes, Http Tot Rx Response Bytes, Ip Tot Rx Mbits, Ip Tot Rx Bytes, Ip Tot Rx Pkts, Ip Tot Tx Mbits, Ip Tot Tx Bytes, Ip Tot Tx Pkts, Mem Cur Free size, Mem Cur Free size Actual, Mem Cur Used size, Mem Tot Available, Mgmt Additional Cpu Use, Mgmt Cpu 0 Use, Mgmt Cpu Use, SSL Tot Dec Bytes, SSL Tot Enc Bytes, SSL Tot SSL Info Session Hits, SSL Tot SSL Info Total Tx Count, Sys Cpus, Tcp Cur Client Conn, Tcp Cur Client Conn Closing, Tcp Cur Client Conn Est, Tcp Cur Server Conn, Tcp Cur Server Conn Closing, Tcp Cur Server Conn Est, Tcp Err Rst, Tcp Tot Client Open, Tcp Tot Server Open, Tcp Tot Rx Bytes, Tcp Tot Rx Pkts, Tcp Tot Syn, Tcp Tot Tx Bytes, Tcp Tot Tx Pkts, Udp Tot Rx Bytes, Udp Tot Rx Pkts, Udp Tot Tx Bytes, Udp Tot Tx Pkts

    • Memory Pool: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Schema Type, Time, CPU, Gslb Server, Gslb VServer, Interface, NetScaler, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User, Memory Pool: Mem Cur Alloc Size, Mem Err Alloc Failed, Mem Tot Available

    • Monitoring Service Binding: Bind Entity Name, Entity Name, NetScalerId, SchemaType, Time, CPU, Gslb Server, Gslb VServer, Interface, Memory Pool, NetScaler, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, Vserver Lb, VServer SSL, VServer User, Mon Service Binding: RATE Mon Tot Probes, Mon Tot Probes

    • Interface: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Schema Type, Time, CPU, Gslb Server, Gslb VServer, Memory Pool, NetScaler, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, Vserver Lb, VServer SSL, VServer User, Interface: RATE NIC Tot Rx Bytes, RATE NIC Tot Rx Packets, RATE NIC Tot Tx Bytes, RATE NIC Tot Tx Packets, NIC Tot Rx Bytes, NIC Tot Rx Packets, NIC Tot Tx Bytes, NIC Tot Tx Packets

    • VServer CS: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Schema Type, Time, CPU, Gslb Server, Gslb VServer, Memory Pool, NetScaler, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, Vserver Lb, VServer SSL, VServer User, VServer Cs: RATE Si Tot Request Bytes, RATE Si Tot Requests, RATE Si Tot Response Bytes, RATE Si Tot Responses, RATE Si Tot Clt Ttlb,RATE Si Tot Clt Ttlb Transactions, RATE Si Tot Pkt Rcvd, RATE Si Tot Pkt Sent, RATE Si Tot Ttlb Frustrating Transactions, RATE Si Tot Ttlb Tolerating Transactions, RATE Vsvr Tot Hits, Si Cur State, Si Tot Request Bytes, Si Tot Requests, Si Tot Response Bytes, Si Tot Responses, Si Tot Clt Ttlb, Si Tot Clt Ttlb Transactions, Si Tot Pkt Rvd, Si Tot Pkt Sent, Si Tot Ttlb Frustrating Transactions, Si Tot Tlb Tolerating Transactions, Vsvr Tot Hits, Vsvr Tot Req Resp Invalid, Vsvr Tot Req Resp Invalid Dropped

安全浏览器日志

  • 申请帖子:

    • Logs before the published application: Authentication, Browser, Change Id, Created, Customer Name, Destination URL, E-Tag, Gateway Service Product Id, Session Id, Legacy Icon, Application Name, Policies, Published Application Id, Region, Resource Zone, Resource Zone Id, Subscription, Session Idle Timeout, Session Idle Timeout Warning, Watermark, Whitelist External, Whitelist Internal, Whitelist Redirect

    • Logs after the published application: Authentication, Browser, Change Id, Created, Customer Name, Destination, E-Tag, Gateway Service Product Id, Session Id, Legacy Icon, Application Name, Policies, Published Application Id, Region, Resource Zone, Resource Zone Id, Subscription, Session Idle Timeout, Session Idle Timeout Warning, Watermark, Whitelist External URL, Whitelist Internal URL, Whitelist Redirect URL

  • 应用程序删除:

    • Logs before the published application: Authentication, Browser, Change Id, Created, Customer Name, Destination URL, E-Tag, Gateway Service Product Id, Session Id, Legacy Icon, Application Name, Policies, Published Application Id, Region, Resource Zone, Resource Zone Id, Subscription, Session Idle Timeout, Session Idle Timeout Warning, Watermark, Whitelist External, Whitelist Internal, Whitelist Redirect

    • Logs after the published application: Authentication, Browser, Change Id, Created, Customer Name, Destination, E-Tag, Gateway Service Product Id, Session Id, Legacy Icon, Application Name, Policies, Published Application Id, Region, Resource Zone, Resource Zone Id, Subscription, Session Idle Timeout, Session Idle Timeout Warning, Watermark, Whitelist External URL, Whitelist Internal URL, Whitelist Redirect URL

  • 应用程序更新:

    • Logs before the published application: Authentication, Browser, Change Id, Created, Customer Name, Destination URL, E-Tag, Gateway Service Product Id, Session Id, Legacy Icon, Application Name, Policies, Published Application Id, Region, Resource Zone, Resource Zone Id, Subscription, Session Idle Timeout, Session Idle Timeout Warning, Watermark, Whitelist External, Whitelist Internal, Whitelist Redirect

    • Logs after the published application: Authentication, Browser, Change Id, Created, Customer Name, Destination, E-Tag, Gateway Service Product Id, Session Id, Legacy Icon, Application Name, Policies, Published Application Id, Region, Resource Zone, Resource Zone Id, Subscription, Session Idle Timeout, Session Idle Timeout Warning, Watermark, Whitelist External URL, Whitelist Internal URL, Whitelist Redirect URL

  • 权利创建:

    • Logs before the entitlement creation: Approved, Customer Id, Data Retention Days, End Date, Grace Period Days, Session Id, Product SKU, Quantity, Serial Numbers, Start Date, State, Type

    • Logs after the entitlement creation: Approved, Customer Id, Data Retention Days, End Date, Grace Period Days, Session Id, Product SKU, Quantity, Serial Numbers, Start Date, State, Type

  • 权利更新:

    • Logs before the entitlement update: Approved, Customer Id, Data Retention Days, End Date, Grace Period Days, Session Id, Product SKU, Quantity, Serial Numbers, Start Date, State, Type

    • Logs after the entitlement update: Approved, Customer Id, Data Retention Days, End Date, Grace Period Days, Session Id, Product SKU, Quantity, Serial Numbers, Start Date, State, Type

  • Session Access Host: Accept Host, Client IP, Date Time, Host, Session, User Name

  • 会话连接:

    • Logs before the session connection: Application Id, Application Name, Browser, Created, Customer Id, Duration, Session Id, IP Address, Last Updated, Launch Source, User Name

    • Logs after the session connection: Application Id, Application Name, Browser, Created, Customer Id, Duration, Session Id, IP Address, Last Updated, Launch Source, User Name

  • 会话启动:

    • Logs before the session launch: Application Id, Application Name, Browser, Created, Customer Id, Duration, Session Id, IP Address, Last Updated, Launch Source, User Name

    • Logs after the session launch: Application Id, Application Name, Browser, Created, Customer Id, Duration, Session Id, IP Address, Last Updated, Launch Source, User Name

  • 会话勾号:

    • Logs before the session tick: Application Id, Application Name, Browser, Created, Customer Id, Duration, Session Id, IP Address, Last Updated, Launch Source, User Name

    • Logs after the session tick: Application Id, Application Name, Browser, Created, Customer Id, Duration, Session Id, IP Address, Last Updated, Launch Source, User Name

Microsoft Graph 安全性日志

  • 租户 ID

  • 用户 ID

  • 指标 ID

  • 指标 UUID

  • 事件时间

  • 创建时间

  • 警报类别

  • 登录位置

  • 登录 IP

  • 登录类型

  • 用户帐户类型

  • 供应商信息

  • 厂商提供商信息

  • 漏洞状态

  • 漏洞严重性

Microsoft Active Directory 日志

  • 租户 ID

  • 收集时间

  • 类型

  • 目录上下文

  • 身份

  • 用户类型

  • 帐户名称

  • 密码计数错误

  • 城市

  • 普通名

  • 公司

  • 国家/地区

  • 密码到期前的天数

  • 部门

  • 说明

  • 显示名称

  • 唯一判别名

  • 电子邮件

  • 传真号码

  • 名字

  • 组类别

  • 组范围

  • 家庭电话

  • 首字母缩写

  • IP 电话

  • 帐户是否已启用

  • 帐户被锁定了

  • 是安全组

  • 姓氏

  • 经理

  • 的成员

  • 移动电话

  • 寻呼机

  • 密码永不过期

  • 实物配送办公室名称

  • 邮局信箱

  • 邮政编码

  • 主要组 ID

  • 状态

  • 街道地址

  • 标题

  • 用户帐户控制

  • 用户组列表

  • 用户主体名称

  • 工作电话

Citrix Analytics for Performance 日志

  • actionid

  • actionreason

  • actiontype

  • adminfolder

  • agentversion

  • allocationtype

  • applicationid

  • applicationname

  • applicationpath

  • applicationtype

  • applicationversion

  • associateduserfullnames

  • associatedusername

  • associatedusernames

  • associateduserupns

  • authenticationduration

  • autoreconnectcount

  • autoreconnecttype

  • AvgEndpointThroughputBytesReceived

  • AvgEndpointThroughputBytesSent

  • blobcontainer

  • blobendpoint

  • blobpath

  • brokerapplicationchanged

  • brokerapplicationcreated

  • brokerapplicationdeleted

  • brokeringdate

  • brokeringduration

  • brokerloadindex

  • brokerregistrationstarted

  • browsername

  • catalogchangeevent

  • catalogcreatedevent

  • catalogdeletedevent

  • catalogid

  • catalogname

  • catalogsync

  • clientaddress

  • clientname

  • clientplatform

  • clientsessionvalidatedate

  • clientversion

  • collecteddate

  • connectedviahostname

  • connectedviaipaddress

  • connectionid

  • connectioninfo

  • connectionstate

  • connectiontype

  • controllerdnsname

  • cpu

  • cpuindex

  • createddate

  • currentloadindexid

  • currentpowerstate

  • currentregistrationstate

  • currentsessioncount

  • datetime

  • deliverygroupadded

  • deliverygroupchanged

  • deliverygroupdeleted

  • deliverygroupid

  • deliverygroupmaintenancemodechanged

  • deliverygroupname

  • deliverygroupsync

  • deliverytype

  • deregistrationreason

  • desktopgroupdeletedevent

  • desktopgroupid

  • desktopgroupname

  • desktopkind

  • disconnectcode

  • disconnectreason

  • disk

  • diskindex

  • dnsname

  • domainname

  • effectiveloadindex

  • enddate

  • errormessage

  • establishmentdate

  • eventreporteddate

  • eventtime

  • exitcode

  • failurecategory

  • failurecode

  • failuredata

  • failuredate

  • failurereason

  • failuretype

  • faultstate

  • functionallevel

  • gpoenddate

  • gpostartdate

  • hdxenddate

  • hdxstartdate

  • host

  • hostedmachineid

  • hostedmachinename

  • hostingservername

  • hypervisorconnectionchangedevent

  • hypervisorconnectioncreatedevent

  • hypervisorid

  • hypervisorname

  • hypervisorsync

  • icartt

  • icarttms

  • id

  • idletime

  • inputbandwidthavailable

  • inputbandwidthused

  • instancecount

  • interactiveenddate

  • interactivestartdate

  • ipaddress

  • isassigned

  • isinmaintenancemode

  • ismachinephysical

  • ispendingupdate

  • ispreparing

  • isremotepc

  • issecureica

  • lastderegisteredcode

  • launchedviahostname

  • launchedviaipaddress

  • lifecyclestate

  • LinkSpeed

  • logonduration

  • logonenddate

  • logonscriptsenddate

  • logonscriptsstartdate

  • logonstartdate

  • long

  • machineaddedtodesktopgroupevent

  • machineassignedchanged

  • machinecatalogchangedevent

  • machinecreatedevent

  • machinedeletedevent

  • machinederegistrationevent

  • machinednsname

  • machinefaultstatechangeevent

  • machinehardregistrationevent

  • machineid

  • machinemaintenancemodechangeevent

  • machinename

  • machinepvdstatechanged

  • machineregistrationendedevent

  • machineremovedfromdesktopgroupevent

  • machinerole

  • machinesid

  • machineupdatedevent

  • machinewindowsconnectionsettingchanged

  • memory

  • memoryindex

  • modifieddate

  • NGSConnector.ICAConnection.Start

  • NGSConnector.NGSSyntheticMetrics

  • NGSConnector.NGSPassiveMetrics

  • NGSConnector.NGSSystemMetrics

  • network

  • networkindex

  • networklatency

  • networkinfoperiodic

  • NetworkInterfaceType

  • ostype

  • outputbandwidthavailable

  • outputbandwidthused

  • path

  • percentcpu

  • persistentuserchanges

  • powerstate

  • processname

  • profileloadenddate

  • profileloadstartdate

  • protocol

  • provisioningschemeid

  • provisioningtype

  • publishedname

  • registrationstate

  • serversessionvalidatedate

  • sessioncount

  • sessionend

  • sessionfailure

  • sessionid

  • sessionidlesince

  • sessionindex

  • sessionkey

  • sessionstart

  • sessionstate

  • sessionsupport

  • sessiontermination

  • sessiontype

  • sid

  • SignalStrength

  • siteid

  • sitename

  • startdate

  • totalmemory

  • triggerinterval

  • triggerlevel

  • triggerperiod

  • triggervalue

  • usedmemory

  • userid

  • userinputdelay

  • username

  • usersid

  • vdalogonduration

  • vdaprocessdata

  • vdaresourcedata

  • version

  • vmstartenddate

  • vmstartstartdate

  • windowsconnectionsetting

  • xd.SessionStart

数据治理