Application Delivery Management

Dépannage des problèmes de Gateway Insight

December 12, 2025

Contributeur:

Si la solution Gateway Insight ne fonctionne pas comme prévu, le problème peut être lié à l’un des éléments suivants. Reportez-vous aux listes de contrôle des sections respectives pour le dépannage.

Configuration de Gateway Insight.
Problème de connectivité entre NetScaler et NetScaler Console.
Génération d’enregistrements dans NetScaler.
Validations dans NetScaler Console.

Liste de contrôle de la configuration de Gateway Insight

Assurez-vous que la fonctionnalité AppFlow est activée sur l’appliance NetScaler. Pour plus de détails, consultez Activation d’AppFlow.
Vérifiez la configuration de Gateway Insight dans la configuration en cours d’exécution de NetScaler.

Exécutez la commande show running | grep -i <appflow_policy> pour vérifier la configuration de Gateway Insight. Assurez-vous que le type de liaison est REQUEST. Par exemple :
```
 bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
 
```
Le type de liaison OTHERTCP_REQUEST est également requis pour Gateway Insight.
```
 bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
 
```
Pour un déploiement à saut unique, Access Gateway ou Unified Gateway, assurez-vous que la stratégie AppFlow de Gateway Insight est liée au serveur virtuel VPN, où le trafic VPN circule. Pour plus de détails, consultez Activation de la collecte de données HDX Insight.
Pour un double saut, Gateway Insight doit être configuré sur les deux sauts.
Vérifiez le paramètre appflowlog dans le serveur virtuel NetScaler Gateway/VPN. Pour plus de détails, consultez Activation d’AppFlow pour les serveurs virtuels.

Liste de contrôle de la connectivité entre NetScaler et NetScaler Console

Vérifiez l’état du collecteur AppFlow dans NetScaler. Pour plus de détails, consultez Comment vérifier l’état de la connectivité entre NetScaler et le collecteur AppFlow.
Vérifiez les accès à la stratégie AppFlow® de Gateway Insight.

Exécutez la commande show appflow policy <policy_name> pour vérifier les accès à la stratégie AppFlow.

Vous pouvez également accéder à Paramètres > AppFlow > Stratégies dans l’interface graphique pour vérifier les accès à la stratégie AppFlow.
Validez tout pare-feu bloquant les ports AppFlow 4739 ou 5557.

Liste de contrôle de la génération d’enregistrements dans NetScaler

Exécutez la commande nsconmsg -d stats -g ai_tot et vérifiez les incréments de statistiques dans NetScaler.
Capturez les nstrace logs et vérifiez les paquets CFLOW pour confirmer que NetScaler exporte les enregistrements AppFlow.

Remarque :

Les nstrace logs sont requis uniquement pour IPFIX. Pour Logstream, les nstrace logs ne confirment pas si l’appliance NetScaler a exporté les enregistrements AppFlow.

Validation des enregistrements dans NetScaler Console

Exécutez la commande tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" pour vérifier les journaux et confirmer que NetScaler Console reçoit les enregistrements AppFlow.
Assurez-vous que l’instance NetScaler est ajoutée à NetScaler Console.
Assurez-vous que le serveur virtuel NetScaler Gateway/VPN est sous licence dans NetScaler Console.

Validation des journaux Logstream dans NetScaler Console

La validation des données Logstream reçues par NetScaler Console peut être effectuée à l’aide des méthodes suivantes :

Activation de la journalisation des enregistrements de données dans NetScaler Console

Une fois activés, les journaux peuvent être consultés dans le fichier /var/mps/log/mps_afdecoder.log
Activation de la journalisation de la bibliothèque ULFD

Exécutez la commande /mps/decoder_enable_debug

Les journaux sont capturés dans /var/ulflog/libulfd.log

Vous pouvez désactiver la journalisation à l’aide de la commande /mps/decoder_disable_debug

Compteurs Gateway Insight

Les compteurs Gateway Insight suivants sont disponibles.

ai_tot_preauth_epa_export
ai_tot_auth_export
ai_tot_auth_session_id_update_export
ai_tot_postauth_epa_export
ai_tot_vpn_update_export
ai_tot_ica_fileinfo_export
ai_tot_app_launch_failure
ai_tot_logout_export
ai_tot_skip_appflow_export
ai_tot_sso_appflow_export
ai_tot_authz_appflow_export
ai_tot_appflow_pol_eval_failure
ai_tot_vpn_export_state_mismatch
ai_tot_appflow_disabled
ai_tot_appflow_pol_eval_in_gwinsight
ai_tot_app_launch_success

Enregistrements AppFlow dans le journal NetScaler

À partir de la version 13.0 build 71.x, vous pouvez vérifier les journaux NetScaler pour confirmer si les enregistrements AppFlow sont exportés. Le niveau de journalisation par défaut de syslogparams capture tous les journaux d’erreurs et d’informations. Si vous ne trouvez aucun indice sur les erreurs, activez tous les niveaux de journalisation, y compris DEBUG, dans syslogparams pour capturer même les journaux DEBUG.

Exemples de journaux

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Contacter le support technique de Citrix

Pour une résolution rapide, assurez-vous de disposer des informations suivantes avant de contacter le support technique de Citrix :

Détails du déploiement et de la topologie réseau.
Versions de NetScaler et NetScaler Console.
Bundle de support technique pour NetScaler et NetScaler Console.
Capture nstrace pendant le problème.

Problèmes connus

Consultez les notes de publication de NetScaler pour connaître les problèmes connus concernant Gateway Insight.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

NetScaler Secure Deployment Guide

Dépannage des problèmes de Gateway Insight

December 12, 2025

Contributeur:

December 12, 2025

Contributeur:

Dans cet article

Liste de contrôle de la configuration de Gateway Insight
Liste de contrôle de la connectivité entre NetScaler et NetScaler Console
Liste de contrôle de la génération d’enregistrements dans NetScaler
Validation des enregistrements dans NetScaler Console
Validation des journaux Logstream dans NetScaler Console
Compteurs Gateway Insight
Enregistrements AppFlow dans le journal NetScaler
Contacter le support technique de Citrix
Problèmes connus

Cela vous a-t-il été utile ?

NetScaler Secure Deployment Guide