Application Delivery Management

Fehlerbehebung bei Gateway Insight-Problemen

December 12, 2025

Beitrag von:

Wenn die Gateway Insight-Lösung nicht wie erwartet funktioniert, könnte das Problem bei einem der folgenden Punkte liegen. Beachten Sie die Checklisten in den jeweiligen Abschnitten zur Fehlerbehebung.

Gateway Insight-Konfiguration.
Konnektivitätsproblem zwischen NetScaler und NetScaler ADM.
Datensatzgenerierung in NetScaler.
Validierungen in NetScaler® ADM.

Checkliste zur Gateway Insight-Konfiguration

Stellen Sie sicher, dass die AppFlow-Funktion in der NetScaler Appliance aktiviert ist. Weitere Informationen finden Sie unter AppFlow aktivieren.
Überprüfen Sie die Gateway Insight-Konfiguration in der laufenden NetScaler-Konfiguration.

Führen Sie den Befehl show running | grep -i <appflow_policy> aus, um die Gateway Insight-Konfiguration zu überprüfen. Stellen Sie sicher, dass der Bindungstyp REQUEST ist. Zum Beispiel:
```
 bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
 
```
Der Bindungstyp OTHERTCP_REQUEST ist auch für Gateway Insight erforderlich.
```
 bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
 
```
Stellen Sie bei Single-Hop-, Access Gateway- oder Unified Gateway-Bereitstellungen sicher, dass die Gateway Insight AppFlow-Richtlinie an den VPN-Virtual Server gebunden ist, über den der VPN-Datenverkehr fließt. Weitere Informationen finden Sie unter Aktivieren der HDX Insight-Datenerfassung.
Bei Double-Hop muss Gateway Insight auf beiden Hops konfiguriert werden.
Überprüfen Sie den Parameter appflowlog im NetScaler Gateway/VPN Virtual Server. Weitere Informationen finden Sie unter AppFlow für virtuelle Server aktivieren.

Checkliste zur Konnektivität zwischen NetScaler und NetScaler ADM

Überprüfen Sie den AppFlow Collector-Status in NetScaler. Weitere Informationen finden Sie unter So überprüfen Sie den Status der Konnektivität zwischen NetScaler und AppFlow Collector.
Überprüfen Sie die Treffer der Gateway Insight AppFlow®-Richtlinie.

Führen Sie den Befehl show appflow policy <policy_name> aus, um die Treffer der AppFlow-Richtlinie zu überprüfen.

Sie können auch in der GUI zu Einstellungen > AppFlow > Richtlinien navigieren, um die Treffer der AppFlow-Richtlinie zu überprüfen.
Überprüfen Sie, ob eine Firewall die AppFlow-Ports 4739 oder 5557 blockiert.

Checkliste zur Datensatzgenerierung in NetScaler

Führen Sie den Befehl nsconmsg -d stats -g ai_tot aus und überprüfen Sie die Statistikinkremente in NetScaler.
Erfassen Sie nstrace logs und suchen Sie nach CFLOW-Paketen, um zu bestätigen, dass NetScaler AppFlow-Datensätze exportiert.

Hinweis:

Die nstrace logs sind nur für IPFIX erforderlich. Für Logstream bestätigen nstrace logs nicht, ob die ADC-Appliance die AppFlow-Datensätze exportiert hat.

Validierung von Datensätzen in NetScaler ADM

Führen Sie den Befehl tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" aus, um die Protokolle zu überprüfen und zu bestätigen, dass NetScaler ADM AppFlow-Datensätze empfängt.
Stellen Sie sicher, dass die NetScaler-Instanz zu NetScaler ADM hinzugefügt wurde.
Stellen Sie sicher, dass der NetScaler Gateway/VPN Virtual Server in NetScaler ADM lizenziert ist.

Validierung von Logstream-Protokollen in NetScaler ADM

Die Validierung der von NetScaler ADM empfangenen Logstream-Daten kann mit den folgenden Methoden erfolgen:

Aktivieren der Datensatzprotokollierung in NetScaler ADM

Nach der Aktivierung sind die Protokolle in /var/mps/log/mps_afdecoder.log sichtbar.
Aktivieren der ULFD-Bibliotheksprotokollierung

Führen Sie den Befehl /mps/decoder_enable_debug aus.

Die Protokolle werden in /var/ulflog/libulfd.log erfasst.

Sie können die Protokollierung mit dem Befehl /mps/decoder_disable_debug deaktivieren.

Gateway Insight-Zähler

Die folgenden Gateway Insight-Zähler sind verfügbar.

ai_tot_preauth_epa_export
ai_tot_auth_export
ai_tot_auth_session_id_update_export
ai_tot_postauth_epa_export
ai_tot_vpn_update_export
ai_tot_ica_fileinfo_export
ai_tot_app_launch_failure
ai_tot_logout_export
ai_tot_skip_appflow_export
ai_tot_sso_appflow_export
ai_tot_authz_appflow_export
ai_tot_appflow_pol_eval_failure
ai_tot_vpn_export_state_mismatch
ai_tot_appflow_disabled
ai_tot_appflow_pol_eval_in_gwinsight
ai_tot_app_launch_success

AppFlow-Datensätze im NetScaler-Protokoll

Ab Release 13.0 Build 71.x können Sie die NetScaler-Protokolle überprüfen, um zu bestätigen, ob die AppFlow-Datensätze exportiert werden. Der Standard-Protokollierungsgrad von syslogparams erfasst alle Fehler- und Informationsprotokolle. Falls Sie keinen Hinweis auf die Fehler finden, aktivieren Sie alle Protokollierungsgrade, einschließlich DEBUG, in syslogparams, um auch die DEBUG-Protokolle zu erfassen.

Beispielprotokolle

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
<!--NeedCopy-->

SSO-Protokolle:

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Wenden Sie sich an den technischen Support von Citrix

Für eine schnelle Lösung stellen Sie sicher, dass Sie die folgenden Informationen bereithalten, bevor Sie den technischen Support von Citrix kontaktieren:

Details zur Bereitstellung und Netzwerktopologie.
NetScaler- und NetScaler ADM-Versionen.
Tech Support-Bundle für NetScaler und NetScaler ADM.
nstrace-Erfassung während des Problems.

Bekannte Probleme

Beachten Sie die ADC-Versionshinweise für bekannte Probleme mit Gateway Insight.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

NetScaler Secure Deployment Guide

Fehlerbehebung bei Gateway Insight-Problemen

December 12, 2025

Beitrag von:

December 12, 2025

Beitrag von:

In diesem Artikel

Checkliste zur Gateway Insight-Konfiguration
Checkliste zur Konnektivität zwischen NetScaler und NetScaler ADM
Checkliste zur Datensatzgenerierung in NetScaler
Validierung von Datensätzen in NetScaler ADM
Validierung von Logstream-Protokollen in NetScaler ADM
Gateway Insight-Zähler
AppFlow-Datensätze im NetScaler-Protokoll
Wenden Sie sich an den technischen Support von Citrix
Bekannte Probleme

NetScaler Secure Deployment Guide