Citrix Analytics for Security 故障排除

来自数据源的事件传输问题疑难解答

本节可帮助您解决使用 Citrix Analytics for Security 时的数据传输问题。当数据源无法准确传输用户事件时,您可能会遇到诸如未发现用户、缺少警报和风险指示器等问题。

核对清单

序列 检查
1 您的组织是否位于受支持的地理区域-美国、欧盟还是南部亚太区域?
2 您是否拥有使用 Security Analytics 的正确授权?
3 您的环境是否满足所有系统要求?
4 是否在 Analytics 上发现了所有数据源并启用了数据处理?
5 数据源上的用户活动是否准确地向 Analytics 传输事件?
6 虚拟应用程序和桌面事件是否传输到 Analytics?
7 用户事件是否显示在 Analytics 的自助搜索页面上?
8 分析是否发现了用户?

检查 1-您的组织是否在受支持的地理区域中?

如果在 Citrix Analytics 中看不到用户事件,则您的组织可能已加入当前不受支持的主区域。Citrix Analytics 不会接收来自不受支持区域的事件。

要使用 Citrix Analytics,必须选择美国欧盟作为主区域才能加入组织。如果您的组织位于亚太南部区域,则必须选择美国区域才能加入您的组织。有关详细信息,请参阅地理方面的注意事项

要验证您的组织所在的 Citrix Cloud 区域,请执行以下操作:

在 Citrix Cloud 帐户上,选择帐户设置 > 公司帐户

云帐户

基于其位置支持的数据源

Citrix Analytics 基于其地理区域支持以下数据源。数据源是向 Analytics 发送数据的产品。有关详细信息,请参阅数据源

数据源 地理区域 由分析支持
Citrix 访问控制 美国
  欧盟
Citrix Content Collaboration 美国
  欧盟
Citrix Endpoint Management 美国
  欧盟
Citrix Gateway 美国
  欧盟
Citrix Virtual Apps and Desktops 服务 美国
  欧盟
本地 Citrix Virtual Apps and Desktops 美国
  欧盟
Citrix Secure Browser 美国
  欧盟
Microsoft Active Directory 美国
  欧盟
Microsoft Graph 安全 美国
  欧盟
Splunk 美国
  欧盟

检查 2 - 您是否有正确的授权来使用 Security Analytics?

Citrix Analytics for Security 是一种基于订阅的产品。您可以使用有限试用版或购买订阅来使用此产品。有关详细信息,请参阅入门

检查 3-您的环境是否满足所有系统要求?

Citrix Analytics 可能需要几分钟时间才能从数据源接收用户事件。如果在数据源站点卡上看不到任何用户事件,请确保您的环境满足先决条件和 系统要求

必备条件

  1. 您的所有 Citrix Cloud 订阅都必须处于活动状态。在 Citrix Cloud 页面上,确保所有 Citrix Cloud 服务都处于活动状态。

  2. 如果使用的是本地 Citrix Virtual Apps and Desktops,则必须将站点添加到 Citrix Workspace 并配置站点聚合。Citrix Analytics 会自动发现添加到 Citrix Workspace 的站点。有关详细信息,请参阅聚合工作区中的本地虚拟应用程序和桌面

  3. 如果您正在为站点使用 StoreFront 部署,请配置 StoreFront 服务器,使 Citrix Workspace 应用程序能够将用户事件发送到 Citrix Analytics。确保 StoreFront 版本为 1906 或更高版本。如果未配置 StoreFront 服务器,Citrix Analytics 将无法从 Citrix Virtual Apps and Desktops 接收用户事件。要配置 StoreFront 部署,请参阅 StoreFront 文档中的文章 Citrix Analytics 服务

  4. 载入数据源,如以下文章中所述:

  5. Citrix Virtual Apps and Desktops 用户必须在其端点上使用指定版本的 Citrix Workspace 应用程序或 Citrix Receiver。否则,Analytics 将不会接收来自用户端点的用户事件。Citrix Virtual Apps and Desktops 数据源一文中提供了 Citrix Workspace 应用程序或 Citrix Receiver 的受支持版本的列表。

检查 4-是否在 Analytics 上发现了所有数据源并启用了数据处理?

确保发现了所有数据源,并且您已为所有数据源启用了数据处理。如果不为特定数据源启用数据处理,则不会发现使用该数据源的用户。这可能会造成潜在的安全风险。

启用数据处理可确保 Citrix Analytics 正在处理您的用户事件。仅当用户正在主动使用数据源时,事件才会发送到 Citrix Analytics。

注意

Citrix Analytics 不会主动从您的环境中提取数据。

要发现数据源并启用分析,请执行以下操作:

  1. 单击“设置”>“数据源”>“安全性”以查看发现的数据源。Citrix Analytics 会自动发现您在 Citrix Cloud 帐户上订阅的数据源。

    “数据源”页

  2. 数据源页面上,发现的数据源显示为站点卡。默认情况下,数据处理处于关闭状态。

    重要

    在您同意后,Citrix Analytics 会处理您的数据。

    站点卡

  3. 在希望 Citrix Analytics 处理事件的站点卡上单击打开数据处理。例如,在访问控制站点卡上,单击打开数据处理

    站点卡访问

  4. 打开数据处理后,Citrix Analytics 会处理数据源的事件。站点卡的状态更改为“数据处理”。您可以根据选定的时间段查看用户数量和接收的事件。

    访问事件

  5. 对于所有发现的数据源,请按照指定的步骤启用分析。有关详细信息,请参阅启用关于 Citrix 数据源的分析

检查 5-数据源上的用户活动是否准确地向 Analytics 传输事件?

当用户主动使用数据源时,Citrix Analytics 从数据源接收用户事件。用户必须在数据源上执行某些活动才能生成事件。例如,要从 Content Collaboration 数据源接收事件,Content Collaboration 用户必须共享、上载或下载某些文件。

注意

Citrix Analytics 不会主动从您的环境中提取数据。

如果您在 Citrix Analytics 中看不到针对数据源的任何用户事件,则很有可能用户此刻处于活动状态。

要验证 Citrix Analytics 是否准确地接收了用户事件,请执行以下活动。本练习使用 Citrix Content Collaboration 数据源。您可以根据您的订阅使用其他 Citrix 产品(数据源)执行类似的活动。

  1. 登录到 Citrix Content Collaboration 服务。

  2. 执行一些常见的用户活动,如创建文件夹、下载文件、上载文件或删除文件。

    用户活动

  3. 例如,创建一个测试文件夹。

    测试文件夹

  4. 上载一些本地文件。

    上载本地文件

  5. 删除文件夹中的某些文件。

    删除文件

  6. 返回 Citrix Analytics 并在“数据源”页面上查看 Content Collaboration 边卡。Citrix Analytics 从 Content Collaboration 数据源接收用户事件,并显示在站点卡上。

    用户事件

检查 6:虚拟应用程序和桌面事件是否传输到 Analytics?

某些版本的 Citrix Workspace 应用程序或 Citrix Receiver 客户端无法将用户事件发送到 Citrix Analytics。当用户通过这些客户端启动虚拟应用程序和桌面时,Citrix Analytics 将无法发现用户,直到他们执行支持的事件。

例如,适用于 Mac 的 Citrix Workspace 应用程序 1910 之前的版本不会将帐户登录事件发送到 Citrix Analytics。使用适用于 Mac 的 Citrix Workspace 应用程序的此类版本登录的用户未在 Citrix Analytics 上发现。但是,如果用户稍后启动 SaaS 应用程序,发现作为适用于 Mac 的 Citrix Workspace 应用程序 1910 之前的版本的用户会将 SaaS 应用程序启动事件发送到 Citrix Analytics。

支持的事件

请参阅下表以检查每个客户端版本支持的用户事件。

  • -事件由客户端发送到 Citrix Analytics。

  • -客户端不会将事件发送到 Citrix Analytics。

  • 不适用-事件不适用于客户端。

事件 适用于 Windows 的 Workspace 应用程序 1808 或更高版本 1910 版之前的适用于 Mac 的 Workspace 应用程序 适用于 Mac 的 Workspace 应用程序 1910 或更高版本 适用于 Linux 的 Workspace 应用程序 1901 或更高版本 适用于 Android 的 Workspace 应用程序 1809 或更高版本 适用于 iOS 的 Workspace 应用程序 1811 或更高版本 适用于 Chrome 的 Workspace 应用程序 1809 或更高版本 适用于 HTML5 的 Workspace 应用程序 1809 或更高版本 Receiver for Windows 4.11 Receiver for Windows 4.12 Receiver for Mac 12.9.1
帐户登录
会话登录
会话启动
会话结束
应用程序启动
应用程序终止
文件下载
打印
SaaS 应用程序启动 不适用 不适用 不适用
SaaS 应用程序结束 不适用 不适用 不适用
SaaS 应用程序 URL 导航 不适用 不适用 不适用
SaaS 应用程序剪贴板访问 不适用 不适用 不适用
SaaS 应用程序文件下载 不适用 不适用 不适用
SaaS 应用程序文件打印 不适用 不适用 不适用

建议

为了获得分析的最大好处,Citrix 建议您执行以下操作:

  • Windows 用户:使用适用于 Windows 的 Citrix Workspace 应用程序 1808 或更高版本连接到 Citrix Virtual Apps and Desktops 环境。

  • Mac 用户:使用适用于 Mac 的 Citrix Workspace 应用程序 1910 或更高版本连接到您的 Citrix Virtual Apps and Desktops 环境。

检查 7-用户事件是否显示在 Analytics 中的自助搜索页面上?

执行此最终检查,以确保事件正准确地传输到 Citrix Analytics。

  1. 在顶部栏上,单击搜索以转到自助搜索页面。

    “搜索”选项卡

  2. 选择数据源以查看相应的搜索页面和事件。

    搜索页面

  3. 要查看与 Content Collaboration 事件关联的数据,请从列表中选择 Content Collaboration,选择时间段,然后单击搜索

    搜索结果

有关详细信息,请参阅自助搜索

检查 8-分析是否发现了用户?

当事件开始流向 Citrix Analytics 时,会发现生成事件的用户并显示在用户控制板上。这通常需要大约几分钟才能在控制板上查看它们。

  1. 单击用户控制板上的已发现用户链接以查看 Citrix Analytics 发现的用户的完整列表。

    发现的用户

  2. 已发现用户页面显示在一段时间内发现的所有用户的列表。您可以查看过去 1 小时、12 小时、1 天、1 周或 1 个月的数据。

    “发现的用户”页

如果事件成功传输,则 Citrix Analytics 环境将按预期执行。当发现异常时,会生成风险指示器。

触发 Virtual Apps and Desktops 事件、SaaS 事件并验证其传输到 Analytics

本节介绍了触发 Virtual Apps and Desktops 事件、SaaS 事件以及验证 Citrix Analytics 是否正在积极接收这些用户事件的过程。

必备条件

  • 将 Citrix Virtual Apps and Desktops 加载到 Citrix Analytics 中,然后启用数据处理。有关详细信息,请参阅Citrix Virtual Apps and Desktops 数据源

  • 在用户的终端设备中使用正确版本的 Citrix Workspace 应用程序或 Citrix Receiver,以便将事件准确地发送到 Citrix Analytics。有关详细信息,请参阅Citrix Virtual Apps and Desktops 要求

  • 从虚拟桌面触发打印事件之前,请确保已在 Citrix Virtual Apps and Desktops 环境中配置和置备打印机。有关管理打印机的详细信息,请参阅打印

  • 要触发 SaaS 事件,如 SaaS 应用程序启动、SaaS 应用程序 URL 导航、SaaS 应用程序文件下载,必须使用工作区中配置的 SaaS 应用程序。常用 SaaS 应用程序包括 Salesforce、Workday、Concur、GoToMeeting。

    • 如果没有配置 SaaS 应用程序,则必须配置和发布 SaaS 应用程序。 有关详细信息,请参阅支持软件即服务应用程序。配置 SaaS 应用程序时,请确保禁用以下安全选项:

      • 限制剪贴板访问

      • 限制打印

      • 限制导航

      • 限制下载

    • 如果要使用工作区中已配置的 SaaS 应用程序来触发事件,请确保针对 SaaS 应用程序禁用指定的增强安全选项:

      1. 转到您的 Citrix Cloud 帐户,然后选择

        Citrix Cloud 库

      2. 页面上,确定要用于验证事件的 SaaS 应用程序。例如,Workday。

      3. 单击省略号,然后选择编辑

        编辑 Workday

      4. 编辑应用程序页面上,单击向下箭头以获取增强安全性。

        增强的安全性

      5. 确保未选择以下安全选项。

        禁用增强的安全性

已知问题

几个版本的 Citrix Workspace 应用程序和 Citrix Receiver 无法将某些事件发送到 Citrix Analytics。因此,Citrix Analytics 无法为这些事件提供见解和生成风险指示器。有关此问题及其解决方法的详细信息,请参阅已知问题 - CAS-16151

过程

按顺序执行以下步骤以触发 Citrix Virtual Apps and Desktops 部署中的事件,并验证 Citrix Analytics 是否主动接收这些事件。

注意

  • 这些事件可能需要一些时间才能到达 Citrix Analytics。如果未看到触发的事件,请刷新 Citrix Analytics 页面。

  • 为了触发 SaaS 事件,此过程使用 Workday 应用程序作为示例。您可以使用工作区中的任何配置 SaaS 应用程序来触发 SaaS 事件。

  • 帐户登录

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 输入您的凭据以登录到 Citrix Workspace 应用程序或 Citrix Receiver。

      Workspace 应用程序登录

    3. 转到 Citrix Analytics。

    4. 单击搜索,然后从列表中选择应用程序和桌面

      本地化后的图片

    5. 在搜索页面中,查看帐户登录事件的数据。展开该行以查看事件详细信息。

      帐户登录

  • 应用程序启动

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动应用程序,如计算器。

    3. 转到 Citrix Analytics。

    4. 单击搜索并选择应用程序和桌面

    5. 在搜索页面中,查看 App.Start 事件数据的数据。展开该行以查看事件详细信息。

      应用程序启动

  • 应用程序终止

    1. 关闭已在 Workspace 或 StoreFront 中启动的计算器。

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 Appp.End 事件数据的数据。展开该行以查看事件详细信息。

      应用程序终止

  • 会话登录和会话启动

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动虚拟桌面。

    3. 转到 Citrix Analytics。

    4. 单击搜索并选择应用程序和桌面

    5. 在搜索页中,查看 Session.LogonSession.Launch 事件的数据。展开该行以查看事件详细信息。

      会话登录并启动

  • 文件下载

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动虚拟桌面。

    3. 将文件从虚拟桌面复制到本地计算机。

    4. 转到 Citrix Analytics。

    5. 单击搜索并选择应用程序和桌面

    6. 在搜索页面中,查看 File.Download 事件的数据。展开该行以查看事件详细信息。

      文件下载

  • 打印

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问 Workspace。

    2. 启动虚拟桌面。

    3. 使用配置了虚拟桌面的打印机打印文档。

    4. 转到 Citrix Analytics。

    5. 单击搜索并选择应用程序和桌面

    6. 在“搜索”页面中,查看打印事件的数据。展开该行以查看事件详细信息。

      打印

  • 会话结束

    1. 从虚拟桌面注销。例如,如果您使用的是 Windows 虚拟桌面,请选择注销选项。

      注销虚拟桌面

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 Session.End 事件的数据。展开该行以查看事件详细信息。

      会话结束

  • SaaS 应用程序启动和 SaaS 应用程序 URL 导航

    1. 启动 Citrix Workspace 应用程序或 Citrix Receiver 以访问您的 Workspace 或 StoreFront。

    2. 启动 SaaS 应用程序(如 Workday),然后等待 Workday 页面加载。在 Workday 中浏览网页。

      注意

      确保“增强安全性”部分中禁用限制导航选项。有关详细信息,请参阅必备条件

    3. 转到 Citrix Analytics。

    4. 单击搜索并选择应用程序和桌面

    5. 搜索页面中,查看 App.SaaS.LaunchApp.SaaS.URL.Navigation 事件的数据。展开该行以查看事件详细信息。

      会话应用程序启动

  • SaaS 应用程序文件打印

    1. 打印您当前正在查看的“Workday”页面。

      注意

      确保“增强安全性”部分中禁用限制打印选项。有关详细信息,请参阅必备条件

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.SaaS.File.Print 事件的数据。展开该行以查看事件详细信息。

      SaaS 文件打印

  • SaaS 应用程序剪贴板访问

    1. 从“Workday”页面,将一些文本复制到系统剪贴板。

      注意

      确保“增强安全性”部分中禁用限制剪贴板访问选项。有关详细信息,请参阅必备条件

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.SaaS.Clipboard 事件的数据。展开该行以查看事件详细信息。

      SaaS 剪贴板访问

  • SaaS 应用程序文件下载

    1. 在“Workday”页面上,搜索白皮书等公共文档并下载文档。

      注意

      确保“增强安全性”部分中禁用限制下载选项。有关详细信息,请参阅必备条件

    2. 转到 Citrix Analytics。

    3. 单击搜索,然后选择 应用程序和桌面

    4. 在“搜索”页面中,查看 App.SaaS.File.Download 事件的数据。展开该行以查看事件详细信息。

      SaaS 文件下载

  • SaaS 应用程序结束

    1. 关闭“Workday”页面。

    2. 转到 Citrix Analytics。

    3. 单击搜索并选择应用程序和桌面

    4. 在搜索页面中,查看 App.SaaS.End 事件的数据。展开该行以查看事件详细信息。

      SaaS 应用程序结束

联系技术支持

Citrix 致力于帮助您使用我们的解决方案取得成功。要确保您的支持请求被路由到正确的资源,请选择我们 联系技术支持 页面上提到的选项。

Citrix Analytics for Security 故障排除