数据治理

本节提供有关 Citrix Analytics 服务日志的收集、存储和保留的信息。未在定义部分中定义的任何大写术语均具有 Citrix 最终用户服务协议中指定的含义。

Citrix Analytics 旨在为客户提供对其 Citrix 计算环境中活动的深入了解。Citrix Analytics 使安全管理员能够选择他们想要监视的日志，并根据记录的活动采取有针对性的操作。这些见解有助于安全管理员管理对其计算环境的访问，并保护客户计算环境中的客户内容。

数据驻留

Citrix Analytics 日志与数据源分开维护，并聚合到多个 Microsoft Azure 云环境中，这些环境位于美国、欧盟和亚太南部地区。日志的存储取决于 Citrix Cloud™ 管理员在将其组织加入 Citrix Cloud 时选择的“主区域”。例如，如果您在将组织加入 Citrix Cloud 时选择欧洲区域，则 Citrix Analytics 日志将存储在欧盟的 Microsoft Azure 环境中。

有关详细信息，请参阅Citrix Cloud Services 客户内容和日志处理和地理注意事项。

数据收集

Citrix Cloud 服务经过检测，可将日志传输到 Citrix Analytics。日志从以下数据源收集：

• Citrix ADC (on-premises) 以及 Citrix Application Delivery Management 的订阅

• Citrix Endpoint Management™

• Citrix Gateway (on-premises)

• Citrix Identity provider

• Citrix Secure Browser

• Citrix Secure Private Access

• Citrix Virtual Apps and Desktops

• Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）

• Microsoft Active Directory

• Microsoft Graph Security

数据传输

Citrix Cloud 日志安全地传输到 Citrix Analytics。当客户环境的管理员明确启用 Citrix Analytics 时，这些日志将在客户数据库上进行分析和存储。这同样适用于配置了 Citrix Workspace™ 的 Citrix Virtual Apps and Desktops 数据源。

对于 Citrix ADC 数据源，仅当管理员明确为特定数据源启用 Citrix Analytics 时，才会启动日志传输。

数据控制

发送到 Citrix Analytics 的日志可由管理员随时开启或关闭。

当 Citrix ADC 本地数据源关闭时，特定 ADC 数据源与 Citrix Analytics 之间的通信将停止。

当所有其他数据源关闭时，特定数据源的日志将不再在 Citrix Analytics 中进行分析和存储。

数据保留

Citrix Analytics 日志以可识别的形式保留最长 13 个月或 396 天。所有日志和相关的分析数据（例如用户风险配置文件、用户风险评分详细信息、用户风险事件详细信息、用户观察列表、用户操作和用户配置文件）都将在此期间保留。

例如，如果您在 2021 年 1 月 1 日在数据源上启用了 Analytics，则默认情况下，2021 年 1 月 1 日收集的数据将在 Citrix Analytics 中保留到 2022 年 1 月 31 日。同样，2021 年 1 月 15 日收集的数据将保留到 2022 年 2 月 15 日，依此类推。

即使您已关闭数据源的数据处理或已从 Citrix Analytics 中删除数据源，此数据仍将存储在默认数据保留期内。

Citrix Analytics 会在订阅或试用期到期 90 天后删除所有客户内容。

数据导出

本节介绍从 Citrix Analytics for Security 和 Citrix Analytics for Performance 导出的数据。

Citrix Analytics for Performance 从数据源收集和分析性能指标。

您可以从“自助搜索”页面将数据下载为 CSV 文件。

Citrix Analytics for Security™ 从各种产品（数据源）收集用户事件。这些事件经过处理，可提供用户风险和异常行为的可见性。您可以将这些与用户风险洞察和用户事件相关的已处理数据导出到您的系统信息和事件管理 (SIEM) 服务。

目前，可以从 Citrix Analytics for Security 以两种方式导出数据：

• 将 Citrix Analytics for Security 与您的 SIEM 服务集成

• 从“自助搜索”页面将数据下载为 CSV 文件。

当您将 Citrix Analytics for Security 与您的 SIEM 服务集成时，数据将通过北向 Kafka 主题或基于 Logstash 的数据连接器发送到您的 SIEM 服务。

目前，您可以与以下 SIEM 服务集成：

• Splunk（通过 Citrix Analytics 附加组件连接）

• 任何支持 Kafka 主题或基于 Logstash 的数据连接器（例如 Elasticsearch 和 Microsoft Azure Sentinel）的 SIEM 服务

您还可以通过使用 CSV 文件将数据导出到您的 SIEM 服务。在“自助搜索”页面中，您可以查看数据源的数据（用户事件），并将这些数据下载为 CSV 文件。有关 CSV 文件的详细信息，请参阅自助搜索。

重要

数据导出到您的 SIEM 服务后，Citrix 不对您的 SIEM 环境中导出数据的安全性、存储、管理和使用负责。

您可以开启或关闭从 Citrix Analytics for Security 到您的 SIEM 服务的数据传输。

有关已处理数据和 SIEM 集成的详细信息，请参阅安全信息和事件管理 (SIEM) 集成和适用于 SIEM 的 Citrix Analytics 数据格式。

Citrix 服务安全附录

有关应用于 Citrix Analytics 的安全控制的详细信息，包括访问和身份验证、安全程序管理、业务连续性和事件管理，都包含在 Citrix 服务安全附录中。

定义

客户内容是指上传到客户帐户进行存储的任何数据，或 Citrix 被授予访问权限以执行服务的客户环境中的数据。

日志是指与服务相关的事件记录，包括衡量性能、稳定性、使用情况、安全性和支持的记录。

服务是指为 Citrix Analytics 目的而概述的 Citrix Cloud 服务。

数据收集协议

通过将您的数据上传到 Citrix Analytics 并使用 Citrix Analytics 的功能，您同意并允许 Citrix 收集、存储、传输、维护、处理和使用有关您的 Citrix 产品和服务的技术、用户或相关信息。

Citrix 始终根据 Citrix 隐私策略处理收到的信息。

附录：收集的日志

• Citrix Analytics for Security 日志

• Citrix Analytics for Performance 日志

Citrix Analytics for Security 日志

常规日志

通常，Citrix Analytics 日志包含以下标头标识数据点：

• 标头密钥

• 设备标识

• 标识

• IP 地址

• 组织

• 产品

• 产品版本

• 系统时间

• 租户标识

• 类型

• 用户：电子邮件、ID、SAM 帐户名、域、UPN

• 版本

Citrix Endpoint Management 服务日志

Citrix Endpoint Management 服务日志包含以下数据点：

• 合规性

• 企业所有

• 设备 ID

• 设备型号

• 设备类型

• 地理纬度

• 地理经度

• 主机名

• IMEI

• IP 地址

• 越狱

• 上次活动

• 管理模式

• 操作系统

• 操作系统版本

• 平台信息

• 原因

• 序列号

• 受监督

Citrix Secure Private Access™ 日志

• AAA 用户名

• 身份验证策略操作名称

• 身份验证会话 ID

• 请求 URL

• URL 类别策略名称

• VPN 会话 ID

• 虚拟服务器 IP

• AAA 用户电子邮件 ID

• 实际模板代码

• 应用程序 FQDN

• 应用程序名称

• 应用程序名称虚拟服务器 LS

• 应用程序标志

• 身份验证类型

• 身份验证阶段

• 身份验证状态代码

• 后端服务器目标 IPv4 地址

• 后端服务器 IPv4 地址

• 后端服务器 IPv6 地址

• 类别域名

• 类别域源

• 客户端 IP

• 客户端 MSS

• 客户端快速重传计数

• 客户端 TCP 抖动

• 客户端 TCP 数据包重传

• 客户端 TCP RTO 计数

• 客户端 TCP 零窗口计数

• 客户端流标志接收

• 客户端流标志发送

• 客户端 TCP 标志接收

• 客户端 TCP 标志发送

• 连接链跳数

• 连接链 ID

• 出口接口

• 导出进程 ID

• 流标志接收

• 流标志发送

• HTTP 内容类型

• HTTP 域名

• HTTP 请求授权

• HTTP 请求 Cookie

• HTTP 请求转发 FB

• HTTP 请求转发 LB

• HTTP 请求主机

• HTTP 请求方法

• HTTP 请求接收 FB

• HTTP 请求接收 LB

• HTTP 请求引用者

• HTTP 请求 URL

• HTTP 请求 X-Forwarded-For

• HTTP 响应转发 FB

• HTTP 响应转发 LB

• HTTP 响应位置

• HTTP 响应接收 FB

• HTTP 响应接收 LB

• HTTP 响应设置 Cookie

• HTTP 响应长度

• HTTP 响应状态

• HTTP 事务结束时间

• HTTP 事务 ID

• IC 内容组名称

• IC 标志

• IC 无存储标志

• IC 策略名称

• 入口接口客户端

• NetScaler® Gateway Service 应用程序 ID

• NetScaler Gateway Service 应用程序名称

• NetScaler Gateway Service 应用程序类型

• NetScaler 分区 ID

• 观察域 ID

• 观察点 ID

• 源响应状态

• 源响应长度

• 协议标识符

• 速率限制标识符名称

• 记录类型

• 响应器操作类型

• 响应媒体类型

• 服务器流标志接收

• 服务器流标志发送

• 服务器快速重传计数

• 服务器 TCP 抖动

• 服务器 TCP 数据包重传

• 服务器 TCP RTO 计数

• 服务器 TCP 零窗口计数

• SSL 密码值 BE

• SSL 密码值 FE

• SSL 客户端证书大小 BE

• SSL 客户端证书大小 FE

• SSL 客户端证书签名哈希 BE

• SSL 客户端证书签名哈希 FE

• SSL 错误应用程序名称

• SSL 错误标志

• SSL 标志 BE

• SSL 标志 FE

• SSL 握手错误消息

• SSL 服务器证书大小 BE

• SSL 服务器证书大小 FE

• SSL 会话 ID BE

• SSL 会话 ID FE

• SSL 签名哈希算法 BE

• SSL 签名哈希算法 FE

• SSL 服务器证书签名哈希 BE

• SSL 服务器证书签名哈希 FE

• SSL iDomain 类别

• SSL iDomain 类别组

• SSL iDomain 名称

• SSL iDomain 信誉

• SSL i执行的操作

• SSL i策略操作

• SSL i操作原因

• SSL iURL 匹配集

• SSL iURL 私有集

• 订阅者标识符

• 服务器 TCP 标志接收

• 服务器 TCP 标志发送

• 租户名称

• 跟踪请求父跨度 ID

• 跟踪请求跨度 ID

• 跟踪跟踪 ID

• 传输客户端目标 IPv4 地址

• 传输客户端目标 IPv6 地址

• 传输客户端目标端口

• 传输客户端流结束微秒接收

• 传输客户端流结束微秒发送

• 传输客户端流开始微秒接收

• 传输客户端流开始微秒发送

• 传输客户端 IPv4 地址

• 传输客户端 IPv6 地址

• 传输客户端数据包总计数接收

• 传输客户端数据包总计数发送

• 传输客户端 RTT

• 传输客户端源端口

• 传输客户端总接收八位字节计数

• 传输客户端总发送八位字节计数

• 传输信息

• 传输服务器目标端口

• 传输服务器数据包总计数接收

• 传输服务器数据包总计数发送

• 传输服务器源端口

• 传输服务器流结束微秒接收

• 传输服务器流结束微秒发送

• 传输服务器流开始微秒接收

• 传输服务器流开始微秒发送

• 传输服务器 RTT

• 传输服务器总接收八位字节计数

• 传输服务器总发送八位字节计数

• 事务 ID

• URL 类别

• URL 类别组

• URL 类别信誉

• URL 类别操作原因

• URL 匹配集

• URL 私有集

• URL 对象 ID

• VLAN 号

Citrix Virtual Apps and Desktops™ 和 Citrix DaaS 日志

Citrix Virtual Apps and Desktops 和 Citrix DaaS 日志包含以下数据点：

• 应用程序名称

• 浏览器

• 客户 ID

• 详细信息：格式大小、格式类型、发起者、结果

• 设备 ID

• 设备类型

• 反馈

• 反馈 ID

• 文件名

• 文件路径

• 文件大小

• 类似

• 越狱

• 作业详细信息：文件名、格式、大小

• 位置：估计、纬度、经度

  注意

  位置信息在城市和国家/地区级别提供，不代表精确的地理位置。

• 长命令行

• 模块文件路径

• 操作

• 操作系统

• 平台额外信息

• 打印机名称

• 问题

• 问题 ID

• SaaS 应用程序名称

• 会话域

• 会话服务器名称

• 会话用户名

• 会话 GUID

• 时间戳

• 时区：偏差、夏令时、名称

• 打印总份数

• 打印总页数

• 类型

• URL

• 用户代理

Citrix ADC 日志

Citrix ADC 日志包含以下数据点：

• 容器

• 文件

• 格式

• 类型

Citrix DaaS Standard for Azure 日志

Citrix DaaS Standard for Azure 日志包含以下数据点：

• 应用程序名称

• 浏览器

• 详细信息：格式大小、格式类型、发起者、结果

• 设备 ID

• 设备类型

• 文件名

• 文件路径

• 文件大小

• 越狱

• 作业详细信息：文件名、格式、大小

• 位置：估计、纬度、经度

  注意

  位置信息在城市和国家/地区级别提供，不代表精确的地理位置。

• 长命令行

• 模块文件路径

• 操作

• 操作系统

• 平台额外信息

• 打印机名称

• SaaS 应用程序名称

• 会话域

• 会话服务器名称

• 会话用户名

• 会话 GUID

• 时间戳

• 时区：偏差、夏令时、名称

• 类型

• URL

• 用户代理

Citrix Identity provider 日志

• 用户登录：

  • 身份验证域：名称、产品、IdP 类型、IdP 显示名称

    • IdP 属性：应用程序、身份验证类型、客户 ID、客户端 ID、目录、颁发者、徽标、资源、TID

    • 扩展：

      • Workspace：背景颜色、标头徽标、登录徽标、链接颜色、文本颜色、StoreFront™ 域

      • 长效令牌：已启用、过期类型、绝对过期秒数、滑动过期秒数

  • 身份验证结果：用户名、错误消息

  • 登录消息：客户端 ID、客户端名称

  • 用户声明：AMR、访问令牌哈希、Aud、身份验证时间、CIP 凭据、身份验证别名、身份验证域、组、产品、系统别名、电子邮件、电子邮件 已验证、Exp、姓氏、名字、IAT、IdP、ISS、区域设置、名称、NBF、SID、Sub

    • 身份验证别名声明：名称、值

    • 目录上下文：域、林、身份提供程序、租户 ID

    • 用户：客户、电子邮件、OID、SID、UPN

    • IdP 额外字段：Azure AD OID、Azure AD TID

• 用户注销：客户端 ID、客户端名称、Nonce、Sub

• 客户端更新：操作、客户端 ID、客户端名称

Citrix Gateway 日志

• 事务事件：

  • ICA® 应用程序：记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 GUID、MSI 客户端 Cookie、流 ID 接收、ICA 标志、连接 ID、填充八位字节二、ICA 设备序列号、IP 版本 4、协议标识符、源 IPv4 地址接收、目标 IPv4 地址接收、源传输端口接收、目标传输端口接收、ICA 应用程序启动持续时间、ICA 启动机制、ICA 应用程序启动时间、ICA 进程 ID 启动、ICA 应用程序名称、ICA 应用程序模块路径、ICA 应用程序终止类型、ICA 应用程序终止时间、应用程序名称应用程序 ID、ICA 应用程序进程 ID 终止、ICA 应用程序

  • ICA 事件：记录类型、实际模板代码、源 IPv4 地址接收、目标 IPv4 地址接收、ICA 会话 GUID、MSI 客户端 Cookie、连接链 ID、ICA 客户端版本、ICA 客户端主机名、ICA 用户名、ICA 域名、登录票证设置、服务器名称、服务器版本、流 ID 接收、ICA 标志、观察点 ID、导出进程 ID、观察域 ID、连接 ID、ICA 设备序列号、ICA 会话设置时间、ICA 客户端 IP、NS ICA 会话状态设置、源传输端口接收、目标传输端口接收、ICA 客户端启动器、ICA 客户端类型、ICA 连接优先级设置、NS ICA 会话服务器端口、NS ICA 会话服务器 IP 地址、IPv4、协议标识符、连接链跳数、访问类型

  • ICA 更新：记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 GUID、MSI 客户端 Cookie、流 ID 接收、ICA 标志、连接 ID、ICA 设备序列号、IPv4、协议标识符、填充八位字节二、ICA RTT、客户端接收字节、客户端数据包重传、服务器端数据包重传、客户端 RTT、客户端抖动、服务器端抖动、ICA 网络更新开始时间、ICA 网络更新结束时间、客户端 SRTT、服务器端 SRTT、客户端延迟、服务器端延迟、主机延迟、客户端零窗口计数、服务器端零窗口计数、客户端 RTO 计数、服务器端 RTO 计数、L7 客户端延迟、L7 服务器延迟、应用程序名称应用程序 ID、租户名称、ICA 会话更新开始秒、ICA 会话更新结束秒、ICA 通道 ID 1、ICA 通道 ID 2、ICA 通道 ID 2 字节、ICA 通道 ID 3、ICA 通道 ID 3 字节、ICA 通道 ID 4、ICA 通道 ID 4 字节、ICA 通道 ID 5、ICA 通道 ID 5 字节

  • AppFlow® 配置：记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、系统规则标志 1、系统安全索引、AppFlow 配置文件宽松标志、AppFlow 配置文件阻止标志、AppFlow 配置文件日志标志、AppFlow 配置文件学习标志、AppFlow 配置文件统计标志、AppFlow 配置文件无标志、AppFlow 应用程序名称 ID、AppFlow 配置文件签名已禁用、AppFlow 配置文件签名阻止计数、AppFlow 配置文件签名日志计数、AppFlow 配置文件签名统计计数、AppFlow 化身编号、AppFlow 序列号、AppFlow 配置文件签名自动更新、AppFlow 安全索引、AppFlow 应用程序安全索引、AppFlow 配置文件安全检查安全索引、AppFlow 配置文件类型、Iprep 应用程序安全索引、AppFlow 配置文件名称、AppFlow 签名名称、AppFlow 应用程序名称 Ls、AppFlow 签名规则 ID1、AppFlow 签名规则 ID2、AppFlow 签名规则 ID3、AppFlow 签名规则 ID4、AppFlow 签名规则 ID5、AppFlow 签名规则已启用标志、AppFlow 签名规则阻止标志、AppFlow 签名规则日志标志、AppFlow 签名规则文件名、AppFlow 签名规则类别 1、AppFlow 签名规则日志字符串 1、AppFlow 签名规则类别 2、AppFlow 签名规则日志字符串 2、AppFlow 签名规则类别 3、AppFlow 签名规则类别 4、AppFlow 签名规则日志字符串 4、AppFlow 签名规则类别 5、AppFlow 签名规则日志字符串 5

  • AppFlow：实际模板代码、观察域 ID、Appfw 违规发生时间、应用程序名称应用程序 ID、Appfw 违规严重性、Appfw 违规类型、Appfw 违规位置、Appfw 违规威胁索引、Appfw NS 经度、Appfw NS 纬度、源 IPv4 地址接收、Appfw Http 方法、Appfw 应用程序威胁索引、Appfw 阻止标志、Appfw 转换标志、Appfw 违规配置文件名称、Appfw 会话 ID、Appfw 请求 URL、Appfw 地理位置、Appfw 违规类型名称 1、Appfw 违规名称值 1、Appfw 签名类别 1、Appfw 违规类型名称 2、Appfw 违规名称值 2、Appfw 签名类别 2、Appfw 违规类型名称 3、Appfw 违规名称值 3、Appfw 签名类别 3、Appfw 请求 X-Forwarded-For、Appfw 应用程序名称 Ls、应用程序名称 Ls、Iprep 类别、Iprep 攻击时间、Iprep 信誉评分、Iprep NS 经度、Iprep NS 纬度、Iprep 严重性、Iprep HTTP 方法、Iprep 应用程序威胁索引、Iprep 地理位置、Tcp Syn 攻击计数器、Tcp 慢速 Ris 计数器、Tcp 零窗口计数器、Appfw 日志表达式名称、Appfw 日志表达式值、Appfw 日志表达式注释

  • VPN：实际模板代码、观察域 ID、访问洞察标志、观察点 ID、导出进程 ID、访问洞察状态代码、访问洞察时间戳、身份验证持续时间、设备类型、设备 ID、设备位置、应用程序名称应用程序 ID、应用程序名称应用程序 ID1、源传输端口接收、目标传输端口接收、身份验证阶段、身份验证类型、VPN 会话 ID、EPA ID、AAA 用户名、策略名称、身份验证代理名称、组名称、虚拟服务器 FQDN、cSec 表达式、源 IPv4 地址接收、目标 IPv4 地址接收、当前因子策略标签、下一个因子策略标签、应用程序名称 Ls、应用程序名称 1 Ls、AAA 用户电子邮件 ID、网关 IP、网关端口、应用程序字节计数、VPN 会话状态、VPN 会话模式、SSO 身份验证方法、IIP 地址、VPN 请求 URL、SSO 请求 URL、后端服务器名称、VPN 会话注销模式、登录票证文件信息、STA 票证、会话共享密钥、资源名称、SNIP 地址、临时 VPN 会话 ID

  • HTTP：实际模板代码、Http 请求方法、Http 请求 URL、Http 请求用户代理、Http 内容类型、Http 请求主机、Http 请求授权、Http 请求 Cookie、Http 请求引用者、Http 响应设置 Cookie、Ic 内容组名称、Ic 标志、Ic 无存储标志、Ic 策略名称、响应媒体类型、入口接口客户端、源响应状态、源响应长度、服务器流标志接收、服务器流标志发送、流标志接收、流标志发送、应用程序名称、观察点 ID、导出进程 ID、观察域 ID、Http 事务结束时间、事务 ID、Http 响应状态、传输客户端 IPv4 地址、传输客户端目标 IPv4 地址、后端服务器目标 IPv4 地址、后端服务器 IPv4 地址、Http 响应长度、传输服务器 RTT、传输客户端 RTT、Http 请求接收 FB、Http 请求接收 LB、Http 响应接收 FB、Http 响应接收 LB、Http 请求转发 FB、Http 请求转发 LB、Http 响应转发 FB、Http 响应转发 LB、Http 请求 X-Forwarded-For、Http 域名、Http 响应位置、协议标识符、出口接口、后端服务器 IPv6 地址、SSL 标志 BE、SSL 标志 FE、SSL 会话 IDFE、SSL 会话 IDBE、SSL 密码值 FE、SSL 密码值 BE、SSL 签名哈希算法 BE、SSL 签名哈希算法 FE、SSL 服务器证书签名哈希 BE、SSL 服务器证书签名哈希 FE、SSL 客户端证书签名哈希 FE、SSL 客户端证书签名哈希 BE、SSL 服务器证书大小 FE、SSL 服务器证书大小 BE、SSL 客户端证书大小 FE、SSL 客户端证书大小 BE、SSL 错误应用程序名称、SSL 错误标志、SSL 握手错误消息、客户端 IP、虚拟服务器 IP、连接链 ID、连接链跳数、传输客户端总接收八位字节计数、传输客户端总发送八位字节计数、传输客户端源端口、传输客户端目标端口、传输服务器源端口、传输服务器目标端口、VLAN 号、客户端 Mss、传输信息、传输客户端流结束微秒接收、传输客户端流结束微秒发送、传输客户端流开始微秒接收、传输客户端流开始微秒发送、传输服务器流结束微秒接收、传输服务器流结束微秒发送、传输服务器流开始微秒接收、传输服务器流开始微秒发送、传输服务器总接收八位字节计数、传输服务器总发送八位字节计数、客户端流标志发送、客户端流标志接收、传输客户端 IPv6 地址、传输客户端目标 IPv6 地址、订阅者标识符、SSLi 域名、SSLi 域类别、SSLi 域类别组、SSLi 域信誉、SSLi 策略操作、SSLi 执行操作、SSLi 操作原因、SSLi URL 匹配集、SSLi URL 私有集、URL 类别、URL 类别组、URL 类别信誉、响应器操作类型、URL 匹配集、URL 私有集、类别域名、类别域源、AAA 用户名、VPN 会话 ID、租户名称

• 指标事件：

  • 虚拟服务器 LB：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、表示、架构类型、时间、CPU、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 LB：速率 Si 总请求字节、速率 Si 总请求、速率 Si 总响应字节、速率 Si 总响应、速率 Si 总客户端 Ttlb 事务、速率 Si 总客户端 Ttlb 接收数据包、速率 Si 总客户端 Ttlb 发送数据包、速率 Vsvr 总命中、Si 当前客户端、Si 当前已建立连接、Si 当前服务器、Si 当前状态、Si 总请求字节、Si 总响应、Si 总客户端 Ttlb、Si 总客户端 Ttlb 事务、Si 总接收数据包、Si 总发送数据包、Si 总 Ttlb 令人沮丧的事务、Si 总 Ttlb 可容忍的事务、Vsvr 活动服务、Vsvr 总命中、Vsvr 总请求响应无效、Vsvr 总请求响应无效已丢弃

  • CPU：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、表示、架构类型、时间、Cc CPU 使用 GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户

  • 服务器服务组：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、表示、架构类型、时间、Cc CPU 使用、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、服务器服务组：速率 Si 总请求字节、速率 Si 总请求、速率 Si 总响应字节、速率 Si 总响应、速率 Si 总客户端 Ttlb、速率 Si 总客户端 Ttlb 事务、速率 Si 总服务器 Ttfb、速率 Si 总服务器 Ttfb 事务、速率 Si 总服务器 Ttlb、速率 Si 总服务器 Ttlb 事务、速率 Si 总 Ttlb 令人沮丧的事务、速率 Si 总 Ttlb 可容忍的事务、Si 当前状态、Si 总请求字节、Si 总请求、Si 总响应字节、Si 总响应、Si 总客户端 Ttlb、Si 总客户端 Ttlb 事务、Si 总服务器 Ttfb、Si 总服务器 Ttfb 事务、Si 总服务器 Tlb、Si 总服务器 Ttlb 事务、Si 总 Ttlb 令人沮丧的事务、Si 总 Ttlb 可容忍的事务

  • 服务器 SVC 配置：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、表示、架构类型、时间、CPU 使用、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、服务器服务配置：速率 Si 总请求字节、速率 Si 总请求、速率 Si 总响应字节、速率 Si 总响应、Si 总客户端 Ttlb、速率 Si 总客户端 Ttlb 事务、速率 Si 总接收数据包、速率 Si 总发送数据包、速率 Si 总服务器忙错误、速率 Si 总服务器 Ttfb、速率 Si 总服务器 Ttfb 事务、速率 Si 总服务器 Ttlb、速率 Si 总服务器 Ttlb 事务、速率 Si 总 Ttlb 令人沮丧的事务、速率 Si 总 Ttlb 可容忍的事务、Si 当前状态、Si 当前传输、Si 总请求字节、Si 总请求、Si 总响应字节、Si 总响应、Si 总客户端 Ttlb、Si 总客户端 Ttlb 事务、Si 总接收数据包、Si 总发送数据包、Si 总服务器忙错误、Si 总服务器 Ttfb、Si 总服务器 Ttfb 事务、Si 总服务器 Ttlb、Si 总服务器 Ttlb 事务、Si 总 Ttlb 令人沮丧的事务、Si 总 Ttlb 可容忍的事务

  • NetScaler：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、表示、架构类型、时间、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、NetScaler：速率所有网卡总接收 Mbits、速率所有网卡总接收 Mbits、速率 Dns 总查询、速率 Dns 总负 Nxdmn 条目、速率 Http 总获取、速率 Http 总其他、速率 Http 总发布、速率 Http 总请求、速率 Http 总请求 1.0、速率 Http 总请求 1.1、速率 Http 总响应、速率 Http 总接收请求字节、速率 Http 总接收响应字节、速率 Ip 总接收 Mbits、速率 Ip 总接收字节、速率 Ip 总接收数据包、速率 Ip 总发送 Mbits、速率 Ip 总发送字节、速率 Ip 总发送数据包、速率 SSL 总解密字节、速率 SSL 总加密字节、速率 SSL 总 SSL 信息会话命中、速率 SSL 总 SSL 信息总发送计数、速率 Tcp 错误 Rst、速率 Tcp 总客户端打开、速率 Tcp 总服务器打开、速率 Tcp 总接收字节、速率 Tcp 总接收数据包、速率 Tcp 总 Syn、速率 Tcp 总发送字节、速率 Tcp 总发送数据包、速率 Udp 总接收字节、速率 Udp 总接收数据包、速率 Udp 总发送字节、速率 Udp 总发送数据包、所有网卡总接收 Mbits、所有网卡总发送 Mbits、CPU 使用、Dns 总查询、Dns 总负 Nxdmn 条目、Http 总获取、Http 总其他、Http 总发布、Http 总请求、Http 总请求 1.0、Http 总请求 1.1、Http 总响应、Http 总接收请求字节、Http 总接收响应字节、Ip 总接收 Mbits、Ip 总接收字节、Ip 总接收数据包、Ip 总发送 Mbits、Ip 总发送字节、Ip 总发送数据包、内存当前可用大小、内存当前可用大小实际、内存当前已用大小、内存总可用、管理额外 CPU 使用、管理 CPU 0 使用、管理 CPU 使用、SSL 总解密字节、SSL 总加密字节、SSL 总 SSL 信息会话命中、SSL 总 SSL 信息总发送计数、系统 CPU、Tcp 当前客户端连接、Tcp 当前客户端连接关闭、Tcp 当前客户端连接建立、Tcp 当前服务器连接、Tcp 当前服务器连接关闭、Tcp 当前服务器连接建立、Tcp 错误 Rst、Tcp 总客户端打开、Tcp 总服务器打开、Tcp 总接收字节、Tcp 总接收数据包、Tcp 总 Syn、Tcp 总发送字节、Tcp 总发送数据包、Udp 总接收字节、Udp 总接收数据包、Udp 总发送字节、Udp 总发送数据包

  • 内存池：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、接口、NetScaler、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、内存池：内存当前分配大小、内存错误分配失败、内存总可用

  • 监视服务绑定：绑定实体名称、实体名称、NetScalerId、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、接口、内存池、NetScaler、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、监视服务绑定：速率监视总探测、监视总探测

  • 接口：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、内存池、NetScaler、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、接口：速率网卡总接收字节、速率网卡总接收数据包、速率网卡总发送字节、速率网卡总发送数据包、网卡总接收字节、网卡总接收数据包、网卡总发送字节、网卡总发送数据包

  • 虚拟服务器 CS：绑定实体名称、实体名称、监视服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、内存池、NetScaler、服务器服务组、服务器服务配置、虚拟服务器身份验证、虚拟服务器 Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器 SSL、虚拟服务器用户、虚拟服务器 Cs：速率 Si 总请求字节、速率 Si 总请求、速率 Si 总响应字节、速率 Si 总响应、速率 Si 总客户端 Ttlb、速率 Si 总客户端 Ttlb 事务、速率 Si 总接收数据包、速率 Si 总发送数据包、速率 Si 总 Ttlb 令人沮丧的事务、速率 Si 总 Ttlb 可容忍的事务、速率 Vsvr 总命中、Si 当前状态、Si 总请求字节、Si 总请求、Si 总响应字节、Si 总响应、Si 总客户端 Ttlb、Si 总客户端 Ttlb 事务、Si 总接收数据包、Si 总发送数据包、Si 总 Ttlb 令人沮丧的事务、Si 总 Tlb 可容忍的事务、Vsvr 总命中、Vsvr 总请求响应无效、Vsvr 总请求响应无效已丢弃

Secure Browser 日志

• 应用程序发布：

  • 已发布应用程序之前的日志：身份验证、浏览器、更改 ID、创建时间、客户名称、目标 URL、E-Tag、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、重定向白名单

  • 已发布应用程序之后的日志：身份验证、浏览器、更改 ID、创建时间、客户名称、目标、E-Tag、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部 URL 白名单、内部 URL 白名单、重定向 URL 白名单

• 应用程序删除：

  • 已发布应用程序之前的日志：身份验证、浏览器、更改 ID、创建时间、客户名称、目标 URL、E-Tag、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、重定向白名单

  • 已发布应用程序之后的日志：身份验证、浏览器、更改 ID、创建时间、客户名称、目标、E-Tag、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部 URL 白名单、内部 URL 白名单、重定向 URL 白名单

• 应用程序更新：

  • 已发布应用程序之前的日志：身份验证、浏览器、更改 ID、创建时间、客户名称、目标 URL、E-Tag、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、重定向白名单

  • 已发布应用程序之后的日志：身份验证、浏览器、更改 ID、创建时间、客户名称、目标、E-Tag、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布应用程序 ID、区域、资源区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部 URL 白名单、内部 URL 白名单、重定向 URL 白名单

• 授权创建：

  • 授权创建之前的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

  • 授权创建之后的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

• 授权更新：

  • 授权更新之前的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

  • 授权更新之后的日志：已批准、客户 ID、数据保留天数、结束日期、会话 ID、产品 SKU、数量、序列号、开始日期、状态、类型

• 会话访问主机：接受主机、客户端 IP、日期时间、主机、会话、用户名

• 会话连接：

  • 会话连接之前的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话连接之后的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

• 会话启动：

  • 会话启动之前的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话启动之后的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

• 会话心跳：

  • 会话心跳之前的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话心跳之后的日志：应用程序 ID、应用程序名称、浏览器、创建时间、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

Microsoft Graph Security 日志

• 租户 ID

• 用户 ID

• 指标 ID

• 指标 UUID

• 事件时间

• 创建时间

• 警报类别

• 登录位置

• 登录 IP

• 登录类型

• 用户帐户类型

• 供应商信息

• 供应商提供商信息

• 漏洞状态

• 漏洞严重性

Microsoft Active Directory 日志

• 租户 ID

• 收集时间

• 类型

• 目录上下文

• 组

• 身份

• 用户类型

• 帐户名称

• 错误密码计数

• 城市

• 通用名称

• 公司

• 国家/地区

• 密码过期剩余天数

• 部门

• 描述

• 显示名称

• 可分辨名称

• 电子邮件

• 传真号码

• 名字

• 组类别

• 组范围

• 家庭电话

• 姓名首字母

• IP 电话

• 帐户是否已启用

• 帐户是否已锁定

• 是否为安全组

• 姓氏

• 经理

• 成员

• 手机

• 寻呼机

• 密码永不过期

• 实际交付办公室名称

• 邮政信箱

• 邮政编码

• 主组 ID

• 省/市/自治区

• 街道地址

• 职称

• 用户帐户控制

• 用户组列表

• 用户主体名称

• 工作电话

Citrix Analytics for Performance 日志

• 操作 ID

• 操作原因

• 操作类型

• 管理员文件夹

• 代理版本

• 分配类型

• 应用程序 ID

• 应用程序名称

• 应用程序路径

• 应用程序类型

• 应用程序版本

• 关联用户全名

• 关联用户名

• 关联用户名

• 关联用户 UPN

• 身份验证持续时间

• 自动重新连接计数

• 自动重新连接类型

• 平均端点吞吐量接收字节数

• 平均端点吞吐量发送字节数

• Blob 容器

• Blob 端点

• Blob 路径

• 代理应用程序已更改

• 代理应用程序已创建

• 代理应用程序已删除

• 代理日期

• 代理持续时间

• 代理负载索引

• 代理注册已启动

• 浏览器名称

• 目录更改事件

• 目录创建事件

• 目录删除事件

• 目录 ID

• 目录名称

• 目录同步

• 客户端地址

• 客户端名称

• 客户端平台

• 客户端会话验证日期

• 客户端版本

• 收集日期

• 通过主机名连接

• 通过 IP 地址连接

• 连接 ID

• 连接信息

• 连接状态

• 连接类型

• 控制器 DNS 名称

• CPU

• CPU 索引

• 创建日期

• 当前负载索引 ID

• 当前电源状态

• 当前注册状态

• 当前会话计数

• 日期时间

• 交付组已添加

• 交付组已更改

• 交付组已删除

• 交付组 ID

• 交付组维护模式已更改

• 交付组名称

• 交付组同步

• 交付类型

• 注销原因

• 桌面组删除事件

• 桌面组 ID

• 桌面组名称

• 桌面类型

• 断开连接代码

• 断开连接原因

• 磁盘

• 磁盘索引

• DNS 名称

• 域名

• 有效负载索引

• 结束日期

• 错误消息

• 建立日期

• 事件报告日期

• 事件时间

• 退出代码

• 故障类别

• 故障代码

• 故障数据

• 故障日期

• 故障原因

• 故障类型

• 故障状态

• 功能级别

• GPO 结束日期

• GPO 开始日期

• HDX 结束日期

• HDX 开始日期

• 主机

• 托管计算机 ID

• 托管计算机名称

• 托管服务器名称

• 虚拟机管理程序连接更改事件

• 虚拟机管理程序连接创建事件

• 虚拟机管理程序 ID

• 虚拟机管理程序名称

• 虚拟机管理程序同步

• ICA RTT

• ICA RTT 毫秒

• ID

• 空闲时间

• 可用输入带宽

• 已用输入带宽

• 实例计数

• 交互结束日期

• 交互开始日期

• IP 地址

• 是否已分配

• 是否处于维护模式

• 计算机是否为物理机

• 是否待定更新

• 是否正在准备

• 是否为远程 PC

• 是否为安全 ICA

• 上次注销代码

• 通过主机名启动

• 通过 IP 地址启动

• 生命周期状态

• 链接速度

• 登录持续时间

• 登录结束日期

• 登录脚本结束日期

• 登录脚本开始日期

• 登录开始日期

• 长

• 计算机添加到桌面组事件

• 计算机分配已更改

• 计算机目录更改事件

• 计算机创建事件

• 计算机删除事件

• 计算机注销事件

• 计算机 DNS 名称

• 计算机故障状态更改事件

• 计算机硬注册事件

• 计算机 ID

• 计算机维护模式更改事件

• 计算机名称

• 计算机 PVD 状态已更改

• 计算机从桌面组中移除事件

• 计算机角色

• 计算机 SID

• 计算机更新事件

• 计算机 Windows 连接设置已更改

• 内存

• 内存索引

• 修改日期

• NGSConnector.ICAConnection.Start

• NGSConnector.NGSSyntheticMetrics

• NGSConnector.NGSPassiveMetrics

• NGSConnector.NGSSystemMetrics

• 网络

• 网络索引

• 网络延迟

• 网络信息周期性

• 网络接口类型

• 操作系统类型

• 可用输出带宽

• 已用输出带宽

• 路径

• CPU 百分比

• 持久用户更改

• 电源状态

• 进程名称

• 配置文件加载结束日期

• 配置文件加载开始日期

• 协议

• 预配方案 ID

• 预配类型

• 已发布名称

• 注册状态

• 服务器会话验证日期

• 会话计数

• 会话结束

• 会话故障

• 会话 ID

• 会话空闲时间

• 会话索引

• 会话密钥

• 会话开始

• 会话状态

• 会话支持

• 会话终止

• 会话类型

• SID

• 信号强度

• 站点 ID

• 站点名称

• 开始日期

• 总内存

• 触发间隔

• 触发级别

• 触发周期

• 触发值

• 已用内存

• 用户 ID

• 用户输入延迟

• 用户名

• 用户 SID

• VDA 登录持续时间

• VDA 进程数据

• VDA 资源数据

• 版本

• 虚拟机启动结束日期

• 虚拟机启动开始日期

• Windows 连接设置

• xd.SessionStart