Citrix XenApp
XenApp — это программное обеспечение для виртуализации и доставки приложений с удаленного сервера на локальные устройства через тонкий клиент. XenApp позволяет запускать приложения для Windows на компьютерах и мобильных устройствах под управлением других операционных систем. Сами приложения находятся на выделенном сервере или в облаке.
Настройка Citrix XenApp
-
Создайте учетную запись в СУБД MS SQL. Для этого:
-
Подключитесь к СУБД посредством SQL Server Management Studio под доменной учетной записью.
-
Вызовите контекстное меню для security/logins и выберите опцию New login.
-
Укажите параметры сервисной учетной записи:
-
Введите имя для входа.
-
Выберите опцию Проверка подлинности SQL Server.
-
Введите пароль.
-
В поле База данных по умолчанию укажите название экземпляра БД, используемой XenApp.
-
-
-
Перейдите в настройки SQL Server Configuration Manager и убедитесь, что TCP/IP включен в конфигурации сети SQL Server. Для этого перейдите в раздел SQL Server Network Configuration → Protocols for SQLCITRIX.
Появится окно с настройкой TCP/IP, где в параметре Enabled должно быть указано Yes.
Настройка в R-Vision SIEM
-
В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Database.
-
Драйвер базы данных: выберите вариант MS SQL.
-
Адрес подключения: выберите секрет, созданный ранее.
-
SQL-запрос — введите запрос вида:
SELECT LowEv.Uid as uid ,LowEv.Text as msg ,HighEv.Text as HighEventText ,LowEv.AdminMachineIP as src ,LowEv.AdminId as AdminUid ,AdminAccountName as suser ,(DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),LowEv.EndTime)) AS endtime ,LowEv.Source as appname ,LowEv.SourceSdk as appnameSDK ,LowEv.HighLevelOperationUid as HighLevelOperationUid ,(DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),LowEv.StartTime)) AS starttime ,LowEv.IsSuccessful as status FROM <database>.ConfigLoggingSchema.LowLevelOperationView as LowEv LEFT JOIN <database>.ConfigLoggingSchema.Users as XenAppUsers ON LowEv.AdminId = XenAppUsers.Id LEFT JOIN <database>.ConfigLoggingSchema.HighLevelOperationView AS HighEv ON LowEv.HighLevelOperationUid = HighEv.Uid WHERE (DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),(DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),LowEv.StartTime)) ) >= DATEADD(MINUTE, -1, GetDate()))Здесь
<database>— название экземпляра БД, используемой XenApp. -
Интервал запроса, секунд: введите значение
60.
-
-
Добавьте на конвейер Нормализатор с правилом Citrix XenApp 7.x (идентификатор RV-N-127).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку с нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
Если настройка передачи событий выполнена корректно, в хранилище начнут поступать события Citrix XenApp.
|
Найти события Citrix XenApp в хранилище можно по следующему фильтру:
|
Таблицы маппинга
| Поле модели событий | Значение |
|---|---|
|
|
|
|
|
"Citrix" |
|
"XenApp" |
|
"7.x" |
|
|
|
|
|
|
|
|
|
|
|
|
|
"success" или "failure" (зависит от успешности/ не успешности выполняемого действия) |
|
|
|
|
| Поле модели событий | Добавление или удаление пользователя с машины | Изменение логирования | Запрос аналитики из БД | Добавление нового объекта в XenApp |
|---|---|---|---|---|
|
Сообщение, приведенное к человекочитаемому виду + |
Сообщение, приведенное к человекочитаемому виду + |
Сообщение, приведенное к человекочитаемому виду + |
Сообщение, приведенное к человекочитаемому виду + |
|
Извлекается из |
"Configure" |
"Data" |
Извлекается из |
|
Извлекается из |
"Logging" |
Извлекается из |
|
|
Извлекается из |
|||
|
Извлекается из |
Была ли полезна эта страница?
