Application Delivery Management

Solucionar problemas de Gateway Insight

Si la solución Gateway Insight no funciona como se esperaba, el problema podría estar relacionado con una de las siguientes opciones. Consulte las listas de comprobación de las secciones correspondientes para la solución de problemas.

  • Configuración de Gateway Insight.
  • Problema de conectividad entre NetScaler ADC y NetScaler ADM.
  • Generación de registros en NetScaler ADC.
  • Validaciones en NetScaler ADM.

Lista de comprobación de configuración de Gateway Insight

  • Asegúrese de que la función AppFlow está habilitada en el dispositivo NetScaler ADC. Para obtener más información, consulte Habilitar AppFlow.

  • Compruebe la configuración de Gateway Insight en la configuración en ejecución de NetScaler ADC.

    Ejecute el comando show running | grep -i <appflow_policy> para comprobar la configuración de Gateway Insight. Asegúrese de que el tipo de enlace sea REQUEST. Por ejemplo:

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    El tipo de enlace OTHERTCP_REQUEST también es necesario para Gateway Insight.

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • Para la implementación de un solo salto, Access Gateway o Unified Gateway, asegúrese de que la directiva Gateway Insight AppFlow esté enlazada al servidor virtual VPN, donde fluye el tráfico VPN. Para obtener más información, consulte Habilitar la recopilación de datos de HDX Insight
  • Para el doble salto, Gateway Insight debe configurarse en ambos saltos.
  • Compruebe appflowlog el parámetro en el servidor virtual NetScaler Gateway/VPN. Para obtener más información, consulte Habilitación de AppFlow para servidores virtuales.

Lista de comprobación de conectividad entre NetScaler ADC y NetScaler ADM

  • Compruebe el estado del recopilador AppFlow en NetScaler ADC. Para obtener más información, consulte Cómo comprobar el estado de la conectividad entre NetScaler ADC y AppFlow Collector.

  • Compruebe los aciertos de la directiva de Gateway Insight AppFlow.

    Ejecute el comando show appflow policy <policy_name> para comprobar los aciertos de la directiva AppFlow.

    También puede ir a Sistema > AppFlow > Directivas en la GUI para comprobar los aciertos de las directivas de AppFlow.

  • Validar cualquier firewall que bloquee los puertos AppFlow 4739 o 5557.

Generación de registros en la lista de comprobación de NetScaler ADC

  • Ejecute el comando nsconmsg -d stats -g ai_tot y compruebe si hay incrementos de estadísticas en NetScaler ADC.
  • Capture nstrace logs y compruebe si hay paquetes CFLOW para confirmar que NetScaler ADC exporta registros de AppFlow.

    Nota:

    Los nstrace logs son necesarios solo para IPFIX. Para Logstream, los registros de nstrace no confirman si el dispositivo ADC exportó los registros AppFlow.

Validación de registros en NetScaler ADM

  • Ejecute el tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" comando para comprobar los registros para confirmar que NetScaler ADM está recibiendo registros de AppFlow.
  • Asegúrese de que la instancia de NetScaler ADC se ha agregado a NetScaler ADM.
  • Asegúrese de que el servidor virtual NetScaler Gateway/VPN tiene licencia en NetScaler ADM.

Validación de registros Logstream en NetScaler ADM

La validación de los datos Logstream recibidos por NetScaler ADM se puede realizar mediante los siguientes métodos:

  • Habilitar el registro de datos en NetScaler ADM

    Una vez habilitado, los registros se pueden ver en el archivo /var/mps/log/mps_afdecoder.log

  • Habilitar el registro de bibliotecas ULFD

    Ejecute el comando /mps/decoder_enable_debug

    Los registros se capturan en/var/ulflog/libulfd.log

    Puede inhabilitar el registro mediante el comando /mps/decoder_disable_debug

Contadores de Gateway Insight

Los siguientes contadores de Gateway Insight están disponibles.

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_archivoinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_discordancia
  • ai_tot_appflow_disabled
  • ai_tot_appflow_pol_eval_in_gwinsight
  • ai_tot_app_launch_success

Registros de AppFlow en el registro de NetScaler ADC

A partir de la versión 13.0 compilación 71.x, puede comprobar los registros de NetScaler ADC para confirmar si se exportan los registros de AppFlow. El nivel de registro predeterminado de syslogparams captura todos los registros de errores e información. En caso de que no encuentre una pista sobre los errores, habilite todos los niveles de registro, incluido DEBUG in, syslogparams para capturar incluso los registros de DEPURACIÓN.

Registros de muestra

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Póngase en contacto con el soporte técnico de Citrix

Para una resolución rápida, asegúrese de contar con la siguiente información antes de ponerse en contacto con el soporte técnico de Citrix:

  • Detalles de la implementación y la topología de la red.
  • Versiones de NetScaler ADC y NetScaler ADM.
  • Paquete de soporte técnico para NetScaler ADC y NetScaler ADM.
  • nstrace durante el problema.

Problemas conocidos

Consulte las notas de la versión de NetScaler ADC para obtener Insight sobre los problemas conocidos en Gate