Application Delivery Management

Résoudre les problèmes liés à Gateway Insight

February 1, 2024

Contributeur:

Si la solution Gateway Insight ne fonctionne pas comme prévu, le problème peut provenir de l’un des éléments suivants. Reportez-vous aux listes de contrôle dans les sections correspondantes pour le dépannage.

Configuration de Gateway Insight.
Problème de connectivité entre NetScaler et NetScaler ADM.
Génération d’enregistrements dans NetScaler.
Validations dans NetScaler ADM.

Liste de contrôle de la configuration Gateway Insight

Assurez-vous que la fonctionnalité AppFlow est activée dans l’appliance NetScaler. Pour plus de détails, consultez Activation d’AppFlow.
Vérifiez la configuration de Gateway Insight dans la configuration en cours d’exécution de NetScaler.

Exécutez la commande show running | grep -i <appflow_policy> pour vérifier la configuration de Gateway Insight. Assurez-vous que le type de liaison est REQUEST. Par exemple ;
```
 bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
 
```
Le type de liaison OTHERTCP_REQUEST est également requis pour Gateway Insight.
```
 bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
 
```
Pour un déploiement à saut unique, Access Gateway ou Unified Gateway, assurez-vous que la stratégie Gateway Insight AppFlow est liée au serveur virtuel VPN, où le trafic VPN circule. Pour plus de détails, voir Activation de la collecte de données HDX Insight
Pour le double-saut, Gateway Insight doit être configuré sur les deux sauts.
Vérifiez le paramètre appflowlog dans le serveur virtuel NetScaler Gateway/VPN. Pour plus de détails, consultez Activation d’AppFlow pour les serveurs virtuels.

Liste de contrôle de la connectivité entre NetScaler et NetScaler ADM

Vérifiez l’état du collecteur AppFlow dans NetScaler. Pour plus de détails, consultez Comment vérifier l’état de la connectivité entre NetScaler et AppFlowCollector.
Vérifiez les accès à la stratégie AppFlow Gateway Insight.

Exécutez la commande show appflow policy <policy_name> pour vérifier les succès de stratégie AppFlow.

Vous pouvez également accéder à Paramètres > AppFlow > Stratégies dans l’ interface graphique pour vérifier les résultats de la stratégie AppFlow.
Validez tout pare-feu bloquant les ports AppFlow 4739 ou 5557.

Liste de contrôle de la génération d’enregistrements dans NetScaler

Exécutez la commande nsconmsg -d stats -g ai_tot et vérifiez les incréments de statistiques dans NetScaler.
Capturez nstrace logs et vérifiez les paquets CFLOW pour confirmer que NetScaler exporte les enregistrements AppFlow.

Remarque :

Les nstrace logs sont obligatoires uniquement pour IPFIX. Pour Logstream, les journaux nstrace ne confirment pas si l’appliance ADC a exporté les enregistrements AppFlow.

Validation des enregistrements dans NetScaler ADM

Exécutez la commande tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" pour consulter les journaux afin de confirmer que NetScaler ADM reçoit des enregistrements AppFlow.
Assurez-vous que l’instance NetScaler est ajoutée à NetScaler ADM.
Assurez-vous que le serveur virtuel NetScaler Gateway/VPN est sous licence NetScaler ADM.

Validation des journaux Logstream dans NetScaler ADM

La validation des données Logstream reçues par NetScaler ADM peut être effectuée à l’aide des méthodes suivantes :

Activation de la journalisation des enregistrements de données dans NetScaler ADM

Une fois activé, les journaux peuvent être vus dans le fichier /var/mps/log/mps_afdecoder.log
Activation de la journalisation de bibliothèque ULFD

Exécutez la commande /mps/decoder_enable_debug

Les journaux sont capturés dans/var/ulflog/libulfd.log

Vous pouvez désactiver la journalisation à l’aide de la commande /mps/decoder_disable_debug

Compteurs Gateway Insight

Les compteurs Gateway Insight suivants sont disponibles.

ai_tot_preauth_epa_export
ai_tot_auth_export
ai_tot_auth_session_id_update_export
ai_tot_postauth_epa_export
ai_tot_vpn_update_export
ai_tot_ica_fileinfo_export
ai_tot_app_launch_failure
ai_tot_logout_export
ai_tot_skip_appflow_export
ai_tot_sso_appflow_export
ai_tot_authz_appflow_export
ai_tot_appflow_pol_eval_failure
ai_tot_vpn_export_state_mismatch
ai_tot_appflow_disabled
ai_tot_appflow_pol_eval_in_gwinsight
ai_tot_app_launch_success

Enregistrements AppFlow dans le journal NetScaler

À partir de la version 13.0 build 71.x, vous pouvez consulter les journaux NetScaler pour confirmer si les enregistrements AppFlow sont exportés. Le niveau de journal par défaut de syslogparams capture tous les journaux d’erreurs et d’informations. Dans le cas où vous ne trouvez pas d’indice sur les erreurs, activez tous les niveaux de journalisation, y compris DEBUG, syslogparams pour capturer même les journaux DEBUG.

Journaux d’échantillons

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Contactez le support technique Citrix

Pour une résolution rapide, assurez-vous de disposer des informations suivantes avant de contacter le support technique Citrix :

Détails du déploiement et de la topologie du réseau.
Versions de NetScaler et NetScaler ADM.
Offre groupée de support technique pour NetScaler et NetScaler ADM.
nstrace lors du problème.

Problèmes connus

Reportez-vous aux notes de mise à jour d’ADC pour connaître les problèmes connus sur Gateway Insight.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Résoudre les problèmes liés à Gateway Insight

February 1, 2024

Contributeur:

February 1, 2024

Contributeur:

Dans cet article

Liste de contrôle de la configuration Gateway Insight
Liste de contrôle de la connectivité entre NetScaler et NetScaler ADM
Liste de contrôle de la génération d’enregistrements dans NetScaler
Validation des enregistrements dans NetScaler ADM
Validation des journaux Logstream dans NetScaler ADM
Compteurs Gateway Insight
Enregistrements AppFlow dans le journal NetScaler
Contactez le support technique Citrix
Problèmes connus

Cela vous a-t-il été utile ?