Gateway Insight
Citrix Gatewayの展開では、ユーザーアクセスの詳細を可視化することは、アクセス障害の問題のトラブルシューティングに不可欠です。ネットワーク管理者は、ユーザーがCitrix Gatewayにログオンできないタイミングと、ユーザーアクティビティとログオン失敗の理由を知りたいが、通常、その情報はユーザーが解決の要求を送信しない限り利用できません。
Gateway Insightは、あらゆるユーザーの元で発生したエラーを、アクセスモードにかかわらず、ユーザーがNetScaler Gatewayにログオンした時点で視覚化します。あらゆる期間を対象にして、すべての有効なユーザーの一覧、アクティブユーザーの数、アクティブセッションの数、ユーザー全体によって使用されたバイト数とライセンス数を表示できます。ユーザーごとのEPA(End Point Analysis:エンドポイント分析)、認証、SSO(Single Sign On:シングルサインオン)、アプリケーション起動のエラーを表示できます。また、ユーザーごとのアクティブセッションと終了したセッションの詳細を表示できます。
さらに、Gateway Insightは、仮想アプライアンスのアプリケーション起動エラーの理由に関する情報を提供します。これは、あらゆる種類のログオンまたはアプリケーション起動におけるエラーの問題のトラブルシューティングに役立ちます。起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。
ADC Gateway アプライアンスに関連付けられたすべてのゲートウェイが使用したゲートウェイ数、アクティブ・セッション数、合計バイト数、帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。
すべてのログメッセージはCitrix ADM データベースに保存されるため、いつでもエラーの詳細を表示できます。また、ログオンエラーの概要を表示して、エラーが発生したログオンプロセスの段階を特定できます。
注意事項:
- Gateway Insightは次の展開においてサポートされています。
- Access Gateway
- Unified Gateway
- Citrix ADMのリリースとビルドは、Citrix Gatewayアプライアンスのリリースとビルドと同じかそれ以降である必要があります。
- Advanced ライセンスのある ADC インスタンスについては、Gateway Insight レポートを 1 時間表示することができます。Gateway Insight レポートを 1 時間以上表示するには、プレミアムライセンスが必要です。
制限事項:
-
認証方法が証明書ベースの認証として構成されている場合、NetScaler Gateway GatewayはGateway Insightをサポートしません。
-
仮想ICAアプリケーションおよびデスクトップに関する成功したユーザーログオン、遅延、アプリケーションレベルの詳細は、HDX Insight Usersダッシュボードでのみ確認できます。
-
ダブルホップモードでは、2つ目のDMZにあるADCゲートウェイ・アプライアンスの障害を可視化できません。
-
RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)のデスクトップアクセスの問題は報告されません。
-
SAML 認証のGateway Insightレコードは報告されません。
-
Gateway Insightは次の認証タイプでサポートされています。これら以外の認証タイプが使用されている場合、Gateway Insight に不一致が生じる可能性があります。
-
ローカル
-
LDAP
-
RADIUS
-
TACACS
-
SAML
-
ネイティブOTP
-
OAuth
-
Gateway Insightの有効化
NetScaler Gateway アプライアンスでGateway Insightを有効にするには、まずADCゲートウェイアプライアンスをCitrix ADM に追加する必要があります。次に、VPNアプリケーションを代表する仮想サーバー向けにAppFlowを有効にしてください。NetScaler ADM へのデバイスの追加について詳しくは、「 インスタンスの追加」を参照してください。
注
NetScaler ADM でエンドポイント分析(EPA)の障害を表示するには、ADC GatewayアプライアンスでAppFlow認証、承認、およびアクセス制御ユーザー名ロギングを有効にする必要があります 。
NetScaler ADM で仮想サーバーのAppFlowを有効にする
-
[ 設定] > [ライセンスと分析の設定]に移動します。
-
「 仮想サーバー分析の概要」で、「 分析の設定」をクリックします。
-
[ すべての仮想サーバー ]ページで、NetScaler Gateway 仮想サーバーを選択し、[ 分析を有効にする]をクリックします。
-
「 Gateway Insight」を選択します。
-
[ 保存] をクリックします。
GUI を使用して ADC ゲートウェイアプライアンスで AppFlow ユーザー名ログを有効にする
-
[ 構成] > [システム] > [AppFlow] > [設定] に移動し、[ AppFlow 設定の変更] をクリックします。
-
[ AppFlow 設定の構成 ] 画面で、[ AAA ユーザ名] を選択し、[ OK] をクリックします。
Gateway Insightレポートの表示
Citrix ADMでは、ADC Gatewayアプライアンスに関連付けられたすべてのユーザー、アプリケーション、ゲートウェイに関するレポートを表示し、特定のユーザー、アプリケーション、またはゲートウェイの詳細を表示できます。「 概要 」セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザーの数を表示することもできます。
注
グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。NetScaler ADM 分析では、仮想 IP アドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当てについて詳しくは、「 NetScaler ADM でのグループの構成」を参照してください。
EPA、SSO、認証、承認、およびアプリケーション起動の失敗の表示
-
NetScaler ADM で、[ゲートウェイ] >[Gateway Insight]に移動します。
-
ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。
-
[EPA (End Point Analysis)]、[Authentication]、[Authorization]、[SSO (Single Sign On)]、[Application Launch]タブのいずれかをクリックして、エラーの詳細を表示します。
セッションモード、クライアント、およびユーザー数の概要の表示
NetScaler ADM で、[ ゲートウェイ]>[Gateway Insight]に移動し、下にスクロールしてレポートを表示します。
ユーザー
ADC Gateway アプライアンスに関連付けられているユーザーの完全なレポートを表示できます。ユーザーの EPA、認証、SSO、アプリケーションの起動失敗などを表示できます。
また、アクティブなセッションと終了したすべてのユーザーの統合ビューを表示することもできます。
管理者として、このビューを使用すると、次のことが可能になります。
-
単一ペインビジュアライゼーションですべてのユーザーの詳細を表示する
-
各ユーザーを選択し、アクティブなセッションと終了したセッションの表示に関する複雑さを排除
ユーザーの詳細の表示
-
NetScaler ADM で、 ゲートウェイ > Gateway Insight > ユーザーに移動します。
-
ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。
-
期間中のアクティブなユーザー数、アクティブなセッション数、および全ユーザーのバイト数を表示できます。
下にスクロールすると、有効なユーザーとアクティブユーザーの一覧が表示されます。
[ ユーザー ] または [ アクティブなユーザー ] タブで、ユーザーをクリックして、次のユーザーの詳細を表示します。
-
ユーザーの詳細 -ADC Gateway アプライアンスに関連付けられた各ユーザーのインサイトを表示できます。[ ゲートウェイ ] > [ Gateway Insight ] > [ Users ] に移動し、ユーザーをクリックして、選択したユーザーのインサイト (セッションモード、オペレーティングシステム、ブラウザなど) を表示します。
-
選択したゲートウェイのユーザーとアプリケーション -[ゲートウェイ] > [ GatewayInsight ] > [ Gateway ] に移動し、ゲートウェイドメイン名をクリックすると、選択したゲートウェイに関連付けられている上位 10 個のアプリケーションと上位 10 個のユーザーが表示されます。
-
アプリケーションとユーザーの表示オプション — 10 を超えるアプリケーションおよびユーザーの場合、[アプリケーションとユーザー] の [詳細] アイコンをクリックすると、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細を表示できます。
-
棒グラフをクリックして詳細を表示 — 棒グラフをクリックすると、関連する詳細を表示できます。たとえば、[ **ゲートウェイ] > [Gateway Insight] ** [ゲートウェイ] に移動し、ゲートウェイの棒グラフをクリックしてゲートウェイの詳細を表示します。
-
ユーザーのアクティブセッションと終了したセッション。
-
アクティブセッションのゲートウェイドメイン名とゲートウェイのIP アドレス。
-
ユーザーのログイン時間。
-
ユーザーのログアウトセッションの理由。ログアウトの理由は次のとおりです。
- セッションのタイムアウト
- 内部エラーのためログアウトしました
- 非アクティブセッションがタイムアウトしたためログアウトしました
- ユーザーがログアウトしました
-
管理者がセッションを停止しました
検索バーと地理マップビュー
以下を表示できます:
-
ユーザー名に基づいて結果をフィルタリングできる検索バー。[ ゲートウェイ] > [Gateway Insight] > [ユーザー ] に移動すると、 **ユーザーとアクティブユーザーの検索バーが表示されます。検索バーにマウスポインタを置き、[ **ユーザー名] を選択し、ユーザー名を入力して結果をフィルタリングします。
-
ユーザーの地理的位置に基づいてユーザー情報を表示する地理マップ。管理者として、この地理マップを使用すると、特定の場所のユーザー合計、アプリ合計、セッション総数のサマリー、合計セッションを表示できます。
-
Gateway > Gateway Insight に移動して Geo マップを表示します
-
国をクリックします。たとえば、米国
地域マップには、選択した国のユーザーリスト、アクティブなセッション、終了したセッション、アプリケーションなどの詳細が表示されます。
-
アプリケーション
起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。
アプリケーション詳細の表示
- NetScaler ADM で、 ゲートウェイ > Gateway Insight > アプリケーションに移動します。
- アプリケーションの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅が表示されます。
下にスクロールすると、ICAとその他のアプリケーションによって使用されたセッション数、帯域幅、合計バイト数が表示されます。
[ その他のアプリケーション ] タブで、[ 名前 ] 列でアプリケーションをクリックすると、そのアプリケーションの詳細を表示できます。
ゲートウェイ
ADC Gateway アプライアンスに関連付けられたすべてのゲートウェイが使用したゲートウェイ数、アクティブなセッション数、合計バイト数、帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。
ゲートウェイの詳細を表示する
- NetScaler ADM で、「ゲートウェイ」 >「Gateway Insight」>「ゲートウェイ」に移動します。
- ゲートウェイの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
これで、ADC Gateway アプライアンスに関連付けられたすべてのゲートウェイが使用したゲートウェイ数、アクティブなセッション数、合計バイト数、帯域幅をいつでも表示できます。
下にスクロールして、ゲートウェイドメイン名、仮想サーバー名、ADC IPアドレス、セッションモード、合計バイト数などのゲートウェイの詳細を表示します。
「Gateway Domain Name」列でG ateway をクリックすると、EPA、認証、シングル・サインオン、アプリケーション起動の失敗、およびゲートウェイに関するその他の詳細を表示できます。
ゲートウェイの地情報マップを表示して、特定の場所に基づいてユーザーをフィルタリングすることもできます。
-
ゲートウェイ > Gateway Insight > ゲートウェイに移動します
-
ゲートウェイドメイン名を選択して geo マップを表示します
-
国をクリックします。たとえば、米国
地域マップには、選択した国のユーザーリスト、アクティブなセッション、終了したセッション、アプリケーションなどの詳細が表示されます。
レポートのエクスポート
GUI に表示されるすべての詳細を含む Gateway Insight レポートは、PDF、JPEG、PNG、または CSV 形式でローカルコンピューターに保存できます。また、指定された電子メールアドレスへのレポートのエクスポートを、さまざまな間隔でスケジュール設定することができます。
注
- 読み取り専用アクセス権のユーザーは、レポートをエクスポートすることができません。
- 地理地図レポートは、NetScaler ADM がインターネットに接続されている場合にのみエクスポートされます。
レポートのエクスポート
-
[ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。
-
[ 今すぐエクスポート] で、必要な形式を選択し、[ エクスポート] をクリックします。
エクスポートをスケジュールするには:
-
[ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。
-
[ エクスポートのスケジュール] で詳細を指定し、[ スケジュール] をクリックします。
エクスポートスケジュールを編集するには、次の手順に従います。
-
[構成]タブで、[構成]>[ NetScaler Insight Center ]>[ スケジュールのエクスポート ]に移動します。
-
使用可能なリストからレポートを選択し、[ 編集] をクリックします。
-
編集後、[ 保存] をクリックします。
注:
レポートをスケジュールする前に、[ システム ] > [ 通知 ] > [電子メール] に移動し、[ 追加 ] をクリックして電子メールサーバーの設定を行います。
電子メールサーバーまたは電子メール配布リストを追加するには、次の手順を実行します。
-
[ 構成 ] タブで、[ システム ] > [ 通知 ] > [ 電子メール] に移動します。
-
右側のウィンドウで、[ 電子メールサーバー] を選択して電子メールサーバーを追加するか、[ 電子メール配布リスト ] を選択して電子メール配布リストを作成します。
-
詳細を指定し、[ 作成] をクリックします。
Gateway Insightダッシュボード全体をエクスポートするには:
-
[ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。
-
[ 今すぐエクスポート] で [ PDF 形式] を選択し、[ エクスポート] をクリックします。
Gateway Insightのユースケース
次のユースケースは、Gateway Insight を使用して、ADC Gateway アプライアンス上のユーザーのアクセス詳細、アプリケーション、ゲートウェイを可視化する方法を示しています。
1. ユーザーがADC Gatewayアプライアンスまたは内部Webサーバにログオンできない
あなたは、NetScaler ADM を介してADCゲートウェイアプライアンスを監視しているADCゲートウェイ管理者で、ユーザーがログインできない理由や、ログインプロセスのどの段階で障害が発生したかを確認したいと考えています。
NetScaler ADM では、ログインプロセスの次の段階でユーザーログインエラーの詳細を表示できます。
- 認証
- エンドポイント分析(EPA)
- シングルサインオン
NetScaler ADM では、特定のユーザーを検索して、そのユーザーの詳細をすべて表示できます。
ユーザーを検索するには、次の手順に従います。
NetScaler ADM で、[ ゲートウェイ]>[Gateway Insight ]に移動し、[ ユーザーの検索 ]テキストボックスで検索するユーザーを指定します。
認証エラー
資格情報が正しくない、または認証サーバーから応答がないなどの認証エラーについて確認できます。2段階認証を設定している場合、いずれの段階で認証できなかったのか、または両方の段階で認証できなかったのかを確認できます。
認証失敗の詳細を表示する
-
NetScaler ADM で、[ゲートウェイ] >[Gateway Insight]に移動します。
-
[ 概要 ] セクションで、認証エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
- [ 認証 ] タブをクリックします。特定の時点での認証エラーの数は、「 失敗 」グラフでいつでも確認できます。
そのタブのまま下にスクロールすると、Username、Client IP Address、Error Time、Authentication Type、Authentication Server IP Addressなどの各認証エラーの詳細を表で確認できます。表の [ エラーの説明 ] 列にはログオン失敗の理由が表示され、[ 状態 ] 列には、2 段階認証のどの段階でエラーが発生したかが表示されます。
[Us ername ] 列でユーザーをクリックすると、そのユーザーの認証エラーやその他の詳細を表示できます。
次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。
EPAエラー
認証前段階または認証後の段階で EPA の障害を表示できます。
EPA 障害の詳細の表示
-
NetScaler ADM で、[ゲートウェイ] >[Gateway Insight]に移動します。
-
[Overview]セクションでEPAエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ EPA (終点解析) ] タブをクリックします。特定の時点におけるEPAエラーの数は、 障害 グラフで表示できます。
同じタブのテーブルから、 ユーザー名、ADC IPアドレス、ゲートウェイIPアドレス、VPN、エラー時間、ポリシー名、ゲートウェイドメイン名など、 各 EPA エラーの詳細を表示するには、下にスクロールします。表の[Error Description]列にはEPAエラーの理由が記載されており、[Policy Name]列にはエラーの原因となったポリシーが示されています。
[Us ername ] 列でユーザーをクリックすると、そのユーザーの EPA エラーやその他の詳細を表示できます。
次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。
注
「ClientSecurity」表現が VPN セッションポリシールールとして設定されている場合、ADC Gateway は EPA 障害を報告しません。
SSOエラー
ADC Gatewayアプライアンスを介してアプリケーションにアクセスするユーザーについて、どの段階でも SSO 障害をすべて表示できます。
SSO エラーの詳細の表示
-
NetScaler ADM で、[ゲートウェイ] >[Gateway Insight]に移動します。
-
[Overview]セクションでSSOエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ SSO (シングルサインオン) ] タブをクリックします。特定の期間におけるSSOエラーの数が、[Failures]のグラフに表示されます。
同じタブのテーブルから、 ユーザー名、ADC IPアドレス、エラー時間、エラーの説明、リソース名などの各 SSO エラーの詳細を表示するには 、下にスクロールします。
[Username] カラムで ユーザ をクリックすると、そのユーザの SSO エラーやその他の詳細を表示できます。
次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。
2. ADC Gatewayに正常にログオンした後、ユーザーは仮想アプリケーションを起動できない
アプリケーションの起動に失敗した場合、Secure Ticket Authority(STA)またはCitrix Virtual App Serverにアクセスできない、またはSTAチケットが無効であるなどの原因を可視化できます。エラーの時間や詳細、STA検証ができなかったリソースについて確認できます。
アプリケーションの起動失敗の詳細を表示する
-
NetScaler ADM で、[ゲートウェイ] >[Gateway Insight]に移動します。
-
「 概要 」セクションで、SSO エラーを表示したい期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ アプリケーションの起動 ] タブをクリックします。[失敗]グラフでは、任意の時点でのアプリケーション起動の 失敗 数を表示できます。
同じタブのテーブルから、 ADC IPアドレス、エラー時間、エラーの説明、リソース名、ゲートウェイドメイン名など、各アプリケーションの起動エラーの詳細を表示するには、下にスクロールします。表の[Error Description]列にはSTAサーバーのIPアドレスが、[Resource Name]列にはSTA検証ができなかったリソースの詳細が表示されています。
[Us ername ] 列でユーザーをクリックすると、アプリケーションの起動エラーとそのユーザーのその他の詳細を表示できます。
次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。
3. 新しいアプリケーションを正常に起動した後、ユーザーは、そのアプリケーションによって消費された合計バイト数と帯域幅を表示したい
新しいアプリケーションを正常に起動したら、NetScaler ADM で、そのアプリケーションによって消費された合計バイト数と帯域幅を表示できます。
アプリケーションによって消費された合計バイト数と帯域幅の表示
NetScaler ADM で、[ ゲートウェイ] > [Gateway Insight] **[ **アプリケーション] に移動し、下にスクロールして、[その他のアプリケーション ] タブで詳細を表示するアプリケーションをクリックします。
そのアプリケーションが使用したセッション数と合計バイト数が表示されます。
そのアプリケーションが使用した帯域幅も表示されます。
4. ユーザーがADC Gatewayに正常にログオンしましたが、内部ネットワークの特定のネットワークリソースにアクセスできません
Gateway Insightでは、ユーザーがネットワークリソースにアクセスできるかどうかを特定できます。また、エラーの原因となったポリシーの名前を確認できます。
リソースに対するユーザーアクセスの表示
-
NetScaler ADM で、 ゲートウェイ > Gateway Insight > アプリケーションに移動します。
-
表示画面を下にスクロールして、[Other Applications]タブでユーザーがログオンできなかったアプリケーションを選択します。
表示される画面を下にスクロールし、「 ユーザー 」(Users) テーブルに、そのアプリケーションにアクセスできるすべてのユーザーが表示されます。
5. 異なるユーザーが異なるADC Gateway配置を使用しているか、異なるアクセス・モードを介してADCゲートウェイにログオンしている可能性があります。管理者は、展開の種類とアクセスモードの詳細を表示できる必要があります
Gateway Insightでは、ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザー数を確認できます。また、ユーザーのデプロイメントがユニファイドゲートウェイかクラシック ADC ゲートウェイデプロイかを判断することもできます。Unified Gatewayの展開では、コンテンツスイッチ仮想サーバーの名前とIPアドレス、VPN仮想サーバー名を確認できます。
セッションモード、クライアントの種類、ログオンしているユーザー数の概要を表示する
-
NetScaler ADM で、[ゲートウェイ] >[Gateway Insight]に移動します。
-
[ 概要 ] セクションで、下にスクロールして、[ セッションモード]、[オペレーティングシステム]、[ブラウザ]、および [ ユーザーログオンアクティビティ] の各グラフに、ユーザーがログオン するために使用するさまざまなセッションモード、クライアントの種類、および 1 時間ごとにログオンしたユーザー数が表示されます。
