Application Delivery Management

Résoudre les problèmes liés à Gateway Insight

Si la solution Gateway Insight ne fonctionne pas comme prévu, le problème peut provenir de l’un des éléments suivants. Reportez-vous aux listes de contrôle dans les sections correspondantes pour le dépannage.

  • Configuration de Gateway Insight.
  • Problème de connectivité entre NetScaler et NetScaler ADM.
  • Génération d’enregistrements dans NetScaler.
  • Validations dans NetScaler ADM.

Liste de contrôle de la configuration Gateway Insight

  • Assurez-vous que la fonctionnalité AppFlow est activée dans l’appliance NetScaler. Pour plus de détails, consultez Activation d’AppFlow.

  • Vérifiez la configuration de Gateway Insight dans la configuration en cours d’exécution de NetScaler.

    Exécutez la commande show running | grep -i <appflow_policy> pour vérifier la configuration de Gateway Insight. Assurez-vous que le type de liaison est REQUEST. Par exemple ;

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    Le type de liaison OTHERTCP_REQUEST est également requis pour Gateway Insight.

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • Pour un déploiement à saut unique, Access Gateway ou Unified Gateway, assurez-vous que la stratégie Gateway Insight AppFlow est liée au serveur virtuel VPN, où le trafic VPN circule. Pour plus de détails, voir Activation de la collecte de données HDX Insight
  • Pour le double-saut, Gateway Insight doit être configuré sur les deux sauts.
  • Vérifiez le paramètre appflowlog dans le serveur virtuel NetScaler Gateway/VPN. Pour plus de détails, consultez Activation d’AppFlow pour les serveurs virtuels.

Liste de contrôle de la connectivité entre NetScaler et NetScaler ADM

  • Vérifiez l’état du collecteur AppFlow dans NetScaler. Pour plus de détails, consultez Comment vérifier l’état de la connectivité entre NetScaler et AppFlowCollector.

  • Vérifiez les accès à la stratégie AppFlow Gateway Insight.

    Exécutez la commande show appflow policy <policy_name> pour vérifier les succès de stratégie AppFlow.

    Vous pouvez également accéder à Paramètres > AppFlow > Stratégies dans l’ interface graphique pour vérifier les résultats de la stratégie AppFlow.

  • Validez tout pare-feu bloquant les ports AppFlow 4739 ou 5557.

Liste de contrôle de la génération d’enregistrements dans NetScaler

  • Exécutez la commande nsconmsg -d stats -g ai_tot et vérifiez les incréments de statistiques dans NetScaler.
  • Capturez nstrace logs et vérifiez les paquets CFLOW pour confirmer que NetScaler exporte les enregistrements AppFlow.

    Remarque :

    Les nstrace logs sont obligatoires uniquement pour IPFIX. Pour Logstream, les journaux nstrace ne confirment pas si l’appliance ADC a exporté les enregistrements AppFlow.

Validation des enregistrements dans NetScaler ADM

  • Exécutez la commande tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" pour consulter les journaux afin de confirmer que NetScaler ADM reçoit des enregistrements AppFlow.
  • Assurez-vous que l’instance NetScaler est ajoutée à NetScaler ADM.
  • Assurez-vous que le serveur virtuel NetScaler Gateway/VPN est sous licence NetScaler ADM.

Validation des journaux Logstream dans NetScaler ADM

La validation des données Logstream reçues par NetScaler ADM peut être effectuée à l’aide des méthodes suivantes :

  • Activation de la journalisation des enregistrements de données dans NetScaler ADM

    Une fois activé, les journaux peuvent être vus dans le fichier /var/mps/log/mps_afdecoder.log

  • Activation de la journalisation de bibliothèque ULFD

    Exécutez la commande /mps/decoder_enable_debug

    Les journaux sont capturés dans/var/ulflog/libulfd.log

    Vous pouvez désactiver la journalisation à l’aide de la commande /mps/decoder_disable_debug

Compteurs Gateway Insight

Les compteurs Gateway Insight suivants sont disponibles.

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_tot_appflow_pol_eval_in_gwinsight
  • ai_tot_app_launch_success

Enregistrements AppFlow dans le journal NetScaler

À partir de la version 13.0 build 71.x, vous pouvez consulter les journaux NetScaler pour confirmer si les enregistrements AppFlow sont exportés. Le niveau de journal par défaut de syslogparams capture tous les journaux d’erreurs et d’informations. Dans le cas où vous ne trouvez pas d’indice sur les erreurs, activez tous les niveaux de journalisation, y compris DEBUG, syslogparams pour capturer même les journaux DEBUG.

Journaux d’échantillons

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Contactez le support technique Citrix

Pour une résolution rapide, assurez-vous de disposer des informations suivantes avant de contacter le support technique Citrix :

  • Détails du déploiement et de la topologie du réseau.
  • Versions de NetScaler et NetScaler ADM.
  • Offre groupée de support technique pour NetScaler et NetScaler ADM.
  • nstrace lors du problème.

Problèmes connus

Reportez-vous aux notes de mise à jour d’ADC pour connaître les problèmes connus sur Gateway Insight.