记录事件
Session Recording 可以采用录制件记录事件和标记事件,以便以后搜索和播放。您可以从大量录制件中搜索感兴趣的事件,并且可以在 Session Recording Player 播放过程中定位事件。
系统定义的事件
Session Recording 可以记录录制的会话期间发生的系统定义的以下事件:
-
插入 USB 大容量存储设备
-
应用程序启动和结束
-
应用程序故障
-
应用程序安装和卸载
-
会话内的文件重命名、创建、删除和移动操作
-
文件在会话主机 (VDA) 与客户端设备(包括映射的客户端驱动器和重定向的常规大容量存储设备)之间传输。
-
Web 浏览活动
-
最上面的窗口事件
-
剪贴板活动
-
Windows 注册表中的修改
-
用户帐户修改
-
RDP 连接
注意:
当存在检测 Web 浏览活动和最上面的窗口事件的活动策略时,由 PowerBuilder 构建的应用程序可能会意外退出。为避免此问题,请使用 PowerBuilder 2019 R3 来构建您的应用程序。
插入 USB 大容量存储设备
Session Recording 可以记录安装了适用于 Windows 或适用于 Mac 的 Citrix Workspace 应用程序的客户端中映射的客户端驱动器映射 (CDM) 或重定向的通用 USB 大容量存储设备的插入。Session Recording 标记录制件中的这些事件。
注意:
要使用插入的 USB 大容量存储设备并记录插入事件,请在 Citrix Studio 中将客户端 USB 设备重定向策略设置为允许。
当前只能记录 USB 大容量存储设备(USB 类别 08)的插入。有关详细信息,请参阅事件检测策略。
应用程序启动和结束
Session Recording 支持对应用程序启动和结束进行日志记录。向应用程序监视列表中添加进程时,所添加的进程及其子进程驱动的应用程序将受到监视。还可以捕获在 Session Recording 运行之前启动的父进程的子进程。
默认情况下,Session Recording 将向应用程序监视列表中添加进程名称 cmd.exe、powershell.exe 和 wsl.exe。如果为事件日志记录策略选择记录应用程序启动事件和记录应用程序结束事件,则无论您是否手动将其进程名称添加到应用程序监视列表,都会记录命令提示符、PowerShell 以及适用于 Linux 的 Windows 子系统 (WSL) 应用程序的启动和结束。默认进程名称在应用程序监视列表中不可见。
此外,Session Recording 还为记录的每个应用程序启动事件提供了完整的命令行。
应用程序故障
通过在创建事件检测策略时选择 Log app failures(记录应用程序故障),可以记录意外的应用程序退出和无响应的应用程序。Log app failures rule(记录应用程序故障规则)适用于所有应用程序。
应用程序安装和卸载
Log app installs and uninstalls(记录应用安装和卸载)规则适用于所有应用程序。
用户帐户修改
您可以记录帐户的创建、启用、禁用、删除、名称更改和密码修改尝试。
RDP 连接
您可以记录从托管录制的会话的 VDA 启动的 RDP 连接。
会话内部的文件重命名、创建、删除和移动操作,以及会话主机 (VDA) 与客户端设备之间的文件传输
Session Recording 可以记录您在文件监视列表中指定的目标文件和文件夹执行的重命名、创建、删除和移动操作。Session Recording 还可以记录会话主机 (VDA) 与客户端设备(包括映射的客户端驱动器和重定向的常规大容量存储设备)之间的文件传输。无论您是否指定文件监视列表,选择记录敏感文件事件选项都会触发文件传输的日志记录功能。有关详细信息,请参阅事件检测策略。
注意:
要启用文件拖放并捕获拖放事件,请在 Citrix Studio 中将拖放策略设置为已启用。
Web 浏览活动
可以在支持的浏览器上记录用户活动,并在录制件中标记事件。将记录浏览器名称、URL 和页面标题。有关示例,请参阅下面的屏幕截图。
将光标移离具有焦点的 Web 页面时,您浏览此 Web 页面时会标记而不显示浏览器名称。此功能可用于估计用户在 Web 页面上停留的时间。有关示例,请参阅下面的屏幕截图。
支持的浏览器列表:
| 浏览器 | 版本 |
|---|---|
| Chrome | 69 及更高版本 |
| Internet Explorer | 11 |
| Firefox | 61 及更高版本 |
注意:
此功能需要 Session Recording 1906 或更高版本。有关详细信息,请参阅事件检测策略。
最上面的窗口事件
当应用程序的窗口位于所有其他窗口的上面时,Session Recording 可以记录事件。将记录进程名称、标题和进程编号。
剪贴板活动
Session Recording 可以使用剪贴板记录文本、图像和文件的复制操作。将记录文件副本的进程名称和文件路径。将记录文本副本的进程名称和标题。将记录图像副本的进程名称。
注意: 默认情况下不记录复制的文本的内容。要记录文本内容,请转到 Session Recording Agent 并将 HKEY_LOCAL_MACHINE\SOFTWARE\
Citrix\SmartAuditor\Agent\CaptureClipboardContent 设置为 1(默认值为 0)。
Windows 注册表中的修改
自版本 2109 起,Session Recording 可以在录制会话时检测和记录以下注册表修改:
| 注册表修改 | 对应的事件 |
|---|---|
| 添加注册表项 | 注册表创建 |
| 添加值 | 注册表设置值 |
| 重命名注册表项 | 注册表重命名 |
| 重命名值 | 注册表删除值和注册表设置值 |
| 更改现有值 | 注册表设置值 |
| 删除注册表项 | 注册表删除 |
| 删除值 | 注册表删除值 |
例如:
要启用此注册表监视功能,请为事件检测策略选择记录注册表修改选项。有关详细信息,请参阅创建自定义事件检测策略。
自定义事件
Session Recording Agent 提供 IUserApi COM 接口,第三方应用程序可以使用该接口向录制的会话添加应用程序特定的事件数据。根据事件自定义,Session Recording 可以阻止敏感信息,并相应地记录会话暂停和会话恢复事件。
敏感信息阻止
Session Recording 允许您在录制屏幕时跳过某些时段,并在会话播放期间阻止这些时段内的敏感信息。要使用此功能,请使用 Session Recording 2012 及更高版本。
要使用此功能,请完成以下步骤:
-
在 Session Recording Agent 属性中,选中允许第三方应用程序记录此 VDA 计算机上的自定义数据复选框,然后单击应用。
-
授予用户调用 Session Recording 事件 API 的权限(IUserApi COM 接口)。
Session Recording 在 7.15 版中向事件 API COM 接口添加了访问控制功能。只有授权用户才能调用将事件元数据插入录制文件的功能。
默认情况下,本地管理员被授予此权限。要向其他用户授予此权限,请使用 Windows DCOM 配置工具:
-
通过运行
dcomcnfg.exe打开 Session Recording Agent 上的 Windows DCOM 配置工具。
-
右键单击 Citrix Session Recording Agent 并选择属性。
-
选择安全选项卡,然后单击编辑以在启动和激活权限部分添加具有本地激活权限的用户。
注意:
DCOM 配置立即生效。无需重新启动任何服务或计算机。
-
-
启动 Citrix 虚拟会话。
-
启动 PowerShell 并将当前驱动器更改为 <Session Recording Agent 安装路径>\Bin 文件夹以导入 SRUserEventHelperSnapin.dll 模块。
-
运行
Session-Pause和Session-Resumecmdlet 以设置用于触发敏感信息阻止的参数。参数 说明 必需或可选 -APP调用 cmdlet 的应用程序名称。 必需 -Reason内容被阻止的原因。如果未指定此参数,则会显示默认设置,指出内容被阻止和敏感信息存在且已被阻止。如果设置此参数,则在会话播放期间导航到阻止时段时,将显示指定的原因。 可选 例如,可以运行类似于以下内容的
Session-Pause:
搜索和播放包含带标记事件的录制件
搜索包含带标记事件的录制件
Session Recording Player 允许您执行对包含带标记事件的录制件的高级搜索。
- 在 Session Recording Player 中,单击工具栏上的高级搜索,或者依次选择工具 > 高级 搜索。
- 在高级搜索对话框中定义搜索条件。
在事件选项卡中,可以按事件文本或事件类型或两者搜索会话中的带标记事件。可以组合使用事件、通用、日期/时间和其他过滤器搜索满足您的条件的录制件。
注意:
- 事件类型列表逐项列出所有事件类型。可以选择要搜索的事件类型。选择 Citrix 定义的任何事件表示搜索包含 Citrix Session Recording 记录的任何类型的事件的所有录制件。
- 事件文本过滤器支持部分匹配。不支持通配符。
- 事件文本过滤器在匹配时不区分大小写。
- 对于事件的类型,当您按事件文本搜索时,单词
App Start、App End、Client drive mapping和File Rename不参与匹配。因此,当您在事件文本框中键入App Start、App End、Client drive mapping或File Rename时,将找不到任何结果。
播放包含带标记事件的录制件
播放包含带标记事件的录制件时,这些事件显示在事件和书签面板中,并且在 Session Recording Player 的下面部分显示为圆点:
可以使用事件浏览录制的会话,或者跳至标记了事件的点。