Citrix Analytics for Security

Virtual Apps and Desktops 的自助搜索

使用自助搜索可深入了解从 Virtual Apps and Desktops 数据源收到的用户事件。当用户使用虚拟应用程序和虚拟桌面时,将生成与其活动和操作相对应的事件。用户事件的示例包括文件下载、帐户登录和应用启动。Citrix Analytics for Security 接收这些用户事件并将其显示在自助服务页面上。您可以跟踪用户及其活动。

有关搜索功能的详细信息,请参阅自助搜索

选择 Virtual Apps and Desktops 数据源

要查看事件,请在搜索框中从列表中选择“应用程序和桌面”。选择要查看事件的时间段,然后单击搜索

选择 Citrix Virtual Apps and Desktops

默认情况下,自助服务页面会显示过去一个月的事件。该页面还为您提供了多个方面和一个搜索框,用于筛选和关注所需事件。

自助服务概述页

选择要过滤事件的方面

使用与 Virtual Apps and Desktops 事件关联的以下方面。

Virtual Apps and Desktops 方面

  • 件类型-根据事件类型搜索事件,例如帐户登录、应用程序终止、会话结束。

  • -根据域(如 citrate.net)搜索事件。

  • 操作系统主要版本-根据用户设备中使用的 Chrome、iOS 和 Windows 等操作系统搜索事件。

指定搜索查询以筛选事件

将光标置于搜索框中,以查看 Virtual Apps and Desktops 事件的维度列表。使用维度和指 运营商 定查询并搜索所需事件。

Virtual Apps and Desktops 维度

例如,您要搜索使用 Windows 操作系统的用户“约翰多伊”的事件。

  1. 在搜索框中输入“U”以获取相关建议。

    Virtual Apps and Desktops 搜索查询 1

  2. 单击用 户名 ,然后使用等于运算符输入值 “John”。

    Virtual Apps and Desktops 搜索查询 2

  3. 选择 AND 运算符和操作 系统主要版本 维度。使用相等运算符分配值 “Android 10”。

    Virtual Apps and Desktops 搜索查询 3

  4. 选择时间段,然后单击“搜索”以查看基于 数据 表的事件。

事件类型和支持的字段

下表介绍了 Citrix Virtual Apps and Desktops 可用的事件类型。

说明
Account.Logon 当您通过 Citrix Workspace 应用程序登录 StoreFront 时触发。
App.Start 启动应用程序会话时触发。注意:当应用程序在桌面会话中启动时,此维度不适用。
App.End 终止应用程序会话时触发。
App.SaaS.Launch Citrix Workspace 应用程序在嵌入式浏览器引擎 (IE) 中启动 SaaS 应用程序时触发。
App.SaaS.End Citrix Workspace 应用程序关闭 BE 中的 SaaS 应用程序时触发。
App.SaaS.Clipboard 在 E 中执行剪贴板操作时触发。
App.SaaS.File.Download 在 BE 中下载文件时触发。
App.SaaS.File.Print 在本地启动打印时触发。
App.SaaS.Url.Navigate 在被浏览 URL 时触发。
File.Download 当您通过 CDM 下载或传输文件或在 Citrix Workspace 应用程序启动的会话中传输文件时触发。
Printing 使用 Citrix Workspace 应用程序启动的会话打印文件时触发。
Session.Launch 通过 Citrix Workspace 应用程序启动会话时触发。
Session.Logon 登录会话时触发。
Session.End 终止会话时触发。

下表显示了特定于每种事件类型的字段。

事件类型 字段
App.Start 应用程序名称、域、会话启动类型、会话用户名、会话服务器名称
App.End 应用程序名称、域、会话启动类型、会话用户名、会话服务器名称
App.SaaS.Launch 浏览器、SaaS 应用程序名称、SaaS 应用程序 URL
App.SaaS.End 浏览器、SaaS 应用程序 URL
App.SaaS.Clipboard 剪贴板详细信息格式类型、剪贴板操作、剪贴板详细信息格式大小、剪贴板详细信息结果、剪贴板详细信息启动器、浏
App.SaaS.File.Download 浏览器、下载文件路径、下载文件大小、下载设备类型
App.SaaS.File.Print 打印文件名、浏览器、SaaS 应用程序名称、SaaS 应用程序 URL
App.SaaS.Url.Navigate 浏览器、SaaS 应用程序名称、SaaS 应用程序 URL
File.Download 域、下载设备类型、下载文件名、下载文件路径、下载文件大小、会话用户名、会话服务器名
Printing 浏览器、打印机名称、打印文件格式、打印文件大小、会话用户名、域、会话服务器名称
Session.Logon 域、会话启动类型、会话用户名、会话服务器名
Session.Launch 应用程序名称、会话启动类型
Session.End 域、会话启动类型、会话用户名、会话服务器名

以下字段适用于所有事件类型:

  • 城市

  • 客户端 IP

  • 国家/地区

  • 设备 ID

  • 操作系统主要版

  • 操作系统次要版

  • OS 额外详细信息

  • 时间

  • 用户名

  • Workspace 应用程序版本

搜索查询支持的值

为维度输入以下值以定义搜索查询。

应用程序名称

对于 App-Name 维度,请输入以下值:

类型 说明
应用程序或桌面会话。 字符串 已启动的应用程序或桌面的名称。此外,如果存在场名称,请指定该名称。

示例应用程序会话:

  • 没有场名的会话:

     #Cloud - Excel 2016
     <!--NeedCopy-->
    
  • 具有场名称的会话:

     XA65PROD#Concur
     <!--NeedCopy-->
    

桌面会话示例:

  • 没有场名的会话:

     #SINXIAP0616 $S1-1
     <!--NeedCopy-->
    
  • 具有场名称的会话:

     XA65PROD#SINXIAP0616 $S1-1
     <!--NeedCopy-->
    

浏览器

对于 Browser 维度,请输入以下值:

类型 说明
示例:Chrome 62.0.3202.89 字符串 浏览器名称和版本。

此维度适用于 Citrix Workspace 应用程序和 Chrome HTML5。

城市

对于 City 维度,请输入以下值:

类型 说明
示例:圣克拉拉、休斯敦、芝加哥 字符串 用户的城市名称。

Client-IP

对于 Client-IP 维度,请输入以下值:

类型 说明
IP 地址。示例:10.10.10.10 字符串 用户终端节点的 IP 地址。

客户端类型

对于 Client-Type dimension,请输入以下值:

类型 说明
XA.Receiver.WindowsXA.Receiver.MacXA.Receiver.ChromeXA.Receiver.AndroidXA.Receiver.LinuxXA.Receiver.iOS 字符串 表示基于操作系统的不同类型的 Citrix Workspace 应用程序。

剪贴板格式类型

对于 Clipboard-Format-Type 维度,请输入以下值:

类型 说明
示例:文本、html 字符串 复制到剪贴板的数据格式。

注意

仅受 SaaS 应用程序支持。

剪贴板-启动器

对于 Clipboard-Initiator 维度,请输入以下值:

类型 说明
示例:键盘、上下文菜单、JavaScript 字符串 指示剪贴板操作是如何启动的。

注意

仅受 SaaS 应用程序支持。

剪贴板操作

对于 Clipboard-Operation 维度,请输入以下值:

类型 说明
复制、剪切或粘贴。 字符串 指示执行哪个剪贴板操作。

注意

仅受 SaaS 应用程序支持。

剪贴板-结果

对于 Clipboard-Result 维度,请输入以下值:

类型 说明
成功或已阻止 字符串 表示剪贴板操作的结果。

剪贴板大小

对于 Clipboard-Size 维度,请输入以下值:

类型 说明
示例:10、20 数量 当前存储在剪贴板中的数据的大小(以字节为单位)。

国家/地区

对于 Country 维度,请输入以下值:

类型 说明
示例:美国、印度 字符串 用户的国家/地区名称。

设备 ID

对于 Device-ID 维度,请输入以下值:

类型 说明
示例:cb781185-18ad-4f45-b75f 字符串 用于许可、客户端名称或操作系统硬件 ID 的设备 ID。

对于 Domain 维度,请输入以下值:

类型 说明
示例:example.com 结构 发送请求的服务器的域名。

下载设备类型

对于 Download-Device-Type 维度,请输入以下值:

类型 说明
示例:USB、硬盘、远程驱动器、CD-ROM 或浏览器下载。 字符串 下载或传输文件的设备类型。

下载文件名

对于 Download-File-Name 维度,请输入以下值:

类型 说明
示例:example-fle.txt 字符串 下载文件的名称。

下载文件路径

对于 Download-File-Path 维度,请输入以下值:

类型 说明
示例:C:\Users\admin\Desktop 字符串 下载文件的路径。

下载-文件大小

对于 Download-File-Size 维度,请输入以下值:

类型 说明
示例:8.05 数量 已下载文件的大小(以千字节为单位)。

活动类型

对于 Event-Type 维度,根据您的要求输入以下值之一:

类型 说明
Account.Logon 字符串 当您通过 Citrix Workspace 应用程序登录 StoreFront 时触发。
App.Start 字符串 启动应用程序会话时触发。注意:当应用程序在桌面会话中启动时,此维度不适用。
App.End 字符串 终止应用程序会话时触发。
App.SaaS.Launch 字符串 Citrix Workspace 应用程序在嵌入式浏览器引擎 (IE) 中启动 SaaS 应用程序时触发。
App.SaaS.End 字符串 Citrix Workspace 应用程序关闭 BE 中的 SaaS 应用程序时触发。
App.SaaS.Clipboard 字符串 在 E 中执行剪贴板操作时触发。
App.SaaS.File.Download 字符串 在 BE 中下载文件时触发。
App.SaaS.File.Print 字符串 在本地启动打印时触发。
App.SaaS.Url.Navigate 字符串 在被浏览 URL 时触发。
File.Download 字符串 当您通过 CDM 下载或传输文件或在 Citrix Workspace 应用程序启动的会话中传输文件时触发。
Printing 字符串 使用 Citrix Workspace 应用程序启动的会话打印文件时触发。
Session.Launch 字符串 通过 Citrix Workspace 应用程序启动会话时触发。
Session.Logon 字符串 登录会话时触发。
Session.End 字符串 终止会话时触发。

越狱越狱

对于 Jail-Broken 维度,请输入以下值:

类型 说明
是或否 字符串 指示设备是否已获得 Root。

如果此维度不存在,则该设备无法获得 Root。此密钥适用于适用于 iOS 和 Android 设备的 Citrix Workspace 应用程序。

操作系统 (OS) 版本格式:操作系统主要版本、操作系统次要版本和操作系统额外详细信息

Citrix Analytics 会接收用户设备的操作系统 (OS) 详细信息,并将其转换为操作系统主版、操作系统次要版本和操作系统附加详细信息。

下表提供了操作系统版本编号格式的几个示例。

来自用户事件的操作系统 操作系统主要版 操作系统次要版 OS 额外详细信息
Microsoft Windows NT 6.1.7600.0 Windows NT 6.1 7600 不可用 (NA)
Windows 10 Service Pack 3 Windows 10 不适用 Service Pack 3
Windows 10 Windows 10 不适用 不适用
Windows 8.1 Windows 8.1 不适用 不适用
Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 不适用 Service Pack 1
Windows Server 2012 R2 Windows Server 2012 R2 不适用 不适用
Windows 10 Server Windows 10 Server 不适用 不适用
Windows 2012 Server Windows 2012 Server 不适用 不适用
Microsoft Windows NT 6.1.7601 Service Pack 1 Windows NT 6.1 7601 Service Pack 1
Microsoft Windows XP Windows XP 不适用 不适用
macOS 10.13.6 (Build 17G14033) macOS 10.13 6 Build 17G14033
iOS (14.0.1) iOS 14.0 1 不适用
IPAD 12.0.1 iOS 12.0 1 不适用
IPHONE 14.1.0 iOS 14.1 0 不适用
ANDTAB 5.0.2 Android 5.0 2 不适用
ANDPHONE 8.1.0 Android 8.1 0 不适用
MAC 10_13_2 macOS 10.13 2 不适用
Chrome 86.0.4240.18 Chrome OS 86.0 4240 18
Linux 5.4.0-48-generic-x86_64-Linux Mint 20 Linux Mint 20 不适用 5.4.0-48-generic
Linux Mint 19.3 Tricia Linux Mint 19.3 Tricia 不适用 不适用

打印文件格式

对于 Print-File-Format 维度,请输入以下值:

类型 说明
示例:PDF、PS、DOCX 字符串 打印文件的格式。

打印文件名

对于 Print-File-Name 维度,请输入以下值:

类型 说明
示例:example-file.pdf 字符串 打印文件的名称。

打印文件大小

对于 Print-File-Size 维度,请输入以下值:

类型 说明
示例:10、20 字符串 打印文件的大小(以字节为单位)。

打印机名称

对于 Printer-Name 维度,请输入以下值:

类型 说明
示例:testprester-1 字符串 使用的打印机的名称。
-->

### SaaS-App-Name

对于 `SaaS-App-Name` 维度,请输入以下值:

|值|类型|说明|
|-|-|-|
|示例:Workday |字符串|SaaS 应用程序的名称。|

### SaaS 应用程序网址

对于 `SaaS-App-URL` 维度,请输入以下值:

|值|类型|说明|
|-|-|-|
|示例:`https://xyz.com` |字符串|SaaS 应用程序的 URL。|

### 会话-启动类型

对于 `Session-Launch-Type` 维度,请输入以下值:

|值|类型|说明|
|-|-|-|
|应用程序或桌面|字符串|指示启动的会话是应用程序还是桌面类型。|

### 会话-服务器名称

对于 `Session-Server-Name` 维度,请输入以下值:

|值|类型|说明|
|-|-|-|
| 示例:托管桌面、云 VDA-1|字符串|从服务器接收时连接到的应用程序或桌面的名称。|

### 会话-用户名

对于 `Session-User-Name` 维度,请输入以下值:

|值|类型|说明|
|-|-|-|
|示例:演示用户、测试用户|字符串|从服务器收到的用户名。|

<!--### App-URL

For the `App-URL` dimension, enter the following value:

|Value|Type|Description|
|-|-|-|
|An application URL. Example: `https://www.example.com`|String|Specify the URL of a SaaS application.|--->

<!--### Clipboard-Details

For the `Clipboard-Details` dimension, enter the following value:

|Value|Type|Description|
|-|-|-|
|The clipboard operation details. |Structure|Specify from where the clipboard operations are made.|

Examples:

-  For successful clipboard operation:

    ```json
    { "result" : "success", "formattype" : "text", "formatsize" : 10, "initiator" : "keyboard" }
    <!--NeedCopy-->
  • For blocked clipboard operation:

     { "result" : "blocked", "initiator" : "keyboard" }
     <!--NeedCopy-->
    

Note

The clipboard operations are supported only by the SaaS applications.–>

用户名称

对于 User-Name 维度,请输入以下值:

类型 说明
指定 usernamedomain\\username 字符串 用户名或 domain\\username。用于 StoreFront 登录。如果 StoreFront 登录不是通过适用于 HTML5 或 Chrome 的 Citrix Workspace 应用程序,则此值与从服务器接收的值相同。

重要

信息如果数据源是适用于 HTML5 或 Chrome 的 Citrix Workspace 应用程序,则 Account.LogonSession.Launch 维度没有此字段。

工作区-应用程序版本

对于 Workspace-App-Version 维度,请输入以下值:

类型 说明
示例:20.8.0.3 (2008) 数量 安装在用户设备上的 Citrix Workspace 应用程序或 Citrix Receiver 版本。
Virtual Apps and Desktops 的自助搜索