数据治理

本节提供有关 Citrix Analytics 服务收集、存储和保留日志的信息。定义 部分中未定义的任何大写术语都具有 Citrix 最终用户服务协议 中指定的含义。

Citrix Analytics 旨在让客户深入了解其 Citrix 计算环境中的活动。Citrix Analytics 使安全管理员能够选择他们想要监控的日志,并根据记录的活动采取定向操作。这些洞察可帮助安全管理员管理对其计算环境的访问,并在客户的计算环境中保护客户内容。

数据驻留

Citrix Analytics 日志与数据源分开维护,并聚合在位于美国和欧盟的多个 Microsoft Azure 云环境中。日志的存储取决于 Citrix Cloud 管理员在将其组织登录到 Citrix Cloud 时选择的主区域。例如,如果您在将组织加入到 Citrix Cloud 时选择了欧洲区域,则 Citrix Analytics 日志将存储在位于欧盟的 Microsoft Azure 环境中。

有关详细信息,请参阅Citrix Cloud 服务客户内容和日志处理地理方面的注意事项

数据收集

Citrix Cloud 服务通过仪表将日志传输到 Citrix Analytics。日志是从以下数据源收集的:

  • Citrix 访问控制

  • Citrix ADC(本地)以及 Citrix Application Delivery Management 的订阅

  • Citrix Content Collaboration

  • Citrix Endpoint Management

  • Citrix Virtual Apps and Desktops(服务和本地产品)

  • 微应用服务

数据传输

Citrix Cloud 日志安全传输到 Citrix Analytics。当客户环境管理员明确启用 Citrix Analytics 时,这些日志将被分析并存储在客户数据库中。这同样适用于配置了 Citrix Workspace 的 Citrix Virtual Apps and Desktops 本地数据源。

对于 Citrix ADC 数据源,仅当管理员为特定数据源显式启用了 Citrix Analytics 时才会启动日志传输。

对于微应用服务,管理员无法显式启用 Citrix Analytics 来分析和存储日志。配置微应用后,日志将传输到 Citrix Analytics。

数据控制

管理员可以随时打开或关闭发送到 Citrix Analytics 的日志。

当 Citrix ADC 本地数据源关闭时,特定 ADC 数据源与 Citrix Analytics 之间的通信将停止。

当对其他数据源关闭所有数据源时,特定数据源的日志将不再分析和存储在 Citrix Analytics 中。

数据保留

Citrix Analytics 日志以可识别的形式保留最多 13 个月或 396 天。所有日志和相关的分析数据(如用户风险概况、用户风险评分详细信息、用户风险事件详细信息、用户观察列表、用户操作和用户配置文件)将在此期间保留。

例如,如果您在 2018 年 1 月 1 日启用了数据源的分析,则默认情况下,2018 年 1 月 1 日收集的数据将保留在 Citrix Analytics 中,直到 2019 年 1 月 31 日,2018 年 1 月 15 日收集的数据将保留到 2019 年 2 月 15 日,依此类推。

即使在关闭数据源的数据处理或从 Citrix Analytics 中删除数据源之后,此数据仍会在默认数据保留期内存储。

Citrix Analytics 将在订阅期或试用期到期后 90 天删除所有客户内容。

Citrix Services Security Exhibit

Citrix Services 安全展览中包含有关应用于 Citrix Analytics 的安全控制措施的详细信息,包括访问和身份验证、安全计划管理、业务连续性和事件管理。

定义

客户内容是指上传到客户帐户以进行存储的任何数据或在客户环境中向 Citrix 提供执行服务的访问权限的数据。

日志是指与服务相关的事件记录,包括衡量性能、稳定性、使用率、安全性和支持的记录。

服务是指上述用于 Citrix Analytics 的 Citrix Cloud 服务。

数据收集协议

通过将数据上载到 Citrix Analytics 并使用 Citrix Analytics 的功能,即表示您同意并同意 Citrix 可以收集、存储、传输、维护、处理和使用有关 Citrix 产品和服务的技术、用户或相关信息。

在任何时候,Citrix 收到的信息都会按照 Citrix 的隐私政策进行处理,该政策可在以下位置找到: https://www.citrix.com/about/legal/privacy/

附录:收集的日志

Citrix Analytics for Security 日志

常规日志

通常,Citrix Analytics 日志包含以下标题标识数据点:

  • 标题键

  • 设备识别

  • 标识

  • IP 地址

  • 组织

  • 产品

  • 产品版本

  • 系统时间

  • 租户身份

  • 类型

  • 用户:电子邮件、ID、SAM 帐户名、域、UPN

  • 版本

Citrix Content Collaboration 日志

Citrix Content Collaboration 日志包含以下数据点:

  • 帐户 ID

  • 账户信息:API 控制平面、应用控制平面、子域

  • 在名称上添加

  • 附加带宽

  • 额外的带宽率

  • 额外的磁盘空间

  • 额外的磁盘空间速率

  • 额外的用户费率

  • 其他用户

  • Address1

  • Address2

  • 高级定制品牌文件夹名称

  • 别名 ID

  • 应用程序码

  • 关联的文件夹模板 ID

  • 带宽最大

  • 基本带宽

  • 基本账单费率

  • 基本磁盘空间

  • 基本用户

  • 账单联系人编号

  • 账单周期

  • 账单费率

  • 计费类型

  • 品牌风格

  • 已下载字节

  • 总字节

  • Cc 发件人

  • 城市

  • 客户信息:城市、客户端 IP、控制平面、国家/地区、OAuth 客户端 ID、操作系统、工具显示名称、工具名称、工具版本

  • 客户端名称

  • 公司

  • 公司名称

  • 组件名

  • 连接器类型

  • 联系人:Op 名称、值、联系人 ID、电子邮件

  • 上下文:资源 ID、资源类型

  • 复制的文件 ID

  • 国家/地区

  • 创建者

  • 创建日期

  • 创作者 ID

  • 默认区域 ID

  • 永久删除

  • 说明

  • 目标:文件路径、父 ID、路径、区域 ID

  • 磁盘空间限制

  • 最大磁盘空间

  • DLP 状态

  • 按服务下载

  • 下载 ID

  • 电子邮件地址:Op 名称,价值

  • 加密率

  • 结束时间

  • 实体 ID

  • 事件 ID

  • 事件时间

  • 活动用户邮件

  • 事件用户 ID

  • 事件:操作名称、资源类型

  • 过期日期

  • 字段:帐户 ID、帐户信息类型、API 控制平面、应用控制平面、子域、批准上下文类型、审批编号、审批步骤 ID、审批步骤状态、已链接到批准步骤、已下载字节、客户端信息类型、城市、客户端 IP、控制平面、国家/地区、OAuth 客户端 ID、操作系统、工具显示名称、工具名称、工具版本、已完成的步骤 ID、连接器类型、按类型创建、按电子邮件地址创建、按名字创建、创建方 ID、姓氏创建、到期、结束时间事件用户 ID、文件扩展名、文件名、文件路径、文件大小、表单 ID、最后一次 Ping、名称、下一个步骤 ID、参与者类型、参与者角色、参与者状态、参与者用户 ID、收件人类型、收件人操作名称、收件人电子邮件地址、收件人名字、收件人 ID、收件人姓氏、角色类型、角色发起者类型、角色发起者类型、角色发起者 Op Name、角色发起者电子邮件地址、角色名称、角色启动器 ID、角色启动器姓氏、角色实例管理器类型、角色实例管理器操作名称、角色实例管理器电子邮件地址、角色实例管理器名字、角色实例管理器 ID、角色实例管理器姓氏、角色模板管理器类型、角色模板管理器 Opname、角色模板管理器经理电子邮件地址、角色模板管理器名字、角色模板管理器 ID、角色模板管理器姓氏、角色视图报表类型、角色视图报表操作名称、角色视图报表名、角色视图报表 ID、角色视图报告 ID、角色视图报表姓氏、路由键类型、路由键帐户ID、路由密钥组件名称、路由密钥文件扩展名、路由密钥文件 ID、路由密钥文件名、路由键表格 ID、路由密钥操作名称、路由键产品名称、路由密钥资源类型、路由密钥存储中心 ID、路由密钥模板 ID、路由密钥工作流 ID、路由密钥工作流 ID、路由键区域 ID、路由键区域版本、服务器名称、开始时间、状态、步骤数据类型、步骤数据文件 ID、步骤数据状态、步骤数据步骤类型、已完成步骤、剩余步骤、步骤批准者类型、步骤批准者电子邮件地址、步骤批准者名字、步骤批准者 ID、步骤批准者 ID、步骤批准者姓氏、步骤完成天数、步骤顺序、步骤 Id、要键入的步骤、到电子邮件地址的步骤、到名字的步骤、到姓氏的步骤、步骤查看者类型、步骤查看者电子邮件地址、步骤查看者名字、步骤查看者 ID、步骤查看者姓氏、步骤查看者姓氏、步骤查看者姓氏、步骤查看者姓名、步骤查看者姓名、步骤查看者姓名存储中心 ID、流 ID、提交 ID、模板化 ID、触发器类型、触发器文件夹 ID、触发器表单 ID、用户 ID、工作流类型、工作流 ID、工作流启动器类型、工作流启动器类型、工作流启动器用户 ID、工作流程模板 ID、工作流触发器资源 ID、工作流触发器类型、工作流启动器信息用户 ID、工作流状态、工作流类型、区域 ID、区域服务、区域版本

  • 文件扩展名

  • 文件编号

  • 文件名

  • 文件路径

  • 文件大小

  • 文件大小字节

  • 名字

  • 文件夹 ID

  • 文件夹名称

  • 格兰特类型

  • 群组编号

  • 有加密

  • 有多个版本

  • 有 Power Tools

  • 哈希

  • 集成 OAuth 客户端 ID

  • 集成提供商类型

  • IRM 分类编号

  • 已确认

  • 已禁用

  • 员工是否

  • 是免费试用

  • 是共享的

  • 模板是否拥有

  • 是仅查看

  • 商品扩展

  • 商品扩展

  • 上次任何登录

  • 姓氏

  • 锁定 ID

  • 锁类型

  • 徽标 URL

  • 下载次数上限

  • 方法

  • 名称

  • 新的直播 ID

  • 许可证数

  • 付费许可证数量

  • OAuth 客户端 ID

  • 旧直播 ID

  • 操作名称

  • 所有者 ID

  • 家长 ID

  • Path

  • 电话

  • 计划名称

  • 计划跟踪

  • Power Tools 费率

  • 每个许可证价格

  • 主电子邮件

  • 主要子域名

  • 产品代码

  • 产品名称

  • 收件人 ID

  • 收件人 ID

  • 重定向 URI

  • 必需登录

  • 必需的用户信息

  • 资源类型

  • 根项目编号

  • 路由键:帐户 ID、添加名称、应用程序代码、组件名称、连接器类型、实体 ID、文件 ID、文件夹 ID、组 ID、集成提供程序类型、OAuth 客户端 ID、操作名称、父 ID、产品名称、资源类型、共享 ID、流 ID、用户 ID、版本、区域 ID

  • 范围

  • 语义路径

  • 服务器名称

  • 分享 ID

  • 共享信息:别名 ID、创建者 ID、共享 ID、共享子类型 ID

  • 分享子类型 ID

  • 股份类型

  • 单个版本

  • 开始时间

  • 状态

  • 存储中心名称

  • 直播 ID

  • 子域名:Op 名称,价值

  • 已订阅的资源 ID

  • 订阅的资源类型

  • 税区代码

  • 标题

  • 更新日期

  • 上载编号

  • URL 路径

  • 使用高级自定义品牌

  • 用户电子邮件

  • 用户 ID

  • 用户最大

  • 用户角色:操作名称、值

  • 版本

  • Webhook 订阅 ID

  • Webhook URL

  • 压缩

  • 区域 ID

Citrix Endpoint Management 服务日志

Citrix Endpoint Management 服务日志包含以下数据点:

  • 合规

  • 公司拥有

  • 设备 ID

  • 设备型号

  • 设备类型

  • 地理纬度

  • 地理经度

  • 主机名

  • IMEI

  • IP 地址

  • 越狱

  • 上次活动

  • 管理模式

  • 操作系统

  • 操作系统版本

  • 平台信息

  • 原因

  • 序列号

  • 受监督

Citrix Virtual Apps and Desktops 日志

Citrix Virtual Apps and Desktops 日志包含以下数据点:

  • 应用程序名称

  • 浏览器

  • 详细信息:格式大小、格式类型、启动器、结果

  • 设备 ID

  • 设备类型

  • 文件名

  • 文件路径

  • 文件大小

  • 越狱

  • 作业详细信息:文件名、格式、大小

  • 位置:估计、纬度、经度

  • 长 CMD 行

  • 模块文件路径

  • 操作

  • 操作系统

  • 平台额外信息

  • 打印机名称

  • SaaS 应用程序名称

  • 会话域

  • 会话服务器名称

  • 会话用户名

  • 会话 GUID

  • 时间戳

  • 时区:偏见、DST、名称

  • 类型

  • URL

  • 用户代理

Citrix ADC 日志

Citrix ADC 日志包含以下数据点:

  • 容器

  • 文件

  • 格式化

  • 类型

适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 日志

适用于 Azure 的 Citrix Virtual Apps and Desktops 标准日志包含以下数据点:

  • 应用程序名称

  • 浏览器

  • 详细信息:格式大小、格式类型、启动器、结果

  • 设备 ID

  • 设备类型

  • 文件名

  • 文件路径

  • 文件大小

  • 越狱

  • 作业详细信息:文件名、格式、大小

  • 位置:估计、纬度、经度

  • 长 CMD 行

  • 模块文件路径

  • 操作

  • 操作系统

  • 平台额外信息

  • 打印机名称

  • SaaS 应用程序名称

  • 会话域

  • 会话服务器名称

  • 会话用户名

  • 会话 GUID

  • 时间戳

  • 时区:偏见、DST、名称

  • 类型

  • URL

  • 用户代理

微应用服务日志

  • 微应用名称

  • 微应用 ID

  • 通知名称

  • 通知编号

  • 通知优先级

  • 集成(应用程序)ID

  • 集成(应用程序)UUID

  • 集成(应用程序)名称

  • 集成(应用程序)课

  • 频道

  • 用户收件人/发布电子邮件

  • 用户收件人/制定OID

  • 用户 Citrix 客户 ID

  • 订阅者用户列表

  • 群组收件人 OID

  • 操作 ID

  • 操作类型

  • 操作时间戳

  • 动作时长

  • 动作结果

  • 动作名词

  • 动作动词

  • 主页/卡ID

  • 主页/卡UID

  • 页/卡片标题

  • 页/卡片实体

  • 主页/卡记录ID

  • 事件 ID

  • 事件 UUID

  • 活动标题

  • 事件类型

  • 活动频道

  • 活动实体

  • 按钮 ID

  • 按钮 UUID

  • 按钮标题

  • 数据集成提供商 API 调用平均时长

  • 数据集成提供商 API 调用峰值率

  • 数据集成提供商 API 调用率

  • 数据集成提供商 API 调用总计

  • 数据集成提供商 API 调用时长

  • 数据集成提供商 API 调用结果

Citrix 身份提供程序日志

  • 用户登录:

    • 身份验证域:名称、产品、IdP 类型、IdP 显示名称

      • IdP 属性:应用程序、身份验证类型、客户 ID、客户端 ID、目录、发行者、徽标、资源、TID

      • 扩展程序:

        • 工作区:背景颜色、标题徽标、登录徽标、链接颜色、文本颜色、StoreFront 域

        • ShareFile:客户 ID、客户地理位置

        • 长期令牌:启用、到期类型、绝对到期秒数、滑动到期秒

    • 身份验证结果:用户名、错误消息

    • 登录消息:客户端 ID、客户端名称

    • 用户声明:AMR、访问令牌哈希、AUD、身份验证时间、CIP Cred、身份验证域、组、产品、系统别名、电子邮件、电子邮件 验证、Exp、姓氏、名称、IAT、IdP、ISS、语言环境、名称、NBF、SID、Sub

      • 身份验证别名声明:名称、值

      • 目录上下文:域、林、身份提供程序、租户 ID

      • 用户:客户、电子邮件、OID、SID、UPN

      • IdP 额外字段:Azure AD OID,Azure AD TID

  • 用户注销:客户端 ID、客户端名称、Nonce、Sub

  • 客户端更新:操作、客户端 ID、客户端名称

Citrix Gateway 日志

  • 交易事件:

    • ICA 应用程序:记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 Guid、MSI 客户端 Cookie、Flow ID Rx、ICA 标志、连接 ID、填充八位数二、ICA 设备序列号、IP 版本 4、协议标识符、源 IPv4 地址 Rx、目标 IPv4地址 Rx、源传输端口 Rx、目标传输端口 Rx、ICA 应用程序启动持续时间、ICA 应用程序启动机制、ICA 进程 ID 启动、ICA 应用程序名称、ICA 应用程序模块路径、ICA 应用程序终止类型、ICA 应用程序终止时间、应用程序名称应用程序 ID、ICA 应用程序进程 ID 终止、ICA 应用

    • ICA 事件:记录类型、实际模板代码、源 IPv4 地址 Rx、目标 IPv4 地址 Rx、ICA 会话 Guid、MSI 客户端 Cookie、连接链 ID、ICA 客户端主机名、ICA 用户名、ICA 域名、登录票证设置、服务器名称、服务器版本、Flow ID Rx、ICA 标志、观察点 ID、导出进程 ID、观察域 ID、连接 ID、ICA 设备序列号、ICA 会话设置时间、ICA 客户端 IP、NS ICA 会话状态设置、源传输端口 Rx、目标传输端口 Rx、ICA 客户端启动程序、ICA 客户端类型、ICA 连接优先级设置、NS ICA 会话服务器端口、NS ICA 会话服务器 IP 地址、IPv4、协议标识符、连接链跳数、访问类型

    • ICA 更新:记录类型、实际模板代码、观察域 ID、观察点 ID、导出进程 ID、ICA 会话 Guid、MSI 客户端 Cookie、Flow Id Rx、ICA 标志、连接 ID、ICA 设备序列号、IPv4、协议标识符、填充八位数二、ICA RTT、客户端 RX 字节、客户端数据包重传、服务器端数据包重传、客户端 RTT、客户端抖动、服务器端抖动、ICA 网络更新开始时间、ICA 网络更新结束时间、客户端 SRTT、客户端 SRTT、客户端延迟、服务器端延迟、主机延迟、客户端零窗口计数、服务器端零窗口计数、客户端侧 RTO 计数、服务器端 RTO 计数、L7 客户端延迟、L7 服务器延迟、应用名称应用程序 ID、租户名称、ICA 会话更新开始 Sec、ICA 会话更新结束秒、ICA 通道 ID 1、ICA 通道 ID 2 字节、ICA 通道 ID 2 字节、ICA 通道 ID 3 字节、ICA 通道 ID 4 字节、ICA 通道 ID 4 字节、ICA 通道 ID 4 字节、ICA 通道 ID 4 字节、ICA 通道 ID 4 字节、ICA通道 ID 5,ICA 通道 ID 5 字节

    • AppFlow 配置:记录类型、实际模板代码、观察点 ID、观察点 ID、导出进程 ID、系统规则标志 1、系统安全索引、AppFlow 配置文件块标志、AppFlow 配置文件块标志、AppFlow 配置文件日志标志、AppFlow 配置文件统计标志、AppFlow 配置文件统计标志、AppFlow 配置文件配置文件无标志、AppFlow 应用程序名称 ID、AppFlow 配置文件签名块数、AppFlow 配置文件签名块计数、AppFlow 配置文件签名统计数、AppFlow 配置文件签名统计数、AppFlow 配置文件签名自动更新、AppFlow 应用程序安全指数、AppFlow 应用程序安全指数、AppFlow 应用程序安全指数配置文件秒检查安全指数、AppFlow 配置文件类型、iprep 应用程序安全指数、AppFlow Sig 名称、AppFlow Sig 规则 ID1、AppFlow Sig 规则 ID2、AppFlow Sig 规则 ID3、AppFlow Sig 规则 ID4、AppFlow Sig 规则 ID4、AppFlow Sig 规则 ID5、AppFlow Sig 规则启用标志、AppFlow Sig 规则块标志、AppFlow Sig 规则块AppFlow Sig 规则日志标志、AppFlow Sig 规则文件名、AppFlow Sig 规则类别 1、AppFlow Sig 规则类别 2、AppFlow Sig 规则日志 2、AppFlow Sig 规则类别 3、AppFlow Sig 规则类别 4、AppFlow Sig 规则日志类别 4、AppFlow Sig 规则日志类别 4、AppFlow Sig 规则类别 5 规则 logString5

    • AppFlow:实际模板代码、观察域 ID、观察点 ID、导出进程 ID、事务 ID、Appfw 违规发生时间、应用名称应用程序 ID、Appfw 违规严重性、Appfw 违规位置、Appfw 违规威胁索引、Appfw NS 纬度、源IPv4 地址 Rx、Appfw Http 方法、Appfw 应用程序威胁索引、Appfw 块标志、Appfw 变换标志、Appfw 违规配置文件名称、Appfw Req URL、Appfw Geo 位置、Appfw 违规类型名称 1、Appfw 违规类型 1、Appfw 违规类型 2名称值 2、Appfw Sig 类别 2、Appfw 违规类型名称 3、Appfw 违规名称值 3、Appfw Sig 类别 3、Appfw Req X 转发对象、Appfw 应用程序名称 L、Iprep 类别、iprep 攻击时间、iprep 信誉评分、iprep NS 纬度、Iprep NS Latitude、Iprep NS Latitude、Iprep 严重性、Iprep NS 纬度、Iprep NS Latitude、Iprep NS Latitude、Iprep NS Latitude、Iprep NS Latitude、Iprep 准备 HTTP 方法,Iprep应用程序威胁索引、Iprep Geo 位置、TCP Syn 攻击 Cntr、TCP 慢 Ris Cntr、TCP 零窗口 Cntr、Appfw Log Expr 名称、Appfw Log Expr 值、Appfw Log Expr 评论

    • VPN:实际模板代码、观察域 ID、访问智能分析标志、观察点 ID、导出进程 ID、访问智能分析状态代码、访问智能分析时间戳、身份验证持续时间、设备类型、设备 ID、设备位置、应用名称应用程序 ID、应用名称应用程序 Id1、源传输端口 Rx、目标传输端口 Rx、身份验证阶段、身份验证类型、VPN 会话 ID、EPA ID、AAA 用户名、策略名称、身份验证代理名称、组名称、虚拟服务器 FQDN、CSEC 表达式、源 IPv4 地址 Rx、Cur 因素策略标签、下一因素策略标签、应用名称 L、应用名称 1 LAAA 用户电子邮件 ID、网关端口、应用程序字节计数、VPN 会话状态、VPN 会话模式、SSO 身份验证方法、IIP 地址、VPN 请求 URL、SSO 请求 URL、后端服务器名称、VPN 会话注销模式、登录票证文件信息、STA 票证、会话共享密钥、资源名称、SNIP 地址、临时 VPN会话 ID

    • HTTP: Actual Template Code, Http Req Method, Http Req Url, Http Req User Agent, Http Content Type, Http Req Host, Http Req Authorization, Http Req Cookie, Http Req Referer, Http Res Set Cookie, Ic Cont Grp Name, Ic Flags, Ic Nostore Flags, Ic Policy Name, Response Media Type, Ingress Interface Client, Origin Res Status, Origin Rsp Len, Srv Flow Flags Rx, Srv Flow Flags Tx, Flow Flags Rx, Flow Flags Tx, App Name, Observation Point Id, Exporting Process Id, Observation Domain Id, Http Trans End Time, Transaction Id, Http Rsp Status, Trans Clt Ipv4 Address, Trans Clt Dst Ipv4 Address, Backend Svr Dst Ipv4 Address, Backend Svr Ipv4 Address, Http Rsp Len, Trans Svr RTT, Trans Clt RTT, Http Req Rcv FB, Http Req Rcv LB, Http Res Rcv FB, Http Res Rcv LB, Http Req Forw FB, Http Req Forw LB, Http Res Forw FB, Http Res Forw LB, Http Req X Forwarded For, Http Domain Name, Http Res Location, Protocol Identifier, Egress Interface, Backend Svr Ipv6 Address, SSL Flags BE, SSL Flags FE, SSL Session IDFE, SSL Session IDBE, SSL Cipher Value FE, SSL Cipher Value BE, SSL Sig Hash Alg BE, SSL Sig Hash Alg FE, SSL Srvr Cert Sig Hash BE, SSL Srvr Cert Sig Hash FE, SSL Clnt Cert Sig Hash FE, SSL Clnt Cert Sig Hash BE, SSL Server Cert Size FE, SSL Server Cert Size BE, SSL Client Cert Size FE, SSL Client Cert Size BE, SSL Err App Name, SSL Err Flag, SSL Handshake Error Msg, Client IP, Virtual Server IP, Connection Chain Id, Connection Chain Hop Count, Trans Clt Tot Rx Oct Cnt, Trans Clt TotTx Oct Cnt, Trans Clt Src Port, Trans Clt Dst Port, Trans Srv Src Port, Trans Srv Dst Port, VLAN Number, Client Mss, Trans Info, Trans Clt Flow End Usec Rx, Trans Clt Flow End Usec Tx, Trans Clt Flow Start Usec Rx, Trans Clt Flow Start Usec Tx, Trans Svr Flow End Usec Rx, Trans Svr Flow End Usec Tx, Trans Svr Flow Start Usec Rx, Trans Svr Flow Start Usec Tx, Trans Svr Tot Rx Oct Cnt, Trans Svr Tot Tx Oct Cnt, Clt Flow Flags Tx, Clt Flow Flags Rx, Trans Clt Ipv6 Address, Trans Clt Dst Ipv6 Address, Subscriber Identifier, SSLi Domain Name, SSLi Domain Category, SSLi Domain Category Group, SSLi Domain Reputation, SSLi Policy Action, SSLi Executed Action, SSLi Reason For Action, SSLi URL Set Matched, SSLi URL Set Private, URL Category, URL Category Group, URL Category Reputation, Responder Action Type, URL Set Matched, URL Set Private, Category Domain Name, Category Domain Source, AAA User Name, VPN Session ID, Tenant Name

  • 指标事件:

    • 虚拟服务器 LB:绑定实体名称、实体名称、Mon 服务绑定、NetScaler Id、表示、架构类型、时间、CPU、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、服务器服务组、服务器 Svc、vServer Cr、vServer Cr、vServer Cr、vServer Cr、vServer LB:速率 Si Tol 请求字节、RATE Si Tol 请求、速率 Si To 请求Tt 响应字节, Rate Si Tod 响应, Rate Si Tt Clt Clb 交易, Rate Si Tt Clb Pkt rcvd, Rate Si Tut Ct Ct Pkt Pkt Pkt 发送, Rate vsvr Tut 点击, Si Cur 客户端, Si Cur Conn 建立, Si Cur 状态, Si Tt 请求字节 Si Tt Lb, Si Tut Clt Tttlb交易, Si Tut Pkt Rcvd, Si Tut Pkt 已发送, Si Tt Tlb 令人沮丧的交易, Si Tut Tlb 容忍交易, Vsvr 活跃 Svcs, Vsvr Tot Tut 命中, Vsvr tot Req Resp 无效丢弃

    • CPU:绑定实体名称、实体名称、星期一服务绑定、NetScaler ID、表示、架构类型、时间、CC CPU 使用 GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、服务器服务组、服务器 Svc Cg、vServer Authn、vServer Cr、vServer Cr、vServer SSL、vServer SSL、vServer 用户

    • 服务器服务组:绑定实体名称、实体名称、星期一服务绑定、NetScaler ID、表示、架构类型、时间、CC CPU 使用率、GSLB 虚拟服务器、接口、内存池、NetScaler、ServerCfg、vServer Authn、vServer Cr、vServer Cr、vServer Cr、vServer SSL、vServer 用户、服务器服务组:RATE Si Tott 请求字节、RATE Si Tot_Rest Tot_ 响应字节、RATE Si Tott CLT Tlb、RATE Si Tott CLT Tlb 事务、RATE Si Tott Clb 交易、RATE Si Totr Tlb 交易、RATE Si Totr Tlb 交易、Rate Si Tot Svr Tlb 交易,Rate Si Tut Tlb 容忍交易, si Cur 状态, Si Tut 请求字节, Si Tut 响应字节, Si Tut 响应, Si Tut Clt Tlb, Si Tut Clb 交易, Si Tt Clb, Si Tt Svr Tlb 交易, Si Tt Svr Tlb 交易, Si Tut Svr Tlb 交易, 令人沮丧的交易,Si Tut Tlb 容忍交易

    • 服务器 SVC CFG:绑定实体名称、实体名称、星期一服务绑定、NetScaler ID、表示、架构类型、时间、CPU 使用、GSLB 服务器、GSLB 虚拟服务器、接口、内存池、NetScaler、vServer Authn、vServer Cr、vServer Cr、vServer Cr、vServer Cr、vServer SSL、虚拟服务器用户、服务器 Svc Cg:RATE Si Tol 请求字节Si Tod 请求, Rate Si Tt 响应字节, Rate Si Tt Tt Tab, Rate Si Tt CLT CLT Tlb 交易, Rate Si Tt Pkt Rcvd, Rate Si Tod Pkt 发送, Rate Si Tod Svr 忙 Er, Rate St Svr Svb, Rate St Svr Svb 交易, Rate St Tod Svb, Rate Toct Svb Rate Si Tut Svr Tlb 交易, Rate SiTut Tlb 令人沮丧的交易, Rate Si Tt Tlb 容忍交易, Si Cur 状态, Si Cur 传输, Si Tod 请求字节, Si Tod 响应字节, Si Tod Clt Tlb, Si Tt Clb, Si Tut Clb 交易, Si Tut pkt Rcvd, Sr Tr Tut Svr Ttfb, Si TutSvr Ttfb 交易,Si Tut Svr Tlb,Si Tt Svr Tlb 交易,Si Tut Tlb 阻碍交易,Si Tut Tttlb 容忍交易

    • NetScaler: Bind Entity Name, Entity Name, Mon Service Binding, NetScaler Id, Representation, Schema Type, Time, GSLB Server, GSLB VServer, Interface, Memory Pool, Server Service Group, Server Svc Cfg, VServer Authn, VServer Cr, VServer Cs, VServer Lb, VServer SSL, VServer User, NetScaler: RATE All Nic Tot Rx Mbits, RATE All Nic Tot Rx Mbits, RATE Dns Tot Queries, RATE Dns Tot Neg Nxdmn Entries,RATE Http Tot Gets, RATE Http Tot Others, RATE Http Tot Posts, RATE Http Tot Requests, RATE Http Tot Requests 1.0, RATE Http Tot Requests 1.1, RATE Http Tot Responses, RATE Http Tot Rx Request Bytes, RATE Http Tot Rx Response Bytes, RATE Ip Tot Rx Mbits, RATE Ip Tot Rx Bytes, RATE Ip Tot Rx Pkts, RATE Ip Tot Tx Mbits, RATE Ip Tot Tx Bytes, RATE Ip Tot Tx Pkts, RATE SSL Tot Dec Bytes, RATE SSL Tot Enc Bytes,RATE SSL Tot SSL Info Session Hits, RATE SSL Tot SSL Info Total Tx Count, RATE Tcp Err Rst, RATE Tcp Tot Client Open, RATE Tcp Tot Server Open, RATE Tcp Tot Rx Bytes, RATE Tcp Tot Rx Pkts, RATE Tcp Tot Syn, RATE Tcp Tot Tx Bytes, RATE Tcp Tot Tx Pkts, RATE Udp Tot Rx Bytes, RATE Udp Tot Rx Pkts, RATE Udp Tot Tx Bytes, RATE Udp Tot Tx Pkts, All Nic Tot Rx Mbits, All Nic Tot Tx Mbits, Cpu Use, Dns Tot Queries, Dns Tot Neg Nxdmn Entries, Http Tot Gets, Http Tot Others, Http Tot Posts, Http Tot Requests, Http Tot Requests1.0, Http Tot Requests1.1, Http Tot Responses, Http Tot Rx Request Bytes, Http Tot Rx Response Bytes, Ip Tot Rx Mbits, Ip Tot Rx Bytes, Ip Tot Rx Pkts, Ip Tot Tx Mbits, Ip Tot Tx Bytes, Ip Tot Tx Pkts, Mem Cur Free size, Mem Cur Free size Actual, Mem Cur Used size, Mem Tot Available, Mgmt Additional Cpu Use, Mgmt Cpu 0 Use, Mgmt Cpu Use, SSL Tot Dec Bytes, SSL Tot Enc Bytes, SSL Tot SSL Info Session Hits, SSL Tot SSL Info Total Tx Count, Sys Cpus, Tcp Cur Client Conn, Tcp Cur Client Conn Closing, Tcp Cur Client Conn Est, Tcp Cur Server Conn, Tcp Cur Server Conn Closing, Tcp Cur Server Conn Est, Tcp Err Rst, Tcp Tot Client Open, Tcp Tot Server Open, Tcp Tot Rx Bytes, Tcp Tot Rx Pkts, Tcp Tot Syn, Tcp Tot Tx Bytes, Tcp Tot Tx Pkts, Udp Tot Rx Bytes, Udp Tot Rx Pkts, Udp Tot Tx Bytes, Udp Tot Tx Pkts

    • 内存池:绑定实体名称、实体名称、星期一服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb vScalb vServer、接口、NetScaler、服务器服务组、服务器 Svc、vServer Cr、vServer Cr、vServer Lb、vServer 用户、内存池: Mem Cr Alloc 大小Mem Err Alloc 失败,Mem Tut 可用

    • 监控服务绑定:绑定实体名称、实体名称、NetScalerID、SchematYpe、时间、CPU、Gslb 服务器、Gslb vScalb vServer、接口、内存池、NetScaler、服务器服务组、服务器 Svc Cg、vServer Cr、vServer Cs、虚拟服务器 Lb、vserver SSL、vServer 用户、周一服务绑定:Rate Mon TobesMon Tut 探针

    • 接口:绑定实体名称、实体名称、Mon 服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、内存池、NetScaler、服务器服务组、服务器 Svc、vServer Cr、虚拟服务器 Cs、虚拟服务器 Lb、虚拟服务器用户、接口:RATE NIC To Rx 字节、ToRx 数据包、RATE NIC Tt Tx 字节、RATE NIC Tt Tx 数据包、NIC Tt Rx 字节、NIC Tt Rx 数据包、NIC Tt Tx 字节、NIC Tt Tx 数据包

    • 虚拟服务器 CS:绑定实体名称、实体名称、星期一服务绑定、NetScaler ID、架构类型、时间、CPU、Gslb 服务器、Gslb 虚拟服务器、内存池、NetScaler、服务器服务组、服务器 Svc Cr、vServer Cr、虚拟服务器 Cs、vServer Cr、vServer Cr、vServer Cr、vServer Cr、vServer Cs、vServer Cr、vServer Cs、vServer Cs、vServer Cs、vServer Cs、vServer Cs、vServer CsSi Tod 请求、Rate Si Tt 响应字节、Rate Si Tt Clt Tlb、Rate Si Tt Clb 交易、Rate Si Tt pkt Rcvd、Rate Si Tod Pkt、Rate Si Tt Pkt 已发送、Rate Si Tt Tlb 容忍交易、R率 Si Tut Tlb 容忍交易、Rate vsvr Tut Si Tt Si Tb 请求字节,SiTt 请求, Si Tt 响应字节, Si Tod 响应, Si Tt Clt Tlb, Si Tt rvd, Si Tut Pkt 已发送, Si Tut Tlb 阻止交易, Si Tod Tab 容忍交易, Vsvr Tot Req Req 无效, Vsvr Tot Req 无效 Resp Resp 无效已丢弃

安全浏览器日志

  • 应用程序帖子:

    • 发布应用程序之前的日志:身份验证、浏览器、更改 ID、已创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

    • 发布应用程序后的日志:身份验证、浏览器、更改 ID、创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

  • 应用程序删除:

    • 发布应用程序之前的日志:身份验证、浏览器、更改 ID、已创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

    • 发布应用程序后的日志:身份验证、浏览器、更改 ID、创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

  • 应用程序更新:

    • 发布应用程序之前的日志:身份验证、浏览器、更改 ID、已创建、客户名称、目标 URL、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、外部白名单、内部白名单、白名单重定向

    • 发布应用程序后的日志:身份验证、浏览器、更改 ID、创建、客户名称、目标、电子标签、网关服务产品 ID、会话 ID、旧版图标、应用程序名称、策略、已发布的应用程序 ID、区域、资源区域 ID、订阅、会话空闲超时、会话空闲超时警告、水印、白名单外部 URL、白名单内部 URL、白名单重定向 URL

  • 权利创建:

    • 创建权利之前的日志:批准、客户 ID、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、开始日期、状态、类型

    • 权利创建后的日志:批准、客户 ID、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、开始日期、状态、类型

  • 权利更新:

    • 权利更新之前的日志:批准、客户 ID、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、开始日期、状态、类型

    • 权利更新后的日志:批准、客户 ID、数据保留天数、结束日期、宽限期天数、会话编号、产品 SKU、数量、序列号、开始日期、状态、类型

  • 会话访问主机:接受主机、客户端 IP、日期时间、主机、会话、用户名

  • 会话连接:

    • 会话连接之前的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

    • 会话连接后的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话启动:

    • 会话启动前的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

    • 会话启动后的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

  • 会话勾号:

    • 会话勾选前的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

    • 会话勾选后的日志:应用程序 ID、应用程序名称、浏览器、已创建、客户 ID、持续时间、会话 ID、IP 地址、上次更新、启动源、用户名

Microsoft Graph 安全性日志

  • 租户 ID

  • 用户 ID

  • 指标编号

  • 指标 UUID

  • 事件时间

  • 创建时间

  • 警报的类别

  • 登录位置

  • 登录 IP

  • 登录类型

  • 用户帐户类型

  • 供应商信息

  • 供应商信息

  • 脆弱状态

  • 漏洞严重性

Microsoft Active Directory 日志

  • 租户 ID

  • 收集时间

  • 类型

  • 目录上下文

  • 身份

  • 用户类型

  • 帐户名称

  • 密码计数不好

  • 城市

  • 公用名

  • 公司

  • 国家/地区

  • 密码到期之前的天数

  • 部门

  • 说明

  • 显示名称

  • 标识名

  • 电子邮件

  • 传真号码

  • 名字

  • 群组类别

  • 组范围

  • 住宅电话

  • 首字母缩写

  • IP 电话

  • 账户是否已启用

  • 账户是否已锁定

  • 安全组是否

  • 姓氏

  • 经理

  • 的成员

  • 移动电话

  • 寻呼机

  • 密码永不过期

  • 实际配送办公室名称

  • 邮局信箱

  • 邮政编码

  • 主组编号

  • 状态

  • 街道地址

  • 标题

  • 用户帐户控制

  • 用户组列表

  • 用户主体名称

  • 工作电话

Citrix Analytics for Performance 日志

  • actionid

  • actionreason

  • actiontype

  • adminfolder

  • agentversion

  • allocationtype

  • applicationid

  • applicationname

  • applicationpath

  • applicationtype

  • applicationversion

  • associateduserfullnames

  • associatedusername

  • associatedusernames

  • associateduserupns

  • authenticationduration

  • autoreconnectcount

  • autoreconnecttype

  • blobcontainer

  • blobendpoint

  • blobpath

  • brokerapplicationchanged

  • brokerapplicationcreated

  • brokerapplicationdeleted

  • brokeringdate

  • brokeringduration

  • brokerloadindex

  • brokerregistrationstarted

  • browsername

  • catalogchangeevent

  • catalogcreatedevent

  • catalogdeletedevent

  • catalogid

  • catalogname

  • catalogsync

  • clientaddress

  • clientname

  • clientplatform

  • clientsessionvalidatedate

  • clientversion

  • collecteddate

  • connectedviahostname

  • connectedviaipaddress

  • connectionid

  • connectioninfo

  • connectionstate

  • connectiontype

  • controllerdnsname

  • cpu

  • cpuindex

  • createddate

  • currentloadindexid

  • currentpowerstate

  • currentregistrationstate

  • currentsessioncount

  • datetime

  • deliverygroupadded

  • deliverygroupchanged

  • deliverygroupdeleted

  • deliverygroupid

  • deliverygroupmaintenancemodechanged

  • deliverygroupname

  • deliverygroupsync

  • deliverytype

  • deregistrationreason

  • desktopgroupdeletedevent

  • desktopgroupid

  • desktopgroupname

  • desktopkind

  • disconnectcode

  • disconnectreason

  • disk

  • diskindex

  • dnsname

  • domainname

  • effectiveloadindex

  • enddate

  • errormessage

  • establishmentdate

  • eventreporteddate

  • eventtime

  • exitcode

  • failurecategory

  • failurecode

  • failuredata

  • failuredate

  • failurereason

  • failuretype

  • faultstate

  • functionallevel

  • gpoenddate

  • gpostartdate

  • hdxenddate

  • hdxstartdate

  • host

  • hostedmachineid

  • hostedmachinename

  • hostingservername

  • hypervisorconnectionchangedevent

  • hypervisorconnectioncreatedevent

  • hypervisorid

  • hypervisorname

  • hypervisorsync

  • icartt

  • icarttms

  • ID

  • idletime

  • instancecount

  • interactiveenddate

  • interactivestartdate

  • ipaddress

  • isassigned

  • isinmaintenancemode

  • ismachinephysical

  • ispendingupdate

  • ispreparing

  • isremotepc

  • isecureica

  • lastderegisteredcode

  • launchedviahostname

  • launchedviaipaddress

  • lifecyclestate

  • logonduration

  • logonenddate

  • logonscriptsenddate

  • logonscriptsstartdate

  • logonstartdate

  • long

  • machineaddedtoDesktopgroupevent

  • machineassignedchanged

  • machinecatalogchangedevent

  • machinecreatedevent

  • machinedeletedevent

  • machinederegistrationevent

  • machinednsname

  • machinefaultstatechangeevent

  • machinehardregistrationevent

  • machineid

  • machinemaintenancemodechangeevent

  • machinename

  • machinepvdstatechanged

  • machineregistrationendedevent

  • machineremovedfromDesktopgroupevent

  • machinerole

  • machinesid

  • machineupdatedevent

  • machinewindowsconnectionsettingchanged

  • memory

  • memoryindex

  • modifieddate

  • network

  • networkindex

  • ostype

  • path

  • percentcpu

  • persistentuserchanges

  • powerstate

  • processname

  • profileloadenddate

  • profileloadstartdate

  • protocol

  • provisioningschemeid

  • provisioningtype

  • publishedname

  • registrationstate

  • serversessionvalidatedate

  • sessioncount

  • sessionend

  • sessionid

  • sessionidlesince

  • sessionindex

  • sessionkey

  • sessionstart

  • sessionstate

  • sessionsupport

  • sessiontype

  • sid

  • siteid

  • sitename

  • startdate

  • totalmemory

  • triggerinterval

  • triggerlevel

  • triggerperiod

  • triggervalue

  • usedmemory

  • userid

  • username

  • usersid

  • vdalogonduration

  • version

  • vmstartenddate

  • vmstartstartdate

  • windowsconnectionsetting