配置策略

使用 Session Recording 策略控制台可创建并激活用于确定要录制的会话以及在会话中录制哪些事件的策略。

重要:

必须安装 Broker PowerShell 管理单元 (Broker_PowerShellSnapIn_x64.msi),才能使用 Session Recording 策略控制台。该管理单元不能由安装程序自动安装。请在 Citrix Virtual Apps and Desktops ISO (\layout\image-full\x64\Citrix Desktop Delivery Controller) 中找到该管理单元,然后按照说明手动安装。否则,会导致出现错误。

录制策略

可以激活在安装 Session Recording 时可用的系统定义策略,也可以创建并激活自己的自定义录制策略。系统定义的录制策略会将单个规则应用于所有用户、已发布的应用程序和服务器。将录制指定要录制哪些用户、已发布应用程序和服务器的自定义录制策略。  

活动录制策略确定要录制的会话。每次只能有一个录制策略处于活动状态。

系统定义的录制策略

Session Recording 提供以下系统定义的录制策略:

  • 不录制。默认策略。如果未指定其他策略,则不会录制会话。
  • 录制每个人并通知。如果选择此策略,则会录制所有会话。此时将显示一个弹出窗口,通知出现录制事件。
  • 录制每个人但不通知。如果选择此策略,则会录制所有会话。此时不显示弹出窗口以通知出现录制事件。

无法修改或删除系统定义的录制策略。

创建自定义录制策略

创建您自己的录制策略时,您可以制定规则以指定哪些用户或组、已发布的应用程序或桌面、交付组或 VDA 计算机以及 Citrix Workspace 应用程序客户端 IP 地址已录制了会话。Session Recording 策略控制台中的向导可帮助您创建规则。要获取已发布的应用程序或桌面的列表以及交付组或 VDA 计算机的列表,您必须具有作为站点管理员所有拥有的读取权限。在站点的 Delivery Controller 上配置管理员读取权限。

对于创建的每条规则,您都需要指定录制操作以及规则条件。录制操作将应用到满足规则条件的会话。

对于每条规则,请选择一种录制操作:

  • 不录制。(在规则向导中选择禁用会话录制。)此录制操作将指定不录制满足规则条件的会话。
  • 录制并通知。(在规则向导中选择启用会话录制并通知。)此录制操作将指定录制满足规则条件的会话。此时将显示一个弹出窗口,通知出现录制事件。
  • 录制但不通知。(在规则向导中选择启用会话录制但不通知。)此录制操作将指定录制满足规则条件的会话。用户不知道系统正在录制其会话。

对于每条规则,请至少选择以下项目之一来创建规则条件:

  • 用户或组。创建要应用规则的操作的用户或组列表。Session Recording 允许您使用 Active Directory 组将用户加入白名单
  • 已发布的资源。创建要应用规则的操作的已发布应用程序或桌面列表。在规则向导中,请选择包含这些应用程序或桌面的一个或多个 Citrix Virtual Apps and Desktops 站点。
  • 交付组或计算机。创建要应用规则的操作的交付组或计算机列表。在规则向导中,请选择交付组或计算机所在的位置。
  • IP 地址或 IP 范围。创建要应用规则的操作的 IP 地址或 IP 地址范围列表。在选择 IP 地址和 IP 范围屏幕中,添加将为其启用或禁用录制的有效 IP 地址或 IP 范围。此处提到的 IP 地址是指 Citrix Workspace 应用程序的 IP 地址。

注意:

Session Recording 策略控制台支持在一条规则中配置多个条件。规则适用时,将使用 AND 和 OR 逻辑运算符来计算最终操作。一般而言,OR 运算符在某个条件内部的项目之间使用,AND 运算符在多个条件之间使用。如果结果为 true,Session Recording 策略引擎将执行规则的操作。否则,将转至下一条规则并重复该过程。

在一个录制策略中创建多条规则时,某些会话可能满足多条规则的条件。在这些情况下,具有最高优先级的规则会应用到这些会话。

规则的录制操作决定其优先级:

  • 不录制操作的规则优先级最高
  • 录制并通知操作的规则优先级次之
  • 录制但不通知操作的规则优先级最低

某些会话可能不满足录制策略中的任何规则条件。对于这些会话,将应用策略回退规则的操作。回退规则的操作始终为不录制。您无法修改或删除回退规则。

要创建自定义录制策略,请执行以下操作:

  1. 以授权策略管理员身份登录安装了 Session Recording 策略控制台的服务器。
  2. 启动 Session Recording 策略控制台,然后选择左侧窗格中的录制策略。从菜单栏中,依次选择操作 > 添加新策略
  3. 右键单击新建策略并选择添加规则
  4. 选择录制选项 - 在规则向导中,选择禁用会话录制启用会话录制并通知(或启用会话录制但不通知),然后单击下一步
  5. 选择规则条件 - 可以选择一个或多个规则条件:
    用户或组
    已发布的资源
    交付组或计算机
    IP 地址或 IP 范围
  6. 编辑规则条件 - 要进行编辑,请单击带下划线的值。这些值会根据上一步选择的条件加上下划线。

    注意:

    如果选择已发布的资源的带下划线的值,站点地址将为 IP 地址、URL 或计算机名称(如果 Controller 位于本地网络中)。应用程序名称列表显示显示名称。

  7. 按照向导完成配置。

注意: 有关预启动应用程序会话的限制:

  • 如果活动策略尝试匹配应用程序名称,则不会匹配在预启动会话中启动的应用程序,从而导致不录制会话。
  • 如果活动策略录制每个应用程序,则当用户登录适用于 Windows 的 Citrix Workspace 应用程序(同时建立预启动会话)时,将显示录制通知,并且录制预启动的(空)会话以及将来在该会话中启动的所有应用程序。

解决方法:根据其录制策略,在单独的交付组中发布应用程序。请勿将应用程序名称用作录制条件。这样可确保能够录制预启动的会话。但是,仍显示通知。

使用 Active Directory 组

Session Recording 允许您在创建策略时使用 Active Directory 组。使用 Active Directory 组代替单个用户可简化规则和策略的创建和管理。例如,如果公司财务部门中的用户包含在名为“Finance”的 Active Directory 组中,那么您可以通过在创建规则时在 规则向导中选择“Finance”组来创建此组的所有成员要应用的规则。

将用户加入白名单

可以创建 Session Recording 策略,确保绝不会录制组织中某些用户的会话。这种情况称为将这些用户 加入白名单。加入白名单对负责处理隐私相关信息的用户非常有用,在贵组织不希望录制某些级别的员工的会话时也非常有用。

例如,如果公司内的所有经理都属于名为“Executive”的 Active Directory 组中的成员,那么您可以创建规则来禁用“Executive”组的会话录制,从而确保这些用户的会话绝不会被录制。包含此规则的策略处于活动状态时,不会录制“Executive”组成员的会话。组织内其他成员的会话根据活动策略中的其他规则进行录制。

将 Director 配置为使用 Session Recording Server

可以使用 Director 控制台创建并激活录制策略。

  1. 对于 HTTPS 连接,请在 Director 服务器的可信根证书中安装证书以信任 Session Recording Server。
  2. 要配置 Director 服务器以使用 Session Recording Server,请运行 C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording 命令。
  3. 在 Director 服务器上键入 Session Recording Server 的 IP 地址或 FQDN 以及 Session Recording Agent 用于连接到 Session Recording Broker 的端口号和连接类型 (HTTP/HTTPS)。

事件日志记录策略

从 1811 版本开始,Session Recording 支持集中配置事件日志记录策略。您现在可以在 Session Recording 策略控制台中创建策略以记录相应事件,而无需编辑每个 VDA 上的注册表以记录 USB 大容量存储设备的插入以及应用程序的启动和结束。

注意:

要使此功能按预期运行,请将 Session Recording Administration 组件(Session Recording 数据库、Session Recording Server 和 Session Recording 策略控制台)和 Session Recording Agent 升级到版本 1811 或更高版本。

注意:

您仍必须编辑注册表以记录文件操作事件。有关详细信息,请参阅记录事件

系统定义的事件日志记录策略

系统定义的事件日志记录策略是不记录日志。默认情况下,它处于非活动状态。当它处于活动状态时,不会记录任何事件。

您无法修改或删除系统定义的事件日志记录策略 。

创建自定义事件日志记录策略

创建您自己的事件日志记录策略时,您可以制定规则以指定哪些用户或组、已发布的应用程序或桌面、交付组或 VDA 计算机以及 Citrix Workspace 应用程序客户端 IP 地址在会话录制期间记录了特定事件。Session Recording 策略控制台中的向导可帮助您创建规则。要获取已发布的应用程序或桌面的列表以及交付组或 VDA 计算机的列表,您必须具有作为站点管理员所有拥有的读取权限。在站点的 Delivery Controller 上配置管理员读取权限。

要创建自定义事件日志记录策略 ,请执行以下操作:

  1. 以授权策略管理员身份登录安装了 Session Recording 策略控制台的服务器。

  2. 启动 Session Recording 策略控制台。 默认情况下,没有活动事件日志记录策略 。

    本地化后的图片

  3. 在左侧窗格中选择事件日志记录策略 。从菜单栏中,选择操作 > 添加新策略以创建事件日志记录策略。

  4. (可选)右键单击新的事件日志记录策略并对其重命名。

    本地化后的图片

  5. 右键单击新的事件日志记录策略并选择添加规则

    1. 通过选中每个事件类型旁边的复选框,指定一个或多个要监视的目标事件。

      本地化后的图片

      • 对 CDM 映射的 USB 事件记录日志:记录安装了适用于 Windows 或适用于 Mac 的 Citrix Workspace 应用程序的客户端设备中由客户端驱动器映射 (CDM) 所映射的大容量存储设备的插入,并且在录制件中标记事件。

      • 对通用重定向的 USB 事件记录日志:记录安装了适用于 Windows 或适用于 Mac 的 Citrix Workspace 应用程序的客户端设备中通用重定向大容量存储设备的插入,并且在录制件中标记事件。

      • 对应用程序启动事件记录日志:记录目标应用程序的启动并在录制件中标记事件。

      • 对应用程序结束事件记录日志:记录目标应用程序的结束并在录制件中标记事件。

        注意:

        在未对应用程序启动进行日志记录的情况下,Session Recording 无法对应用程序的结束进行日志记录。因此,在“规则”向导中,在选择对应用程序启动事件记录日志之前,对应用程序结束事件记录日志复选框将处于灰显状态。

      • 应用程序监视列表:当您选择对应用程序启动事件记录日志对应用程序结束事件记录日志时,使用 应用程序监视列表可指定要监视的目标应用程序,并避免大量事件充斥在录制件中。默认情况下,不指定任何应用程序,这意味着默认情况下不会捕获任何应用程序。

        注意:

        • 要捕获应用程序的启动和结束,请在应用程序监视列表中添加应用程序的进程名称。例如,要捕获远程桌面连接的启动,请在应用程序监视列表中添加进程名称 mstsc.exe。
        • 用分号 (;) 分隔进程名称。
        • 仅支持精确匹配。不支持通配符。
        • 添加的进程名称不区分大小写。
        • 为了避免大量事件充斥在录制件中,请勿将任何系统进程名称(例如 explorer.exe)和 Web 浏览器添加在注册表中。
    2. 选择并编辑规则条件。

      与创建自定义录制策略类似,您可以选择一个或多个规则条件:用户或组、已发布的资源、交付组或计算机、IP 地址或 IP 范围。有关详细信息,请参阅创建自定义录制策略部分中的说明。

      注意:

      某些会话可能不符合事件日志记录策略中的任何规则条件。对于这些会话,请应用回退规则的事件日志记录操作,即始终为不记录日志。您无法修改或删除回退规则。

    3. 请按照向导完成配置。

      本地化后的图片

注意:

无法针对动态录制的会话使用通过 Session Recording 策略控制台配置的事件日志记录策略。

与注册表配置的兼容性

新安装或升级 Session Recording 时,默认情况下没有可用的活动事件日志记录策略。此时,每个 Session Recording Agent 都表示 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents 下的注册表项,以确定是否记录特定事件。有关注册表项的说明,请参阅下表:

注册表项 说明
EnableSessionEvents 1:全局启用事件日志记录;0:全局禁用事件日志记录(默认值)
EnableCDMUSBDriveEvents 1: 启用 CDM 映射的 USB 大容量存储设备的插入的日志记录;0: 禁用 CDM 映射的 USB 大容量存储设备的插入的日志记录(默认值)
EnableGenericUSBDriveEvents 1:启用通用重定向 USB 大容量存储设备的插入的日志记录;0:禁用通用重定向 USB 大容量存储设备的插入的日志记录(默认值)
EnableAppLaunchEvents 1:启用仅应用程序启动的日志记录;2:启用应用程序启动和结束的日志记录;0:禁用应用程序启动和结束的日志记录(默认值)
AppMonitorList 指定要监视的目标应用程序。默认情况下,不指定任何应用程序,这意味着默认情况下不会捕获任何应用程序。有关详细信息,请参阅[指定要监视的目标应用程序] (/zh-cn/session-recording/current-release/log-events.html#specify-target-applications-to -monitor)。

下面是一些兼容方案:

  • Session Recording 1811 是新安装的或从之前不支持事件日志记录的版本升级的,并且每个 Session Recording Agent 上的相关注册表项的值均为默认值。因为默认情况下没有活动事件日志记录策略,所以不会记录任何事件。

  • Session Recording 1811 是从之前支持事件日志记录但在升级之前禁用了该功能的版本升级的,并且每个 Session Recording Agent 上的相关注册表项的值保留为默认值。因为默认情况下没有活动事件日志记录策略,所以不会记录任何事件。

  • 如果 Session Recording 1811 是从之前支持事件日志记录且在升级之前部分或完全启用了该功能的版本升级的,则每个 Session Recording Agent 上的相关注册表项的值将保留为默认值。因为默认情况下没有活动事件日志记录策略,所以事件日志记录行为保持不变。

警告:

在 Session Recording 策略控制台中激活系统定义的或自定义事件日志记录策略时,每个 Session Recording Agent 上的相关注册表设置将被忽略且无法再使用注册表设置进行事件日志记录。

激活策略

  1. 以管理员身份登录安装了 Session Recording 策略控制台的计算机。
  2. 启动 Session Recording 策略控制台。
  3. 如果出现连接到 Session Recording Server 窗口,请确保 Session Recording Server 名称、协议和端口正确无误。单击确定
  4. 在 Session Recording 策略控制台中,根据需要展开录制策略事件日志记录策略
  5. 选择要激活的策略 。
  6. 从菜单栏中,依次选择操作 > 激活策略

修改策略

  1. 以管理员身份登录安装了 Session Recording 策略控制台的计算机。
  2. 启动 Session Recording 策略控制台。
  3. 如果出现连接到 Session Recording Server 窗口,请确保 Session Recording Server 名称、协议和端口正确无误。单击确定
  4. 在 Session Recording 策略控制台中,根据需要展开录制策略事件日志记录策略
  5. 选择要修改的策略。策略规则将显示在右侧窗格中。
  6. 要添加、修改或删除规则,请执行以下操作:
    • 从菜单栏中,依次选择操作 > 添加新规则。如果策略处于活动状态,系统将显示一个弹出窗口,请求您确认该操作。使用规则向导创建规则。
    • 选择要修改的规则,单击鼠标右键,并选择属性。使用规则向导修改规则。
    • 选择要删除的规则,单击鼠标右键,并选择删除规则

删除策略

注意:

无法删除系统定义的策略或处于活动状态的策略。

  1. 以管理员身份登录安装了 Session Recording 策略控制台的计算机。
  2. 启动 Session Recording 策略控制台。
  3. 如果出现连接到 Session Recording Server 窗口,请确保 Session Recording Server 名称、协议和端口正确无误。单击确定
  4. 在 Session Recording 策略控制台中,根据需要展开录制策略事件日志记录策略
  5. 在左侧窗格中,选择要删除的策略。如果该策略处于活动状态,必须激活其他策略。
  6. 从菜单栏中,依次选择操作 > 删除策略
  7. 选择确认该操作。

了解滚动行为

激活策略之后,之前的活动策略仍然有效,直至录制的会话结束或会话录制文件被滚动更新。文件达到最大大小时会发生滚动。有关录制件的最大文件大小的详细信息,请参阅指定录制件的文件大小

下表详细说明了在录制会话并发生滚动更新的过程中应用新策略时会出现的情况:

如果之前的录制策略为: 并且新的录制策略为: 滚动更新后,录制策略将变为:
不录制 任何其他策略 不更改。仅当用户登录到新会话时新策略才生效。
录制但不通知 不录制 停止录制。
录制但不通知 录制并通知 继续录制并显示一条通知消息。
录制并通知 不录制 停止录制。
录制并通知 录制但不通知 继续录制。下次用户登录时不显示任何消息。