面向网关的自助搜索
使用自助搜索功能深入了解从 Citrix Gateway 数据源接收的用户事件。当用户通过 Citrix Gateway 访问其网络资源(例如文件服务器、应用程序、网站)时,将为每个用户连接生成事件。用户事件的一些示例包括身份验证阶段、授权类型和 VPN 会话代码。Citrix Analytics for Security 接收这些事件并将其显示在自助搜索页面上。您可以查看用户及其访问详细信息。
有关搜索功能的详细信息,请参阅自助搜索。
选择网关数据源
要查看网关事件,请在搜索框中从列表中选择网关。选择要查看事件的时间段,然后单击搜索。
默认情况下,自助服务页面会显示过去一个月的事件。该页面还为您提供了多个方面和一个搜索框,用于筛选和关注所需事件。
注意
或者,您可以从安全 > 用户 > 访问摘要控制板访问“面向网关的自助搜索”页面。在成功登录方案中,您可以通过状态代码访问数据。有关详细信息,请参阅访问摘要控制板。
使用方面过滤事件
这些方面根据从数据源收到的事件进行分类。使用以下方面来筛选您的事件:
-
身份验证阶段-根据客户端身份验证的不同阶段(如主、辅助和三级)搜索事件。
-
身份验证类型-根据客户端身份验证类型(如本地、RADIUS、LDAP、TACACS、客户端证书身份验证(包括智能卡身份验证)搜索事件。
-
设备代理-基于 iPhone、iPad、Windows Mobile 等客户端设备搜索事件。
-
记录类型-根据 VPN 记录的类型搜索事件。以下 VPN 记录类型可用:
记录类型 说明 VPN_AI 筛选与验证相关的用户事件。 VPN_IF 筛选与 ICA 文件相关的用户事件。 VPN_ST 筛选与会话注销相关的用户事件。 -
浏览器 - 基于浏览器(例如 Internet Explorer、Chrome、Firefox、Safari)搜索事件。
-
操作系统-根据客户端操作系统(如 Windows、Mac、Linux、Android、iOS)搜索事件。
-
状态代码-根据 VPN 状态代码搜索事件,例如 SSL 重定向响应失败、授权失败、单点登录失败。
-
会话状态-根据 VPN 会话状态(如客户端状态、授权状态、SSO 状态、应用程序带宽更新)搜索事件。
-
会话模式-根据 VPN 会话模式(如全通道、ICA 代理、无客户端)搜索事件。
-
SSO 身份验证方法-根据不同的单点登录身份验证方法搜索事件,例如基本、摘要、NTLM、Kerberos、AG base、基于表单的 SSO。
-
注销模式-根据 VPN 注销模式搜索事件,例如内部错误注销、会话超时注销、用户启动的注销、管理员终止的会话。
指定搜索查询以筛选事件
将光标置于搜索框中以查看 Gateway 事件的维度列表。使用维度和指 运营商 定查询并搜索所需事件。
例如,您想查看 VPN 状态代码为 “成功登录” 的用户 “ns133” 的事件。
-
在搜索框中输入 “用户” 以选择相关维度。
![网关搜索查询 1]()
-
选择用 户名 并使用等于运算符输入值 “ns133”。
![网关搜索查询 2]()
![网关搜索查询 3]()
-
选择 AND 运算符,然后选择状态代码维度。使用等于运算符输入 状态代码 的字符串“成功登录”。
![网关搜索查询 4]()
要识别 状态代码的可能字符串值,请展开“状态代码”筛选器列表,并在搜索查询中使用筛选器名称作为字符串。
![状态码值]()
-
选择时间段,然后单击“搜索”以查看 数据 表上的事件。
搜索查询支持的值
为维度输入以下值以定义搜索查询。
访问洞察力标志
表示 VPN 会话状态。输入以下标志值之一:
| VPN 会话状态 | 标记值 |
|---|---|
| 预身份验证 | 2 |
| nFactor(多因素)身份验证的最后或最终状态 | 1 |
| 后身份验证 | 4 |
注意
此标志仅适用于验证事件的之前 VPN 会话状态。对于所有其他事件,标志值为零。
应用程序字节消耗
对于 Applications-Byte-Consumption 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: 40、 100
|
数量 | 您正在使用的应用程序消耗的数据(以字节为单位)。 |
身份验证-服务器-IP
对于 Authentication-Servers-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xx.xx
|
字符串 | 身份验证服务器的 IP 地址。 |
身份验证阶段
对于 Authentication-Stage 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
Primary、 Secondary、或 Tertiary
|
字符串 | 客户端身份验证的不同阶段。 |
身份验证类型
对于 Authentication-Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
LDAP、SAML、Local、Radius、TACACS、SAMLIDP 或 OTP。 |
字符串 | 通过其中一种可用方法对用户进行身份验证。 |
后端服务器名称
对于 Backend-Server-Name 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | 后端服务器的 IP 地址。 |
浏览器
对于 Browser 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
PN Agent、Edge、Firefox、Chrome 或 Safari。 |
字符串 | 使用的浏览器。 |
城市
对于 City 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: Boston、 Beijing
|
字符串 | 用户登录的城市。 |
Client-IP
对于 Client-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | 用户设备的 IP 地址。 |
Client-IP-Type
对于 Client-IP-Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
| 公共、私人 | 字符串 | 指示用户 IP 地址是公有还是私有地址。 |
注意
这些值区分大小写。以小写字母输入值。
客户端口
对于 Client-Port 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:45334
|
数量 | 用户设备的端口号。 |
国家/地区
对于 Country 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: United States、 India
|
字符串 | 用户登录的国家/地区。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:国家 = “美国”。
活动类型
对于 Event-Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
| 身份验证、ICA 文件、会话注销 | 字符串 | 用户事件的类型。 |
网关 FQDN
对于 Gateway-FQDN 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:Gateway-test
|
字符串 | Citrix Gateway 关的域名。 |
网关 IP
对于 Gateway-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xxx.xx
|
字符串 | Citrix Gateway 的 IP 地址。 |
网关端口
对于 Gateway-Port 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:443
|
字符串 | Citrix Gateway 的端口号。 |
注销模式
对于 Logout-Mode 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Internal error"、 "Inactive time out"、 "User initiated logout"、或 "Administrator killed session"。 |
字符串 | VPN 会话超时或终止的原因。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:注销模式 =
"Internal error"。
NetScaler-IP
对于 NetScaler-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xxx.xx.xx
|
字符串 | Citrix ADC 设备的 IP 地址。 |
操作系统
对于 OS 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例: MAC_OS、 WINDOWS
|
字符串 | 用户设备的操作系统。 |
记录类型
对于 Record Type 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
VPN_AI |
字符串 | 表示与验证相关的用户事件。 |
VPN_IF |
字符串 | 表示与 ICA 文件相关的用户事件。 |
VPN_ST |
字符串 | 表示与会话注销相关的用户事件。 |
SSO 身份验证方法
对于 SSO-Authentication-Method 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
NSAUTH_BEARER、NSAUTH_FORM、NSAUTH_CITRIXAGBASIC、NSAUTH_NEGOTIATE、NSAUTH_NTLM 或 NSAUTH_BASIC。 |
字符串 | 单点登录身份验证的不同方法。 |
服务器 IP
对于 Server-IP 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:10.xx.xxx.xx
|
字符串 | 后端服务器的 IP 地址。 |
服务器端口
对于 Server-Port 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
示例:47054
|
数量 | 后端服务器的端口号。 |
会话状态
对于 Session-State 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Set Client State"、"Authorization State"、"SSO State" 和 "Application Bandwidth Update"
|
字符串 | VPN 会话状态。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:会话状态 =
"Set Client State"。
状态代码
对于 Status-Code 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Successful login"、"Invalid credentials passed"、"Post auth failed and connection quarantined"、"Login not permitted"、"Maximum login failures reached"
|
字符串 | VPN 状态码。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:会话代码 =
"Successful login"。
用户代理
对于 User-Agent 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
IPHONE、 IPAD、或 WINPHONE
|
字符串 | 用于访问 VPN 的代理程序或设备。 |
VPN-会话 ID
对于 VPN-Session-ID 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
c2c290c61dfe4e07247bde1e22142a12 |
字符串 | 服务器为用户的 VPN 会话分配的会话 ID。 |
VPN 会话模式
对于 VPN-Session-Mode 维度,请输入以下值:
| 值 | 类型 | 说明 |
|---|---|---|
"Full Tunnel"、"ICA Proxy" 或 Clientless
|
字符串 | 用户 VPN 会话的不同模式。 |
注意
如果值包含空格,请将该值括在 “” 中。示例:会话代码 =
"Full Tunnel"。