Gateway Insight
NetScaler Gatewayの展開では、ユーザーアクセスの詳細を可視化することは、アクセス障害の問題のトラブルシューティングに不可欠です。ネットワーク管理者は、ユーザーがNetScaler Gatewayにログオンできないタイミングと、ユーザーアクティビティとログオン失敗の理由を知りたいが、通常、その情報はユーザーが解決の要求を送信しない限り利用できません。
Gateway Insightは、アクセスモードに関係なく、NetScaler Gatewayへのログオン時にすべてのユーザーが遭遇した障害を可視化します。あらゆる期間を対象にして、すべての有効なユーザーの一覧、アクティブユーザーの数、アクティブセッションの数、ユーザー全体によって使用されたバイト数とライセンス数を表示できます。ユーザーごとのEPA(End Point Analysis:エンドポイント分析)、認証、SSO(Single Sign On:シングルサインオン)、アプリケーション起動のエラーを表示できます。また、ユーザーごとのアクティブセッションと終了したセッションの詳細を表示できます。
さらに、Gateway Insightは、仮想アプライアンスのアプリケーション起動エラーの理由に関する情報を提供します。これは、あらゆる種類のログオンまたはアプリケーション起動におけるエラーの問題のトラブルシューティングに役立ちます。起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。
NetScaler Gatewayアプライアンスに関連付けられているすべてのゲートウェイが使用しているゲートウェイの数、アクティブなセッションの数、合計バイト数、および帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。
すべてのログメッセージはNetScaler Consoleデータベースに保存されるため、いつでもエラーの詳細を表示できます。また、ログオンエラーの概要を表示して、エラーが発生したログオンプロセスの段階を特定できます。
注意事項:
- Gateway Insightは次の展開においてサポートされています。
- Access Gateway
- Unified Gateway
- NetScaler Consoleのリリースとビルドは、NetScaler Gatewayアプライアンスのリリースとビルドと同じか、それ以降である必要があります。
- アドバンストライセンスを持つNetScaler インスタンスについては、1時間のGateway Insightレポートを表示できます。Gateway Insight レポートを 1 時間以上表示するには、プレミアムライセンスが必要です。
制限事項:
-
認証方法が証明書ベースの認証として構成されている場合、NetScaler Gateway GatewayはGateway Insightをサポートしません。
-
仮想ICAアプリケーションおよびデスクトップに関する成功したユーザーログオン、遅延、アプリケーションレベルの詳細は、HDX Insight Usersダッシュボードでのみ確認できます。
-
ダブルホップモードでは、第2 DMZのNetScaler Gatewayアプライアンスのエラーに関する情報を入手できません。
-
RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)のデスクトップアクセスの問題は報告されません。
-
SAML 認証のGateway Insightレコードは報告されません。
-
Gateway Insightは次の認証タイプでサポートされています。これら以外の認証タイプが使用されている場合、Gateway Insight に不一致が生じる可能性があります。
-
ローカル
-
LDAP
-
RADIUS
-
TACACS
-
SAML
-
ネイティブOTP
-
OAuth
-
Gateway Insightの有効化
NetScaler Gatewayアプライアンスでゲートウェイインサイトを有効にするには、まずNetScaler GatewayアプライアンスをNetScalerコンソールに追加する必要があります。次に、VPNアプリケーションを代表する仮想サーバー向けにAppFlowを有効にしてください。NetScaler Consoleへのデバイスの追加について詳しくは、「 インスタンスの追加」を参照してください。
注
エンドポイント分析(EPA)の障害をNetScaler Consoleで表示するには、NetScaler GatewayアプライアンスでAppFlow認証、承認、およびアクセス制御ユーザー名ログを有効にする必要があります 。
NetScalerコンソールで仮想サーバーのAppFlowを有効にする
-
[ 設定] > [ライセンスと分析の設定]に移動します。
-
「 仮想サーバー分析の概要」で、「 分析の設定」をクリックします。
-
「 すべての仮想サーバー 」ページで、NetScaler Gateway仮想サーバーを選択し、「 セキュリティと分析を有効にする」をクリックします。
-
「 Gateway Insight」を選択します。
-
[保存] をクリックします。
GUIを使用してNetScaler GatewayアプライアンスでAppFlowユーザー名ログを有効にする
-
[ 構成] > [システム] > [AppFlow] > [設定] に移動し、[ AppFlow 設定の変更] をクリックします。
-
[ AppFlow 設定の構成 ] 画面で、[ AAA ユーザ名] を選択し、[ OK] をクリックします。
Gateway Insightレポートの表示
NetScaler Consoleでは、NetScaler Gatewayアプライアンスに関連するすべてのユーザー、アプリケーション、およびゲートウェイのレポートを表示したり、特定のユーザー、アプリケーション、またはゲートウェイの詳細を表示したりできます。「 概要 」セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザーの数を表示することもできます。
注:
グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。NetScaler Consoleの分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループの詳細とグループへのユーザーの割り当てについては、「 NetScaler Consoleでのグループの構成」を参照してください。
EPA、SSO、認証、承認、およびアプリケーション起動の失敗の表示
-
NetScaler コンソールで、[ゲートウェイ] > [ゲートウェイインサイト] に移動します。
-
ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。
-
[EPA (End Point Analysis)]、[Authentication]、[Authorization]、[SSO (Single Sign On)]、[Application Launch]タブのいずれかをクリックして、エラーの詳細を表示します。
セッションモード、クライアント、およびユーザー数の概要の表示
NetScaler Consoleで、[ ゲートウェイ]>[ゲートウェイインサイト]に移動し、下にスクロールしてレポートを表示します。
ユーザー
NetScaler Gatewayアプライアンスに関連するユーザーの完全なレポートを表示できます。ユーザーの EPA、認証、SSO、アプリケーションの起動失敗などを表示できます。
また、アクティブなセッションと終了したすべてのユーザーの統合ビューを表示することもできます。
管理者として、このビューを使用すると、次のことが可能になります。
-
単一ペインビジュアライゼーションですべてのユーザーの詳細を表示する
-
各ユーザーを選択し、アクティブなセッションと終了したセッションの表示に関する複雑さを排除
ユーザーの詳細の表示
-
NetScaler コンソールで、[ゲートウェイ] > [ ゲートウェイインサイト] [ユーザー] に移動します。
-
ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。
-
期間中のアクティブなユーザー数、アクティブなセッション数、および全ユーザーのバイト数を表示できます。
下にスクロールすると、有効なユーザーとアクティブユーザーの一覧が表示されます。
[ ユーザー ] または [ アクティブなユーザー ] タブで、ユーザーをクリックして、次のユーザーの詳細を表示します。
-
ユーザー詳細-NetScaler Gatewayアプライアンスに関連する各ユーザーのインサイトを表示できます。[ Gateway ** ] > [ **Gateway Insight ] > [ Users ] に移動し、ユーザーをクリックして、選択したユーザーのインサイト (セッションモード、オペレーティングシステム、ブラウザなど) を表示します。
-
選択したGateway のユーザーとアプリケーション -[Gateway ] > [ GatewayInsight ] > [ Gateway ] に移動し、Gateway ドメイン名をクリックすると、選択したGateway に関連付けられている上位 10 個のアプリケーションと上位 10 個のユーザーが表示されます。
-
アプリケーションとユーザーの表示オプション — 10 を超えるアプリケーションおよびユーザーの場合、[アプリケーションとユーザー] の [詳細] アイコンをクリックすると、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細を表示できます。
-
棒グラフをクリックして詳細を表示 — 棒グラフをクリックすると、関連する詳細を表示できます。たとえば、[ **Gateway ] > [Gateway Insight] ** [Gateway ] に移動し、Gateway の棒グラフをクリックしてGateway の詳細を表示します。
-
ユーザーのアクティブセッションと終了したセッション。
-
アクティブセッションのゲートウェイドメイン名とゲートウェイのIP アドレス。
-
ユーザーのログイン時間。
-
ユーザーのログアウトセッションの理由。ログアウトの理由は次のとおりです。
- セッションのタイムアウト
- 内部エラーのためログアウトしました
- 非アクティブセッションがタイムアウトしたためログアウトしました
- ユーザーがログアウトしました
-
管理者がセッションを停止しました
検索バーと地理マップビュー
以下を表示できます:
-
ユーザー名に基づいて結果をフィルタリングできる検索バー。[ ゲートウェイ] > [Gateway Insight] > [ユーザー ] に移動すると、 **ユーザーとアクティブユーザーの検索バーが表示されます。検索バーにマウスポインタを置き、[ **ユーザー名] を選択し、ユーザー名を入力して結果をフィルタリングします。
-
ユーザーの地理的位置に基づいてユーザー情報を表示する地理マップ。管理者として、この地理マップを使用すると、特定の場所のユーザー合計、アプリ合計、セッション総数のサマリー、合計セッションを表示できます。
-
Gateway > Gateway Insight に移動して Geo マップを表示します
-
国をクリックします。たとえば、米国
地域マップには、選択した国のユーザーリスト、アクティブなセッション、終了したセッション、アプリケーションなどの詳細が表示されます。
-
アプリケーション
起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。
アプリケーション詳細の表示
- NetScaler コンソールで、[ゲートウェイ] > [ ゲートウェイインサイト] [アプリケーション] に移動します。
- アプリケーションの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅が表示されます。
下にスクロールすると、ICAとその他のアプリケーションによって使用されたセッション数、帯域幅、合計バイト数が表示されます。
[ その他のアプリケーション ] タブで、[ 名前 ] 列でアプリケーションをクリックすると、そのアプリケーションの詳細を表示できます。
ゲートウェイ
NetScaler Gateway アプライアンスに関連付けられているすべてのゲートウェイで使用されているゲートウェイの数、アクティブなセッションの数、合計バイト数、および帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。
ゲートウェイの詳細を表示する
- NetScaler コンソールで、[ゲートウェイ] > [ ゲートウェイインサイト] [ゲートウェイ] に移動します。
- ゲートウェイの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
これにより、あらゆる期間を対象にして、NetScaler Gatewayアプライアンスに関連するゲートウェイ数、アクティブセッション数、ゲートウェイ全体で使用された合計バイト数と帯域幅を確認できます。
下にスクロールすると、Gateway ドメイン名、仮想サーバー名、NetScaler IPアドレス、セッションモード、合計バイト数などのGateway の詳細が表示されます。
「Gateway Domain Name」列でG ateway をクリックすると、EPA、認証、シングル・サインオン、アプリケーション起動の失敗、およびGateway に関するその他の詳細を表示できます。
ゲートウェイの地情報マップを表示して、特定の場所に基づいてユーザーをフィルタリングすることもできます。
-
ゲートウェイ > Gateway Insight > ゲートウェイに移動します
-
ゲートウェイドメイン名を選択して geo マップを表示します
-
国をクリックします。たとえば、米国
地域マップには、選択した国のユーザーリスト、アクティブなセッション、終了したセッション、アプリケーションなどの詳細が表示されます。
レポートのエクスポート
GUI に表示されるすべての詳細を含む Gateway Insight レポートは、PDF、JPEG、PNG、または CSV 形式でローカルコンピューターに保存できます。また、指定された電子メールアドレスへのレポートのエクスポートを、さまざまな間隔でスケジュール設定することができます。
注
- 読み取り専用アクセス権のユーザーは、レポートをエクスポートすることができません。
- ジオマップレポートは、NetScaler コンソールがインターネットに接続されている場合にのみエクスポートされます。
レポートのエクスポート
-
[ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。
-
[ 今すぐエクスポート] で、必要な形式を選択し、[ エクスポート] をクリックします。
エクスポートをスケジュールするには:
-
[ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。
-
[ エクスポートのスケジュール] で詳細を指定し、[ スケジュール] をクリックします。
エクスポートスケジュールを編集するには、次の手順に従います。
-
[構成]タブで、[構成]>[ NetScaler Insight Center ]>[ スケジュールのエクスポート ]に移動します。
-
使用可能なリストからレポートを選択し、[ 編集] をクリックします。
-
編集後、[ 保存] をクリックします。
注:
レポートをスケジュールする前に、[ システム ] > [ 通知 ] > [電子メール] に移動し、[ 追加 ] をクリックして電子メールサーバーの設定を行います。
電子メールサーバーまたは電子メール配布リストを追加するには、次の手順を実行します。
-
[ 構成 ] タブで、[ システム ] > [ 通知 ] > [ 電子メール] に移動します。
-
右側のウィンドウで、[ 電子メールサーバー] を選択して電子メールサーバーを追加するか、[ 電子メール配布リスト ] を選択して電子メール配布リストを作成します。
-
詳細を指定し、[ 作成] をクリックします。
Gateway Insightダッシュボード全体をエクスポートするには:
-
[ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。
-
[ 今すぐエクスポート] で [ PDF 形式] を選択し、[ エクスポート] をクリックします。
Gateway Insightのユースケース
次のユースケースは、Gateway Insightを使用して、NetScaler Gateway アプライアンス上のユーザーのアクセスの詳細、アプリケーション、およびGateway を可視化する方法を示しています。
1. ユーザーはNetScaler Gatewayアプライアンスまたは内部Webサーバーにログオンできません
あなたはNetScaler Gateway管理者で、NetScaler Consoleを使用してNetScaler Gatewayアプライアンスを監視していますが、ユーザーがログインできない理由や、ログインプロセスのどの段階で障害が発生したのかを知りたいと考えています。
NetScaler Consoleでは、ログインプロセスの次の段階でユーザーログインエラーの詳細を表示できます。
- 認証
- エンドポイント分析(EPA)
- シングルサインオン
NetScaler Consoleでは、特定のユーザーを検索し、そのユーザーのすべての詳細を表示できます。
ユーザーを検索するには、次の手順に従います。
NetScaler Consoleで、[ ゲートウェイ]>[ゲートウェイインサイト ]に移動し、[ ユーザーの検索 ]テキストボックスで、検索するユーザーを指定します。
認証エラー
資格情報が正しくない、または認証サーバーから応答がないなどの認証エラーについて確認できます。2段階認証を設定している場合、いずれの段階で認証できなかったのか、または両方の段階で認証できなかったのかを確認できます。
認証失敗の詳細を表示する
-
NetScaler コンソールで、[ゲートウェイ] > [ゲートウェイインサイト] に移動します。
-
[ 概要 ] セクションで、認証エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ 認証 ] タブをクリックします。特定の時点での認証エラーの数は、「 失敗 」グラフでいつでも確認できます。
そのタブのまま下にスクロールすると、Username、Client IP Address、Error Time、Authentication Type、Authentication Server IP Addressなどの各認証エラーの詳細を表で確認できます。表の [ エラーの説明 ] 列にはログオン失敗の理由が表示され、[ 状態 ] 列には、2 段階認証のどの段階でエラーが発生したかが表示されます。
[Us ername ] 列でユーザーをクリックすると、そのユーザーの認証エラーやその他の詳細を表示できます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
EPAエラー
認証前段階または認証後の段階で EPA の障害を表示できます。
EPA 障害の詳細の表示
-
NetScaler コンソールで、[ゲートウェイ] > [ゲートウェイインサイト] に移動します。
-
[Overview]セクションでEPAエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ EPA (終点解析) ] タブをクリックします。特定の時点におけるEPAエラーの数は、 障害 グラフで表示できます。
そのタブのまま下にスクロールすると、Username、NetScaler IP Address、Gateway IP Address、VPN、Error Time、Policy Name、Gateway Domain Nameなどの各EPAエラーの詳細を表で確認できます。表の[Error Description]列にはEPAエラーの理由が記載されており、[Policy Name]列にはエラーの原因となったポリシーが示されています。
[Us ername ] 列でユーザーをクリックすると、そのユーザーの EPA エラーやその他の詳細を表示できます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
注
「ClientSecurity」式がVPNセッションポリシールールとして構成されている場合、NetScaler GatewayはEPAエラーを報告しません。
SSOエラー
ユーザーがNetScaler Gatewayアプライアンスを経由してアプリケーションにアクセスする中で、あらゆる段階のSSOエラーについて確認できます。
SSO エラーの詳細の表示
-
NetScaler コンソールで、[ゲートウェイ] > [ゲートウェイインサイト] に移動します。
-
[Overview]セクションでSSOエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ SSO (シングルサインオン) ] タブをクリックします。特定の期間におけるSSOエラーの数が、[Failures]のグラフに表示されます。
そのタブのまま下にスクロールすると、Username、NetScaler IP Address、Error Time、Error Description、Resource Nameなどの各SSOエラーの詳細を表で確認できます。
[Username] カラムで ユーザ をクリックすると、そのユーザの SSO エラーやその他の詳細を表示できます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
2. NetScaler Gateway に正常にログオンした後、ユーザーは仮想アプリケーションを起動できない
アプリケーションの起動に失敗した場合、Secure Ticket Authority(STA)またはCitrix Virtual App Serverにアクセスできない、またはSTAチケットが無効であるなどの原因を可視化できます。エラーの時間や詳細、STA検証ができなかったリソースについて確認できます。
アプリケーションの起動失敗の詳細を表示する
-
NetScaler コンソールで、[ゲートウェイ] > [ゲートウェイインサイト] に移動します。
-
「 概要 」セクションで、SSO エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。
-
[ アプリケーションの起動 ] タブをクリックします。[失敗]グラフでは、任意の時点でのアプリケーション起動の 失敗 数を表示できます。
そのタブのまま下にスクロールすると、NetScaler IP Address、Error Time、Error Description、Resource Name、Gateway Domain Nameなどの各アプリケーション起動エラーの詳細を表で確認できます。表の[Error Description]列にはSTAサーバーのIPアドレスが、[Resource Name]列にはSTA検証ができなかったリソースの詳細が表示されています。
[Us ername ] 列でユーザーをクリックすると、アプリケーションの起動エラーとそのユーザーのその他の詳細を表示できます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
3. 新しいアプリケーションを正常に起動した後、ユーザーは、そのアプリケーションによって消費された合計バイト数と帯域幅を表示したい
新しいアプリケーションを正常に起動すると、NetScaler Consoleで、そのアプリケーションが消費した合計バイト数と帯域幅を表示できます。
アプリケーションによって消費された合計バイト数と帯域幅の表示
NetScaler Consoleで、[ゲートウェイ] >[ゲートウェイインサイト]>[ アプリケーション]に移動し、下にスクロールして、[その他のアプリケーション ]タブで詳細を表示したいアプリケーションをクリックします。
そのアプリケーションが使用したセッション数と合計バイト数が表示されます。
そのアプリケーションが使用した帯域幅も表示されます。
4. ユーザーがNetScaler Gateway に正常にログオンしたが、内部ネットワークの特定のネットワークリソースにアクセスできない
Gateway Insightでは、ユーザーがネットワークリソースにアクセスできるかどうかを特定できます。また、エラーの原因となったポリシーの名前を確認できます。
リソースに対するユーザーアクセスの表示
-
NetScaler コンソールで、[ゲートウェイ] > [ ゲートウェイインサイト] [アプリケーション] に移動します。
-
表示画面を下にスクロールして、[Other Applications]タブでユーザーがログオンできなかったアプリケーションを選択します。
表示される画面を下にスクロールし、「 ユーザー 」(Users) テーブルに、そのアプリケーションにアクセスできるすべてのユーザーが表示されます。
5. ユーザーが異なるNetScaler Gateway 展開環境を使用している場合や、異なるアクセスモードでNetScaler Gatewayにログオンしている場合があります。管理者は、展開の種類とアクセスモードの詳細を表示できる必要があります
Gateway Insightでは、ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザー数を確認できます。また、ユーザーの展開が統合Gateway であるか、従来のNetScaler Gateway 展開であるかを判断することもできます。Unified Gatewayの展開では、コンテンツスイッチ仮想サーバーの名前とIPアドレス、VPN仮想サーバー名を確認できます。
セッションモード、クライアントの種類、ログオンしているユーザー数の概要を表示する
-
NetScaler コンソールで、[ゲートウェイ] > [ゲートウェイインサイト] に移動します。
-
[ 概要 ] セクションで、下にスクロールして、[ セッションモード]、[オペレーティングシステム]、[ブラウザ]、および [ ユーザーログオンアクティビティ] の各グラフに、ユーザーがログオン するために使用するさまざまなセッションモード、クライアントの種類、および 1 時間ごとにログオンしたユーザー数が表示されます。