Citrix Analytics for Security

Citrix Virtual Apps and Desktops 和 Citrix DaaS 数据源

应用程序和桌面数据源代表组织中的本地 Citrix Virtual Apps and Desktops 以及 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。

Citrix Analytics for Security 支持这两种产品,并从数据源接收用户事件。本文将向您介绍在这两种产品上启用 Analytics 的必备条件和步骤。

Citrix Analytics for Security 从 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 数据源的以下组件接收用户事件:

  • 用户设备上安装的 Citrix Workspace 应用程序

  • 适用于本地部署的 Citrix Director

  • Citrix 监视器服务

  • Session Recording 服务器

当用户使用虚拟应用程序或虚拟桌面时,将在 Citrix Analytics for Security 中实时接收用户事件。

支持的客户版本

当在用户终端节点上使用受支持的客户端版本时,Citrix Analytics 会收到用户事件。如果用户使用的是任何不受支持的客户端版本,则必须将其客户端升级到以下版本之一:

  • 适用于 Windows 的 Citrix Workspace 应用程序 1907 或更高版本

  • 适用于 Mac 的 Citrix Workspace 应用程序 1910.2 或更高版本

  • 适用于 HTML5 的 Citrix Workspace 2007 或更高版本

  • 适用于 Chrome 的 Citrix Workspace 应用程序 -Chrome 网上应用店中提供的最新版本

  • 适用于 Android 的 Citrix Workspace 应用程序 Google Play 中提供了最新版本

  • 适用于 iOS 的 Citrix Workspace 应用程序 - Apple App Store 中提供的最新版本

  • 适用于 Linux 的 Citrix Workspace 2006 或更高版本

在 Citrix DaaS 上启用分析

必备条件

  • 订阅 Citrix Cloud 上提供的 Citrix DaaS。要了解如何开始使用 Citrix DaaS,请参阅安装和配置

  • 查看 系统要求 部分并确保满足要求。

查看数据源并打开数据处理

Citrix Analytics 会自动发现与您的 Citrix Cloud 帐户关联的 Citrix DaaS。

要查看数据源,请执行以下操作

在顶栏中,单击 设置 > 数据源 > 安全性

应用程序和桌面 - Workspace 应用程序站点卡显示在“数据源”页面上。单 击打开数据处理 以允许 Citrix Analytics 开始处理此数据源的数据。

链接的数据源

查看云站点、用户和接收的事件

站点卡显示应用程序和桌面用户的数量、发现的云站点以及过去一小时(默认时间选择)内收到的事件。还可以选择 1 周 (1 W) 并查看数据。

单击接收的事件数可在 自助搜索 页面上查看事件。

链接的数据源

启用数据处理后,站点卡片可能会显示“未收到数据”状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Analytics 在过去一小时内未收到来自数据源的任何事件。

    没有数据虚拟应用

在本地的 Citrix Virtual Apps and Desktops 上启用分析

Citrix Analytics 从添加到工作区的本地站点和通过 StoreFront 部署访问的站点接收用户事件。

如果您的组织正在使用本地站点,则必须使用以下方法之一来加载站点,以便 Analytics 发现站点:

必备条件

  • 您必须拥有许可证才能使用 Citrix Virtual Apps and Desktops 本地解决方案。要了解如何在本地开始使用 Citrix Virtual Apps and Desktops,请参阅安装和配置

  • 查看 系统要求 部分并确保满足要求。

  • 您的 Delivery Controller 和 Director 在版本 1912 CU2 或更高版本中提供。有关详细信息,请参阅功能兼容性列表

  • 订阅 Citrix Workspace。如果要将站点添加到 Citrix Workspace,则必须需要 Workspace 订阅。

    要购买 Citrix Workspace 订阅,请访问 https://www.citrix.com/products/citrix-workspace/get-started.html 并联系可以为您提供帮助的 Citrix Workspace 专家。

  • 已添加到工作区的站点。Citrix Analytics 会自动发现添加到Citrix Workspace 站点。在继续在 Citrix Analytics 上进行登录之前,将站点添加到 Citrix Workspace 此过程称为 站点聚合

    站点聚合要求您安装 Cloud Connector,配置 NetScaler Gateway STA 服务器以实现与 Workspace 资源的内部和外部连接,然后将站点添加到 Workspace 中。有关站点聚合的详细说明,请参阅聚合工作区中的本地虚拟应用程序和桌面

  • StoreFront 版本。如果您正在为站点使用 StoreFront 部署,请确保 StoreFront 版本为 1906 或更高版本。

  • Citrix Analytics 的站点凭据。在为 Citrix Analytics 的“操作”功能配置站点时,必须为本地站点提供 Citrix 管理员凭据。这些凭证必须具有以下权限:

    1. Citrix 管理员角色:完全管理员

    2. Active Directory:域用户

  • Citrix Director 的服务器 URL。Citrix Analytics 使用此信息访问可用的实时数据,以便对站点中的用户行为进行深入分析。

  • Delivery Controller。在为站点配置高级 Citrix Analytics 功能(例如策略和操作)的过程中,必须在本地站点的 Delivery Controller 上安装策略代理。此代理使您的站点能够通过端口 443 (HTTPS) 与 Citrix Analytics 进行通信。

    确保托管代理的 Delivery Controller 满足以下要求:

    • 支持 PowerShell 3.0 或更高版本。

    • 允许 TCP 端口 443 (HTTPS) 上的出站连接。

使用 Workspace 上载 Citrix Virtual Apps and Desktops 本地站点

已添加到 Citrix Workspace 的站点

Citrix Analytics 会自动发现已添加到 Citrix Workspace 的本地站点,并将其显示在数据源站点卡片上。

要查看数据源,请执行以下操作:

在顶栏中,单击 设置 > 数据源 > 安全性

应用程序和桌面”站点卡显示添加到 Workspace 的站点数量以及连接到这些站点的用户。单击站点计数以查看发现的站点。单击用户计数可在“用户”页面上查看发现的 用户

链接的数据源

未添加到 Citrix Workspace 的站点

如果您尚未将本地站点添加到 Workspace,Analytics 将无法发现您的站点。站点卡片显示 0 个已发现的站点。

要将站点添加到工作区,请执行以下操作:

  1. 单击站点卡片上的 +。

    数据源

  2. 在“Workspace 配置”页面上,单击 +添加站点

    Workspace

  3. 按照屏幕上的说明添加站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  4. 添加站点后,重新登录到 Citrix Analytics 并刷新“数据源”页面以在站点卡片上查看最近添加的站点。

打开数据处理并查看接收的事件

要允许 Analytics 开始处理已发现站点的数据,请单击站点卡片上的“打开数据处理”,然后按照屏幕上的提示进行操作。

如果您有多个站点添加到同一个工作区,Analytics 将处理并存储工作区中所有站点的数据。在所有网站上成功启用 Analytics 后,您会收到一条成功消息。

成功启用分析

站点卡片显示最近一小时内收到的事件,这是默认的时间选择。还可以选择 1 周 (1 W) 并查看数据。单击接收的事件数可在相应的 自助搜索 页面上查看事件。

启用数据处理后,站点卡片可能会显示“未收到数据”状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未更改,请刷新数据源页面。

  2. Analytics 在过去一小时内未收到来自数据源的任何事件。

    没有数据虚拟应用

在站点上配置策略代理

当发现的站点上 未安装策略代理时,站点卡会显示“策略配置 未完成”消息。策略代理使您能够对从您的站点接收到的用户事件应用 策略和操作

注意

只有配置策略时才需要策略代理,在从站点传输数据时不具备任何角色。站点载入后,无论是否安装了策略代理,Citrix Analytics 都会接收数据。

连接要求:

  • 如果在 Citrix 环境中使用代理服务器,请确保满足以下连接要求:

    • 代理服务器必须使用基本的身份验证方法。

    • 代理服务器必须在不作任何更改的情况下转发策略代理的 HTTPS 或 HTTP 请求。

    • https://manage-disc.citrix.com 地址必须是可访问的。访问地址时不得出现任何代理错误。

      注意

      但是,通过 Web 浏览器访问地址时,您可能会收到页面不安全或连接不是私人警告消息。你可以继续发出警告来查看页面。该页面不包含任何要显示的信息。策略代理使用此地址连接到 Citrix 环境中的应用程序服务器。

    • 策略代理使用为安装策略代理的计算机定义的代理配置详细信息。确保 Web 浏览器和计算机的代理配置详细信息相同。

  • 如果要在其上安装策略代理的计算机位于防火墙之后,请在防火墙例外列表中添加以下地址。要在计算机上的策略代理与 Citrix 环境中的应用程序服务器之间建立连接,需要这些地址:

    • https://smart.cloud.com

    • https://rttf.citrix.com

    • https://citrixworkspacesapi.net

    • https://ctxsym.citrix.com

    • https://manage-disc.citrix.com

    • 13.82.89.73

    • 40.87.65.119

    • 52.168.86.226

    • 13.92.86.28

要安装和配置策略代理:

  1. 单击 点卡片上的“站点”或“策略配置未完成”以查看“已发现的站 点”页以安装策略代理。

    继续设置

  2. 单击显示“策略配置未完成”消息的站点。

    发现的代理

  3. 单击继续。此时将显示 安装和配置 Analytics 策略代理 向导。

    安装代理

  4. 单击 下载代理 并保存策略代理程序包。在站点中的一个交付控制器上安装策略代理。为了获得高可用性和可靠性,Citrix 建议您在每个站点上安装多个策略代理。

    注意:请

    确保将浏览器设置配置为不阻止弹出窗口,否则策略代理可能无法下载到系统。

    下载代理

  5. 安装完成后,单击“连接到已安装的代理”。代理向 Citrix Analytics 注册您的站点。此过程可能需要几分钟时间。

  6. 输入站点管理员帐户的用户名和密码,然后单击“下一步”。Citrix Analytics 会验证您的输入内容。

    控制器凭证

  7. 输入站点的 Director URL,然后单击“下一步”。

    提供 Director URL

  8. 查看配置摘要,验证您的站点是否可用于 Citrix Analytics,并且策略代理处于联机状态。单击“完成”关闭向导。

    评论摘要

站点设置已成功完成。

添加站点

如果要向 Workspace 添加另一个本地站点,可以通过 Analytics 进行添加:

  1. 在站点卡上,单击站点数以查看“已 发现的站点”页面。

    选址

  2. 在“发现的站点”页面上,单击 + 向 Workspace 添加更多 Virtual Apps and Desktops 站点。

    多个站点

  3. 在“Workspace 配置”页面上,单击 +添加站点

    Workspace

  4. 按照屏幕上的说明添加站点。有关更多信息,请参阅 聚合工作区中的本地虚拟应用程序和桌面

  5. 添加站点后,请转到 Citrix Analytics 并刷新“数据源”页面以查看站点卡上最近添加的站点。

使用 StoreFront 载入 Citrix Virtual Apps and Desktops 本地站点

有关必备条件和入门步骤的信息,请参阅 Citrix Analytics 平台文档中的 Citrix Virtual Apps and Desktops 数据源 文章。

连接到适用于本地站点的 Citrix Director

Citrix Director 是适用于 Citrix Virtual Apps and Desktops 的监视和故障排除控制台。您可以使用 Director 为 Citrix Analytics for Security (Security Analytics). 配置本地站点。配置站点后,Director 会将监视事件发送到 Security Analytics。

如果您使用的是 Citrix DaaS,Citrix Monitor 服务会将事件从您的云站点发送到 Security Analytics。

在同时进行云和本地部署的混合环境中,Security Analytics 会接收来自 Citrix Monitor 服务和 Citrix Director 上载站点的事件。

先决条件和配置步骤

备注

  • 目前,Director 用户界面显示与 Citrix Analytics for Performance (Performance Analytics) 相关的配置步骤。这些配置步骤也适用于 Citrix Analytics for Security (Security Analytics)。如果您拥有 Security Analytics 的有效 Citrix Cloud 授权,则可以按照以下步骤连接到 Citrix Director。

  • 如果您的 Citrix Cloud 帐户具有 Security Analytics 和 Performance Analytics 的有效授权,并且您已经为站点配置了 Performance Analytics,则无需再次为 Security Analytics 配置 Director。

有关必备条件和配置步骤的信息,请参阅 Citrix Analytics for Performance 文档

查看已连接的站点和接收的事件

  1. 在 Citrix Analytics 中,转到“数 据源”页面。

  2. 单击安全选项卡。

  3. 在“应用程序和桌面-监视”站点卡上,您可以查看本地站点或云站点(以适用者为准)。您还可以查看从站点接收的事件。

    连接的监视站点

    备注

    • 首次在 Director 上配置本地站点时,来自该站点的事件可能需要一些时间(大约一个小时)才能得到处理,从而导致连接的站点在 应用程序和桌面监视 站点卡上的显示延迟。

    • 在监视站点卡片上,默认情况下启用监视器服务或 Director 数据源的数据处理。您还可以根据需要关闭数据处理。但是,建议继续进行数据处理,以便从 Security Analytics 中获得最大收益。

  4. 单击这些站点以查看详细信息。

    监视站点详情

连接到会话录制部署

Session Recording 允许您在 Citrix Virtual Apps and Desktops 以及 Citrix DaaS 中录制任何用户会话的屏幕活动。您可以将 Session Recording 服务器配置为将用户事件发送给 Citrix Analytics for Security。处理用户事件以提供有关用户危险行为的切实可行的见解。

必备条件

在开始之前,请确保执行以下操作:

  • 您的 Session Recording 服务器和 VDA 代理必须为 2103 或更高版本。

  • Session Recording 服务器必须能够连接到以下地址:

  • Session Recording 部署必须为出站 Internet 连接打开端口 443。网络上的任何代理服务器都必须允许与 Citrix Analytics for Security 进行此通信。

  • 如果您使用的是 Citrix Virtual Apps and Desktops 7 1912 LTSR,则支持的会话录制版本为 2103 或更高版本。

配置 Session Recording 服务器

  1. 应用程序和桌面 - Session Recording 站点卡上,单击连接 Session Recording 服务器

    Session Recording 连接

  2. Connect Session Recording Server(连接 Session Recording Server)页面上,查看核对清单,然后选择所有必须满足的要求。如果未选择必须满足的要求,则会禁用 Download File(下载文件)选项。

    会话录制清单

  3. 如果您的网络中有代理服务器,请在 Session Recording 服务器的 SsRecStorageManager.exe.config 文件中输入代理地址。

    配置文件位于 <Session Recording Server installation path>\bin\SsRecStorageManager.exe.config

    例如: C:\Program Files\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe.config

    配置文件路径

  4. 单击下载文件以下载 SessionRecordingConfigurationFile.json 文件。

    注意

    该文件包含敏感信息。请将该文件保存在安全的位置。

  5. 请将该文件复制到要连接到 Citrix Analytics for Security 的 Session Recording Server 。

  6. 如果您的部署中有多个 Session Recording Server ,则必须在要连接的每台服务器中复制该文件,然后按照步骤配置每台服务器。

  7. 在 Session Recording Server 上,运行以下命令以导入设置:

    <Session Recording Server installation path>\bin\SsRecUtils.exe -Import_SRCasConfigurations <configuration file path>
    

    例如:

    C:\Program Files\Citrix\SessionRecording\Server\bin\ SsRecUtils.exe -Import_SRCasConfigurations C:\Users\administrator \Downloads\SessionRecordingConfigurationFile.json

  8. 重新启动以下服务:

    • Citrix Session Recording Analytics Service

    • Citrix Session Recording Storage Manager

  9. 配置成功后,转到 Citrix Analytics for Security 查看连接的 Session Recording Server 。单击打开数据处理以允许 Citrix Analytics for Security 处理数据。

    注意

    如果使用的是 Session Recording 服务器版本 2103 或 2104,则必须首先启动应用程序和桌面会话,才能在 Citrix Analytics for Security 上查看连接的 Session Recording 服务器。否则,连接的 Session Recording 服务器将无法显示。此要求不适用于 Session Recording Server 版本 2106 及更高版本。

查看已连接的部署

仅当配置成功时,服务器部署才会显示在 Session Recording 站点卡片上。站点卡片显示已与 Citrix Analytics for Security 建立连接的已配置服务器的数量。

如果即使在配置成功之后仍看不到 Session Recording 服务器,请参阅 故障排除一文

会话录制部署

在站点卡片上,单击部署数量以查看与 Citrix Analytics for Security 连接的服务器组。例如,单击 1 Session Recording Deployment(1 Session Recording 部署)可查看连接的一个或多个服务器组。每个 Session Recording Server 都由一个基本 URL 和一个 ServerGroupID 表示。

SR 部署详细信息

查看收到的事件

站点卡片显示连接的 Session Recording 部署以及过去一小时(默认时间选择)从这些部署接收的事件。还可以选择 1 周并查看数据。单击接收的事件数量可在自助搜索页面上查看事件。

启用数据处理后,站点卡片可能会显示 No data received(未收到数据)状态。出现此状态有两种原因:

  1. 如果您是首次打开数据处理,事件将需要一些时间才能到达 Citrix Analytics 中的事件中心。当 Citrix Analytics 收到事件时,状态将更改为 Data processing on(数据处理已启用)。如果状态在一段时间后仍未发生变化,请刷新“Data Sources”(数据源)页面。

  2. Citrix Analytics 在过去一小时内未收到来自数据源的任何事件。

添加 Session Recording Server

要添加 Session Recording Server ,请执行以下操作之一:

  • Connected Session Recording Deployments(已连接的 Session Recording 部署)页面上,单击 Connect to Session recording server(连接到 Session Recording Server)。

    连接部署

  • 应用程序和桌面 - Session Recording 站点卡上,单击垂直省略号 (⋮),然后选择连接 Session Recording 服务器

    Session Recording 连接

按照步骤下载配置文件并配置 Session Recording Server 。

删除 Session Recording Server

要删除 Session Recording Server ,请执行以下操作:

  1. 在 Citrix Analytics for Security 上,转到 Connected Session Recording Deployments(已连接的 Session Recording 部署)页面,然后选择要删除的服务器部署。

  2. 单击垂直省略号 (⋮),然后选择 Remove Session Recording server from Analytics(从 Analytics 中选择删除 Session Recording Server )。

    删除 Session Recording Server

  3. 在已从 Citrix Analytics 中删除的 Session Recording Server 上,运行以下命令:

    <Session Recording Server installation path>\bin\SsRecUtils.exe -Remove_SRCasConfigurations
    

    例如:

    C:\Program Files\Citrix\SessionRecording\Server\bin\ SsRecUtils.exe -Remove_SRCasConfigurations

为 Citrix DaaS 启用打印遥测

当用户在 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)中执行打印作业时,您可以在 Citrix Analytics for Security 中查看与这些打印作业相关的日志。这些打印日志提供有关打印活动的重要信息,例如打印机名称、打印文件名和打印份数总数。

在 Citrix Analytics for Security 中,在“搜索”页面上,您可以选择 应用程序和桌面 数据源来查看打印日志。作为安全管理员,您可以使用这些日志对用户进行风险分析和调查。

默认情况下,打印遥测功能(即收集和传输这些打印日志)在 Virtual Delivery Agent (VDA) 上处于禁用状态。

要启用打印遥测和将打印日志传输到 Citrix Analytics for Security,您需要创建注册表项并配置 VDA。

重要

信息此配置仅适用于 Windows VDA。

必备条件

  • 您的 VDA 版本必须与 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的基准版本相同。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件

  • 您必须具有完全访问权限才能执行注册表项更新。

在电源管理的计算机中启用打印遥测

电源管理的计算机包括虚拟机或刀片 PC,其情景如下:

  • 现有主映像
  • 新的主映像

为 VDA 版本低于 Citrix Virtual Apps and Desktops 7 2203 LTSR 的现有主映像启用打印遥测

  1. 登录主 VDA 计算机并创建当前状态的快照。

  2. 通过添加以下注册表项启用打印服务日志:

    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关注册表项的更多信息,请参阅 创建注册表项

  3. 将 VDA 升级到 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的基准版本。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件

  4. 关闭计算机电源并拍摄最新状态的快照。

  5. 登录 Citrix Cloud。选择计算机目录,单击 更新计算机,然后按照屏幕上的说明进行操作。有关详细信息,请参阅创建计算机目录

  6. 等待 24 小时。配置会在 24 小时内自动推送。如果配置已经完成,则无需等待。

  7. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

为 VDA 版本与 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本相同的现有主映像启用打印遥测

选项 1:在主 VDA 中添加打印注册表项并更新虚拟桌面。

  1. 登录主 VDA 计算机并创建当前状态的快照。
  2. 通过添加以下注册表项启用打印服务日志:
    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关注册表项的更多信息,请参阅 创建注册表项

  3. 关闭 VDA 计算机的电源并拍摄最新状态的快照。
  4. 登录 Citrix Cloud,选择计算机目录,单击“更新计算机”,然后按照屏幕上的说明进行操作。
  5. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

选项 2:将虚拟桌面移动到组织单位 (OU) 并使用 GPO 创建注册表项

注意

选项 2 方法仅适用于静态计算机。对于随机计算机,必须遵循选项 1 方法(如上所述)。

  1. 登录到域控制器计算机。
  2. 通过添加以下注册表项启用打印服务日志:

    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关注册表项的更多信息,请参阅 创建注册表项

注意

在任何域控制器中,创建注册表项都是一次性任务。

  1. 从 Citrix Cloud 重新启动 VDA 计算机。
  2. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

在新主映像中启用打印遥测

  1. 使用虚拟机管理程序的管理工具创建虚拟机 (VM)。此 VM 被视为主 VDA。
  2. 确保已将主 VDA 添加到所需的域中。
  3. 登录主 VDA 并通过添加以下注册表项启用打印服务日志:
    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关更多信息,请参阅 创建注册表项

  4. 安装适用于 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的 VDA 版本。安装 VDA 时,选择主映像选项。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件
  5. 确保已将托管连接添加到 Citrix Cloud。有关详细信息,请参阅创建计算机目录
  6. 使用主映像创建计算机目录。有关详细信息,请参阅创建计算机目录
  7. 创建交付组并添加计算机目录。有关详细信息,请参阅创建交付组
  8. 等待 24 小时。组策略引擎会在 24 小时内自动推送配置。
  9. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

在未进行电源管理的计算机中启用打印遥测

非电源管理的计算机包括具有以下情形的物理计算机:

  • 现有物理 VDA
  • 新的物理 VDA

为 VDA 版本低于 Citrix Virtual Apps and Desktops 7 2203 LTSR 的现有物理 VDA 启用打印遥测

  1. 通过添加以下注册表项启用打印服务日志:

    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关更多信息,请参阅 创建注册表项

  2. 将 VDA 升级到 Citrix Virtual Apps and Desktops 7 2203 LTSR 或更高版本的基准版本。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2203 基准组件

  3. 等待 24 小时。配置会在 24 小时内自动推送。如果配置已经完成,则无需等待。

  4. 使用 Citrix Workspace 应用程序启动桌面会话。使用客户端打印机触发的所有打印事件都在 Citrix Analytics for Security 的搜索页面上可见。

为新的物理 VDA 启用打印遥测

  1. 创建物理 VM 并将域更改为所需的域名。
  2. 登录到 VM 并通过添加以下注册表项启用打印服务日志:
    • Microsoft-Windows-PrintService/Operational
    • ShowJobTitleInEventLogs

    有关更多信息,请参阅 创建注册表项

  3. 安装适用于 Citrix Virtual Apps and Desktops 7 2203 LTSR 版本或更高版本的 VDA 版本。安装 VDA 时,选择“Remote PC Access”选项。
  4. 创建计算机目录。有关详细信息,请参阅创建计算机目录

    注意

    必须将计算机管理选为 非电源管理的计算机(例如,物理机)

  5. 创建交付组并添加计算机目录。有关详细信息,请参阅创建交付组

  6. 等待 24 小时。 组策略引擎会在 24 小时内自动推送配置。

  7. 使用 Citrix Workspace 应用程序启动桌面会话。所有使用客户端打印机触发的打印事件都在 Citrix Analytics for Security 的“搜索”页面中可见。

创建注册表项

在 VDA 中,执行以下选项之一:

  • 手动创建注册表项。此方法适用于主 VDA,且部署中的物理 VDA 数量较少。

  • 使用组策略对象 (GPO) 创建注册表项。如果部署的物理 VDA 计算机数量较多,并且需要在所有计算机中启用打印遥测,请使用此方法。

注册表项详情

SL 注册表项名称 密钥的用途 注册表详情
1 Microsoft-Windows-PrintService/Operational 在事件查看器中启用打印服务日志。 注册表路径:HKLM:\SYSTEM\CurrentControlSet\Services\EventLog
2 ShowJobTitleInEventLogs 控制打印事件日志中是否包含打印作业名称,如果不包含,则考虑使用通用作业名称“打印文档”。 注册表配置单元:HKEY_LOCAL_MACHINE
      注册表路径:Software\Policies\Microsoft\Windows NT\Printers
      值名称:ShowJobTitleInEventLogs
      值类型:REG_DWORD
      :1

在 VDA 计算机中手动创建注册表项

使用此方法在 VDA 主映像中创建注册表项。将密钥添加到主映像有助于保持使用主映像创建的所有类型的 VDA 的密钥持久性。

  1. 登录 VDA 主计算机。
  2. 打开运行并键入注册表编辑器以打开 Windows 注册表。
  3. 前往位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  4. 右键单击 EventLog,然后选择 新建 > 密钥

    新密钥

  5. 创建名为 Microsoft-Windows-PrintService/Operational 的键此键启用打印服务日志。

    注册表项名称

  6. 前往位置 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers

    注意

    如果“打印机”文件夹不可用,请在 Windows NT 文件夹中创建名为“打印机”的密钥。

    打印机

  7. 右键单击打印机文件夹,然后选择新建 > DWORD (32 位)值

    新的键值

  8. 创建一个名为 ShowJobTitleInEventLogs 的值。

    打印机值名称

  9. 右键单击 ShowJobTitleInEventLogs,然后选择修改。将值数据输入为 1,然后单击“确定”

    修改数据值

使用 GPO 在多个 VDA 中创建注册表项

此方法仅适用于持久性 VDA,并且需要在创建注册表项后重新启动 VDA。持久 VDA 是指在重新启动后保持其状态的计算机。用户的数据在重启后不会丢失。

使用注册表项创建注册表 GPO

  1. 打开“组策略管理”,然后右键单击组策略对象

    组策略对象

  2. 在“新建 GPO”窗口中,在以下字段中输入值:

    • 名称:启用打印跟踪
    • 源启动器 GPO:(无)

    新 gpo

  3. 选择确定
  4. 右键单击已创建的启用打印跟踪对象,然后选择编辑

    启用 打印跟踪

  5. 计算机配置列表中,选择首选项 > Windows 设置

    Windows 设置

  6. 右键单击 注册表,选择 新建 > 注册表项。输入以下属性以启用打印日志:

    • 操作:更新
    • 注册表配置单元:HKEY_LOCAL_MACHINE
    • 关键路径:SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-PrintService/Operational

    新的注册表项

  7. 选择应用,然后选择确定

  8. 再次右键单击注册表,选择新建 > 注册表项。输入以下属性以启用打印作业名称:

    • 操作:更新
    • 注册表配置单元:HKEY_LOCAL_MACHINE
    • 密钥路径:SOFTWARE\Policies\Microsoft\Windows NT\Printers
    • 值名称:ShowJobTitleInEventLogs
    • 值类型:REG_DWORD
    • 值数据:1
    • 基数:十进制

    注册表属性

为组织单位启用打印跟踪

  1. 打开 组策略管理 并选择域(例如- xd.local)或 OU(如果 VDA 是其中的一部分)(例如,VDA-OU)。

  2. 右键单击域 (xd.local) 或 OU (VDA-OU),然后选择 链接现有 GPO

    链接现有 GPO

  3. 选择 GPO 对话框中,选择“启用打印跟踪”并选择确定

    启用打印跟踪 gpo

  4. 验证启用打印跟踪 GPO 是否已链接到 OU。

    启用打印跟踪 gpo 链接

注意

  • 重新启动 VDA 时,队列中的所有事件都将丢失,并且在 Citrix Analytics 中将不可用。
  • 此重新启动对单个会话 VDA 的影响较小,因为在给定时间只能有一个会话处于活动状态,因此事件数量会减少。
  • 此重新启动对多会话 VDA 的影响很大,因为所有活动会话将在重新启动期间终止,队列中的事件将丢失。

为 Citrix DaaS 启用剪贴板遥测

注意

此功能处于预览状态。

Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)允许用户执行剪贴板操作,相关日志可以在 Citrix Analytics for Security 中查看。这些剪贴板日志提供有价值的信息,例如 VDA 名称、剪贴板大小、剪贴板格式类型、客户端 IP、剪贴板操作、剪贴板操作方向以及是否允许剪贴板操作。

作为安全管理员,您可以通过在 Citrix Analytics for Security 的“搜索”页面上选择应用程序和桌面数据源,使用这些日志进行风险分析和调查。

注意

  • 默认情况下,剪贴板遥测功能(收集和传输这些剪贴板日志)在 Virtual Delivery Agent (VDA) 上处于禁用状态。
  • 此配置仅适用于 Windows VDA。

必备条件

  • 要启用剪贴板遥测并将剪贴板日志传输到 Citrix Analytics for Security,您需要创建注册表项并相应地配置 VDA。
  • 您的 VDA 版本必须与 Citrix Virtual Apps and Desktops 7 2212 或更高版本的基准版本相同。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2212
  • 您必须具有完全访问权限才能执行注册表项更新。
  • 确保 Web Studio 策略页面上的客户端剪贴板重定向设置未配置为禁止状态。

在电源管理的计算机中启用剪贴板遥测

电源管理的计算机包括虚拟机或刀片 PC,其情景如下:

  • 现有主映像
  • 新的主映像

为 VDA 版本低于 Citrix Virtual Apps and Desktops 7 2212 的现有主映像启用剪贴板遥测

  1. 登录主 VDA 计算机并创建当前状态的快照。
  2. 通过添加以下注册表项启用剪贴板服务日志:
    • CASDataCollection

    有关注册表项的更多信息,请参阅 创建注册表项

  3. 将 VDA 升级到 Citrix Virtual Apps and Desktops 7 2212 或更高版本的基准版本。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2212
  4. 关闭计算机电源并拍摄最新状态的快照。
  5. 登录 Citrix Cloud > 选择计算机目录 > 单击“更新计算机”,然后按照屏幕上的说明进行操作。有关详细信息,请参阅创建计算机目录
  6. 使用 Citrix Workspace 应用程序启动桌面会话。所有触发的剪贴板事件都在 Citrix Analytics for Security 的搜索页面上可见。

对现有主映像启用剪贴板遥测,其中 VDA 版本与 Citrix Virtual Apps and Desktops 7 2212 或更高版本相同

有两个选项可用于为现有主映像启用剪贴板遥测:

选项 1:在主 VDA 中添加剪贴板注册表项并更新虚拟桌面。

  1. 登录主 VDA 计算机并创建当前状态的快照。
  2. 通过添加以下注册表项来启用剪贴板服务日志:
    • CASDataCollection

    有关注册表项的更多信息,请参阅 创建注册表项

  3. 关闭 VDA 计算机的电源并拍摄最新状态的快照。
  4. 登录 Citrix Cloud,选择计算机目录,单击 更新计算机,然后按照屏幕上的说明进行操作。
  5. 使用 Citrix Workspace 应用程序启动桌面会话。所有触发的剪贴板事件都在 Citrix Analytics for Security 的搜索页面上可见。

选项 2:将虚拟桌面移至组织单位 (OU) 并使用 GPO 创建注册表项。

注意

  • 选项 2 方法仅适用于静态计算机。对于随机计算机,您必须遵循选项 1 方法(如上所述)。
  • 在任何域控制器中,创建注册表项都是一次性任务。

使用 Citrix Workspace 应用程序启动桌面会话。所有触发的剪贴板事件都在 Citrix Analytics for Security 的搜索页面上可见。

在新主映像中启用剪贴板遥测

  1. 使用虚拟机管理程序的管理工具创建虚拟机 (VM)。此 VM 被视为主 VDA。
  2. 确保已将主 VDA 添加到所需的域中。
  3. 登录到主 VDA 并通过添加以下注册表项来启用剪贴板服务日志:
    • CASDataCollection

    有关更多信息,请参阅 创建注册表项

  4. 安装适用于 Citrix Virtual Apps and Desktops 7 2212 或更高版本的 VDA 版本。安装 VDA 时,选择 主映像 选项。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2212
  5. 确保已将托管连接添加到 Citrix Cloud。有关详细信息,请参阅创建计算机目录
  6. 使用主映像创建计算机目录。有关详细信息,请参阅创建计算机目录
  7. 创建交付组并添加计算机目录。有关详细信息,请参阅创建交付组
  8. 使用 Citrix Workspace 应用程序启动桌面会话。所有触发的剪贴板事件都在 Citrix Analytics for Security 的搜索页面上可见。

在未受电源管理的计算机上启用剪贴板遥测

非电源管理的计算机包括具有以下情形的物理计算机:

  • 现有物理 VDA
  • 新的物理 VDA

为 VDA 版本低于 Citrix Virtual Apps and Desktops 7 2212 的现有物理 VDA 启用剪贴板遥测

  1. 通过添加以下注册表项启用剪贴板服务日志:
    • CASDataCollection

    有关更多信息,请参阅 创建注册表项

  2. 将 VDA 升级到 Citrix Virtual Apps and Desktops 7 2212 或更高版本的基准版本。有关详细信息,请参阅 Citrix Virtual Apps and Desktops 7 2212
  3. 使用 Citrix Workspace 应用程序启动桌面会话。所有触发的剪贴板事件都在 Citrix Analytics for Security 的搜索页面上可见。

为新的物理 VDA 启用剪贴板遥测

  1. 创建物理 VM 并将域更改为所需的域名。
  2. 登录 VM 并通过添加以下注册表项来启用剪贴板服务日志:
    • CASDataCollection

    有关更多信息,请参阅 创建注册表项

  3. 安装适用于 Citrix Virtual Apps and Desktops 7 2212 版本或更高版本的 VDA 版本。安装 VDA 时,选择“Remote PC Access”选项。
  4. 创建计算机目录。有关详细信息,请参阅创建计算机目录

    注意

    必须将计算机管理选为 非电源管理的计算机(例如,物理机)

  5. 创建交付组并添加计算机目录。有关详细信息,请参阅创建交付组
  6. 使用 Citrix Workspace 应用程序启动桌面会话。所有触发的剪贴板事件都在 Citrix Analytics for Security 的搜索页面中可见。

创建注册表项

在 VDA 中,执行以下选项之一:

  • 手动创建注册表项。此方法适用于主 VDA,且部署中的物理 VDA 数量较少。
  • 使用组策略对象 (GPO) 创建注册表项。当您的部署中有更多物理 VDA 计算机并且需要在所有计算机中启用剪贴板遥测时,请使用此方法。

以下是注册表项的详细信息:

SL 注册表项名称 密钥的用途 注册表详情
1 CASDataCollection 在 VDA 中启用剪贴板日志。 注册表路径:HKLM\SOFTWARE\Citrix\Clipboard

在 VDA 计算机中手动创建注册表项

使用此方法在 VDA 主映像中创建注册表项。将密钥添加到主映像有助于保持使用主映像创建的所有类型的 VDA 的密钥持久性。

  1. 登录 VDA 主计算机。
  2. 打开运行并键入注册表编辑器以打开 Windows 注册表。
  3. 前往位置 HKLM\SOFTWARE\Citrix
  4. 右键单击 Citrix,然后选择新建 > 密钥

    剪贴板新注册表项

  5. 创建名为 Clipboard 的注册表项。

    剪贴板注册表项

  6. 右键单击剪贴板并选择“新建”>“DWORD(32 位)值”。

    剪贴板 DWORD 值

  7. 创建一个名为 CASDataCollection 的值。

    剪贴板值名称

  8. 右键单击 CASDataCollection 并选择修改。将值数据输入为 1,然后单击“确定”

修改剪贴板值

使用 GPO 在多个 VDA 中创建注册表项

此方法仅适用于持久性 VDA,并且需要在创建注册表项后重新启动 VDA。持久 VDA 是指在重新启动后保持其状态的计算机。用户的数据在重启后不会丢失。

使用注册表项创建注册表 GPO:

  1. 登录到域控制器计算机。
  2. 打开“组策略管理”,然后右键单击组策略对象

    剪贴板组策略对象

  3. 在新建 GPO 窗口的以下字段中输入值:
    • 名称:启用剪贴板跟踪
    • 源启动器 GPO:(无)

    剪贴板新的 GPO 窗口值

  4. 选择 *8确定**。
  5. 右键单击您创建的“启用剪贴板跟踪”对象,然后选择“编辑”。

    剪贴板轨迹编辑

  6. 计算机配置列表中,选择首选项 > Windows 设置

    剪贴板窗口设置

  7. 右键单击 注册表,选择 新建 > 注册表项。输入以下属性以启用剪贴板日志:

    • 操作:更新
    • 注册表配置单元:HKEY_LOCAL_MACHINE
    • 注册表项路径:SOFTWARE\Citrix\Clipboard
    • 值名称:CASDataCollection
    • 值类型:REG_DWORD
    • 值数据:1
    • 基数:十六进制

    剪贴板注册表项

为组织单位启用剪贴板跟踪

  1. 打开组策略管理并选择域(例如 - xd.local)或 OU(如果 VDA 是其中的一部分)(例如 – CAS-S)。
  2. 右键单击域 (xd.local) 或 OU (CAS-S),然后选择链接现有 GPO。在“选择 GPO”对话框中,选择“启用剪贴板跟踪”,然后选择“确定”。

    剪贴板链接现有 GPO

  3. 验证启用剪贴板跟踪 GPO 是否已链接到 OU。

    启用剪贴板跟踪 GPO

打开或关闭数据源上的数据处理

您可以随时停止特定数据源(Director 和 Workspace 应用程序)的数据处理。在数据源站点卡片上,单击垂直省略号 (⋮) > 关闭数据处理。Citrix Analytics 将停止处理该数据源的数据。也可以从“应用程序和桌面”站点卡停止数据处理。此选项适用于数据源 Director 和 Workspace 应用程序。

要再次启用数据处理,请单击“打开数据处理”。