面向网关的自助搜索
使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。当用户通过 Citrix Gateway 访问其网络资源(例如文件服务器、应用程序、网站)时,将为每个用户连接生成事件。用户事件的一些示例包括身份验证阶段、授权类型和 VPN 会话代码。Citrix Analytics for Security 接收这些事件并将其显示在自助搜索页面上。您可以查看用户及其访问详细信息。
有关搜索功能的详细信息,请参阅 自助搜索。
选择 Gateway 数据源
要查看网关事件,请从列表中选择 网关 。默认情况下,自助服务页面显示最近一天的事件。您还可以选择要查看事件的时间段。
注意
或者,您可以从 “ 安全 ” > “ 用户 ” > “访问 摘要” 控制板访问 “自助搜索网关” 页面。在成功登录的情况下,您可以通过状态码访问数据。有关更多信息,请参阅 “ 访问摘要 ” 仪表板。
使用方面过滤事件
这些方面是根据从数据源接收到的事件进行分类的。使用以下方面过滤事件:
-
身份验证阶段-根据客户端身份验证的不同阶段(如主、辅助和第三阶段)搜索事件。
-
身份验证类型-根据客户端身份验证类型搜索事件,例如本地、RADIUS、LDAP、TACACS、客户端证书身份验证(包括智能卡身份验证)。
-
设备代理-基于 iPhone、iPad、Windows Mobile 等客户端设备搜索事件。
-
记录类型-根据 VPN 记录的类型搜索事件。以下 VPN 记录类型可用:
记录类型 说明 VPN_AI 筛选与验证相关的用户事件。 VPN_IF 筛选与 ICA 文件相关的用户事件。 VPN_ST 筛选与会话注销相关的用户事件。 -
浏览器 - 基于浏览器(例如 Internet Explorer、Chrome、Firefox、Safari)搜索事件。
-
操作系统-基于客户端操作系统(如 Windows、Mac、Linux、Android、iOS)搜索事件。
-
状态代码-根据 VPN 状态代码搜索事件,例如 SSL 重定向响应失败、授权失败、单点登录失败。
-
会话状态-根据 VPN 会话状态(例如客户端状态、授权状态、SSO 状态、应用程序带宽更新)搜索事件。
-
会话模式-根据 VPN 会话模式搜索事件,例如全通道、ICA 代理、无客户端。
-
SSO 身份验证方法-根据不同的单点登录身份验证方法搜索事件,例如基本、摘要、NTLM、Kerberos、AG basic、基于表单的 SSO。
-
注销模式-根据 VPN 注销模式搜索事件,例如内部错误注销、会话超时注销、用户启动的注销、管理员终止的会话。
指定搜索查询以筛选事件
将光标置于搜索框中可查看 Gateway 事件的维度列表。使用维度和 运算符 指定查询并搜索所需的事件。
例如,您想查看 VPN 状态代码为 “成功登录” 的用户 “ns133” 的事件。
-
在搜索框中输入 “用户” 以选择相关维度。
-
选择用 户名 并使用等于运算符输入值 “ns133”。
-
选择 AND 运算符,然后选择 状态代码 维度。使用 equal 运算符为 状态码 输入字符串 “成功登录”。
要识别 “ 状态代码” 的可能字符串值,请展开 “ 状态代码 ” 筛选器列表,然后在搜索查询中使用筛选器名称作为字符串。
-
选择时间段,然后单击“搜索”以查看 数据 表上的事件。
搜索查询支持的值
为维度输入以下值以定义搜索查询。
访问洞察力标志
表示 VPN 会话状态。输入以下标志值之一:
| VPN 会话状态 | 标记值 |
|---|---|
| 预身份验证 | 2 |
| nFactor(多因素)身份验证的最后或最终状态 | 1 |
| 后身份验证 | 4 |
注意
此标志仅适用于验证事件的之前 VPN 会话状态。对于所有其他事件,标志值为零。
应用程序字节消耗
对于 Applications-Byte-Consumption 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: 40、 100
|
数量 | 您正在使用的应用程序消耗的数据(以字节为单位)。 |
身份验证-服务器-IP
对于 Authentication-Servers-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xx.xx
|
字符串 | 身份验证服务器的 IP 地址。 |
身份验证阶段
对于 Authentication-Stage 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
Primary、 Secondary、或 Tertiary
|
字符串 | 客户端身份验证的不同阶段。 |
身份验证类型
对于 Authentication-Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
LDAP、SAML、Local、Radius、TACACS、SAMLIDP 或 OTP。 |
字符串 | 通过其中一种可用方法对用户进行身份验证。 |
后端服务器名称
对于 Backend-Server-Name 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | 后端服务器的 IP 地址。 |
浏览器
对于 Browser 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
PN Agent、Edge、Firefox、Chrome 或 Safari。 |
字符串 | 使用的浏览器。 |
城市
对于 City 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: Boston、 Beijing
|
字符串 | 用户登录的城市。 |
Client-IP
对于 Client-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | 用户设备的 IP 地址。 |
Client-IP-Type
对于 Client-IP-Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
| 公共、私人 | 字符串 | 指示用户 IP 地址是公有还是私有地址。 |
注意
这些值区分大小写。以小写字母输入值。
客户端口
对于 Client-Port 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:45334
|
数量 | 用户设备的端口号。 |
国家/地区
对于 Country 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: United States、 India
|
字符串 | 用户登录的国家/地区。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:国家 = “美国”。
活动类型
对于 Event-Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
| 身份验证、ICA 文件、会话注销 | 字符串 | 用户事件的类型。 |
网关 FQDN
对于 Gateway-FQDN 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:Gateway-test
|
字符串 | Citrix Gateway 关的域名。 |
网关 IP
对于 Gateway-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | Citrix Gateway 的 IP 地址。 |
网关端口
对于 Gateway-Port 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:443
|
字符串 | Citrix Gateway 的端口号。 |
注销模式
对于 Logout-Mode 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Internal error"、 "Inactive time out"、 "User initiated logout"、或 "Administrator killed session"。 |
字符串 | VPN 会话超时或终止的原因。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:注销模式 =
"Internal error"。
NetScaler-IP
对于 NetScaler-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xx.xx
|
字符串 | Citrix ADC 设备的 IP 地址。 |
操作系统
对于 OS 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: MAC_OS、 WINDOWS
|
字符串 | 用户设备的操作系统。 |
记录类型
对于 Record Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
VPN_AI |
字符串 | 表示与验证相关的用户事件。 |
VPN_IF |
字符串 | 表示与 ICA 文件相关的用户事件。 |
VPN_ST |
字符串 | 表示与会话注销相关的用户事件。 |
SSO 身份验证方法
对于 SSO-Authentication-Method 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
NSAUTH_BEARER、NSAUTH_FORM、NSAUTH_CITRIXAGBASIC、NSAUTH_NEGOTIATE、NSAUTH_NTLM 或 NSAUTH_BASIC。 |
字符串 | 单点登录身份验证的不同方法。 |
服务器 IP
对于 Server-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xx.xxx.xx
|
字符串 | 后端服务器的 IP 地址。 |
服务器端口
对于 Server-Port 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:47054
|
数量 | 后端服务器的端口号。 |
会话状态
对于 Session-State 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Set Client State"、"Authorization State"、"SSO State" 和 "Application Bandwidth Update"
|
字符串 | VPN 会话状态。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:会话状态 =
"Set Client State"。
状态代码
对于 Status-Code 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Successful login"、"Invalid credentials passed"、"Post auth failed and connection quarantined"、"Login not permitted"、"Maximum login failures reached"
|
字符串 | VPN 状态码。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:会话代码 =
"Successful login"。
用户代理
对于 User-Agent 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
IPHONE、 IPAD、或 WINPHONE
|
字符串 | 用于访问 VPN 的代理程序或设备。 |
VPN-会话 ID
对于 VPN-Session-ID 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
字符串 | 服务器为用户的 VPN 会话分配的会话 ID。 |
VPN 会话模式
对于 VPN-Session-Mode 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Full Tunnel"、"ICA Proxy"或 Clientless
|
字符串 | 用户 VPN 会话的不同模式。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:会话代码 =
"Full Tunnel"。