Citrix Analytics for Security

面向网关的自助搜索

使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。当用户通过 Citrix Gateway 访问其网络资源(例如文件服务器、应用程序、网站)时,将为每个用户连接生成事件。用户事件的一些示例包括身份验证阶段、授权类型和 VPN 会话代码。Citrix Analytics for Security 接收这些事件并将其显示在自助搜索页面上。您可以查看用户及其访问详细信息。

有关搜索功能的详细信息,请参阅自助搜索

选择网关数据源

要查看网关事件,请在搜索框中从列表中选择网关。选择要查看事件的时间段,然后单击搜索

选择网关数据源

默认情况下,自助服务页面会显示过去一个月的事件。该页面还为您提供了多个方面和一个搜索框,用于筛选和关注所需事件。

“网关概述”页

注意

或者,您可以从安全 > 用户 > 访问摘要控制板访问“面向网关的自助搜索”页面。在成功登录方案中,您可以通过状态代码访问数据。有关详细信息,请参阅访问摘要控制板。

使用方面过滤事件

这些方面根据从数据源收到的事件进行分类。使用以下方面来筛选您的事件:

网关方面

  • 身份验证阶段-根据客户端身份验证的不同阶段(如主、辅助和三级)搜索事件。

  • 身份验证类型-根据客户端身份验证类型(如本地、RADIUS、LDAP、TACACS、客户端证书身份验证(包括智能卡身份验证)搜索事件。

  • 设备代理-基于 iPhone、iPad、Windows Mobile 等客户端设备搜索事件。

  • 录类型-根据 VPN 记录的类型搜索事件。以下 VPN 记录类型可用:

    记录类型 说明
    VPN_AI 筛选与验证相关的用户事件。
    VPN_IF 筛选与 ICA 文件相关的用户事件。
    VPN_ST 筛选与会话注销相关的用户事件。
  • 浏览器 - 基于浏览器(例如 Internet Explorer、Chrome、Firefox、Safari)搜索事件。

  • 操作系统-根据客户端操作系统(如 Windows、Mac、Linux、Android、iOS)搜索事件。

  • 状态代码-根据 VPN 状态代码搜索事件,例如 SSL 重定向响应失败、授权失败、单点登录失败。

  • 会话状态-根据 VPN 会话状态(如客户端状态、授权状态、SSO 状态、应用程序带宽更新)搜索事件。

  • 会话模式-根据 VPN 会话模式(如全通道、ICA 代理、无客户端)搜索事件。

  • SSO 身份验证方法-根据不同的单点登录身份验证方法搜索事件,例如基本、摘要、NTLM、Kerberos、AG base、基于表单的 SSO。

  • 注销模式-根据 VPN 注销模式搜索事件,例如内部错误注销、会话超时注销、用户启动的注销、管理员终止的会话。

指定搜索查询以筛选事件

将光标置于搜索框中以查看 Gateway 事件的维度列表。使用维度和指 运营商 定查询并搜索所需事件。

网关维度列表

例如,您想查看 VPN 状态代码为 “成功登录” 的用户 “ns133” 的事件。

  1. 在搜索框中输入 “用户” 以选择相关维度。

    网关搜索查询 1

  2. 选择用 户名 并使用等于运算符输入值 “ns133”。

    网关搜索查询 2

    网关搜索查询 3

  3. 选择 AND 运算符,然后选择状态代码维度。使用等于运算符输入 状态代码 的字符串“成功登录”。

    网关搜索查询 4

    要识别 状态代码的可能字符串值,请展开“状态代码”筛选器列表,并在搜索查询中使用筛选器名称作为字符串。

    状态码值

  4. 选择时间段,然后单击“搜索”以查看 数据 表上的事件。

搜索查询支持的值

为维度输入以下值以定义搜索查询。

访问洞察力标志

表示 VPN 会话状态。输入以下标志值之一:

VPN 会话状态 标记值
预身份验证 2
nFactor(多因素)身份验证的最后或最终状态 1
后身份验证 4

注意

此标志仅适用于验证事件的之前 VPN 会话状态。对于所有其他事件,标志值为零。

应用程序字节消耗

对于 Applications-Byte-Consumption 维度,请输入以下值:

类型 说明
示例: 40100 数量 您正在使用的应用程序消耗的数据(以字节为单位)。

身份验证-服务器-IP

对于 Authentication-Servers-IP 维度,请输入以下值:

类型 说明
示例:10.xxx.xx.xx 字符串 身份验证服务器的 IP 地址。

身份验证阶段

对于 Authentication-Stage 维度,请输入以下值:

类型 说明
PrimarySecondary、或 Tertiary 字符串 客户端身份验证的不同阶段。

身份验证类型

对于 Authentication-Type 维度,请输入以下值:

类型 说明
LDAPSAMLLocalRadiusTACACSSAMLIDPOTP 字符串 通过其中一种可用方法对用户进行身份验证。

后端服务器名称

对于 Backend-Server-Name 维度,请输入以下值:

类型 说明
示例:10.xxx.xxx.xx 字符串 后端服务器的 IP 地址。

浏览器

对于 Browser 维度,请输入以下值:

类型 说明
PN AgentEdgeFirefoxChromeSafari 字符串 使用的浏览器。

城市

对于 City 维度,请输入以下值:

类型 说明
示例: BostonBeijing 字符串 用户登录的城市。

Client-IP

对于 Client-IP 维度,请输入以下值:

类型 说明
示例:10.xxx.xxx.xx 字符串 用户设备的 IP 地址。

Client-IP-Type

对于 Client-IP-Type 维度,请输入以下值:

类型 说明
公共、私人 字符串 指示用户 IP 地址是公有还是私有地址。

注意

这些值区分大小写。以小写字母输入值。

客户端口

对于 Client-Port 维度,请输入以下值:

类型 说明
示例:45334 数量 用户设备的端口号。

国家/地区

对于 Country 维度,请输入以下值:

类型 说明
示例: United StatesIndia 字符串 用户登录的国家/地区。

注意

如果值包含空格,请将该值括在 “” 中。示例:国家 = “美国”。

活动类型

对于 Event-Type 维度,请输入以下值:

类型 说明
身份验证、ICA 文件、会话注销 字符串 用户事件的类型。

网关 FQDN

对于 Gateway-FQDN 维度,请输入以下值:

类型 说明
示例:Gateway-test 字符串 Citrix Gateway 关的域名。

网关 IP

对于 Gateway-IP 维度,请输入以下值:

类型 说明
示例:10.xxx.xxx.xx 字符串 Citrix Gateway 的 IP 地址。

网关端口

对于 Gateway-Port 维度,请输入以下值:

类型 说明
示例:443 字符串 Citrix Gateway 的端口号。

注销模式

对于 Logout-Mode 维度,请输入以下值:

类型 说明
"Internal error""Inactive time out""User initiated logout"、或 "Administrator killed session" 字符串 VPN 会话超时或终止的原因。

注意

如果值包含空格,请将该值括在 “” 中。示例:注销模式 = "Internal error"

NetScaler-IP

对于 NetScaler-IP 维度,请输入以下值:

类型 说明
示例:10.xxx.xx.xx 字符串 Citrix ADC 设备的 IP 地址。

操作系统

对于 OS 维度,请输入以下值:

类型 说明
示例: MAC_OSWINDOWS 字符串 用户设备的操作系统。

记录类型

对于 Record Type 维度,请输入以下值:

类型 说明
VPN_AI 字符串 表示与验证相关的用户事件。
VPN_IF 字符串 表示与 ICA 文件相关的用户事件。
VPN_ST 字符串 表示与会话注销相关的用户事件。

SSO 身份验证方法

对于 SSO-Authentication-Method 维度,请输入以下值:

类型 说明
NSAUTH_BEARERNSAUTH_FORMNSAUTH_CITRIXAGBASICNSAUTH_NEGOTIATENSAUTH_NTLMNSAUTH_BASIC 字符串 单点登录身份验证的不同方法。

服务器 IP

对于 Server-IP 维度,请输入以下值:

类型 说明
示例:10.xx.xxx.xx 字符串 后端服务器的 IP 地址。

服务器端口

对于 Server-Port 维度,请输入以下值:

类型 说明
示例:47054 数量 后端服务器的端口号。

会话状态

对于 Session-State 维度,请输入以下值:

类型 说明
"Set Client State""Authorization State""SSO State""Application Bandwidth Update" 字符串 VPN 会话状态。

注意

如果值包含空格,请将该值括在 “” 中。示例:会话状态 = "Set Client State"

状态代码

对于 Status-Code 维度,请输入以下值:

类型 说明
"Successful login""Invalid credentials passed""Post auth failed and connection quarantined""Login not permitted""Maximum login failures reached" 字符串 VPN 状态码。

注意

如果值包含空格,请将该值括在 “” 中。示例:会话代码 = "Successful login"

用户代理

对于 User-Agent 维度,请输入以下值:

类型 说明
IPHONEIPAD、或 WINPHONE 字符串 用于访问 VPN 的代理程序或设备。

VPN-会话 ID

对于 VPN-Session-ID 维度,请输入以下值:

类型 说明
c2c290c61dfe4e07247bde1e22142a12 字符串 服务器为用户的 VPN 会话分配的会话 ID。

VPN 会话模式

对于 VPN-Session-Mode 维度,请输入以下值:

类型 说明
"Full Tunnel""ICA Proxy"Clientless 字符串 用户 VPN 会话的不同模式。

注意

如果值包含空格,请将该值括在 “” 中。示例:会话代码 = "Full Tunnel"

面向网关的自助搜索