HDX Insight データ収集の有効化
HDX Insight は、NetScaler ADCインスタンスまたはCitrix SD-WANアプライアンスを通過するICAトラフィックをこれまでにないエンドツーエンドで可視化することで、NetScaler Application Delivery Management(ADM) Analyticsが卓越したユーザーエクスペリエンスを提供できるようにします。HDX Insightは、ネットワーク、仮想デスクトップ、アプリケーション、アプリケーションファブリック向けの優秀かつ有能なビジネスインテリジェンスとエラー分析機能を提供します。HDX Insightはユーザーの問題を優先度によってすぐに選別すると同時に、仮想デスクトップ接続に関するデータを収集し、AppFlowレコードを生成して、それらをビジュアルレポートとして提示します。
NetScaler ADCでデータ収集を有効にする構成は、導入トポロジーにおけるアプライアンスの位置によって異なります。
LANユーザーモードで展開されたCitrix ADCを監視するためのデータ収集の有効化
Citrix Virtual Apps and Desktopsアプリケーションにアクセスする外部ユーザーは、Citrix Gatewayで自分自身を認証する必要があります。ただし、内部ユーザーはNetScaler Gateway にリダイレクトする必要がない場合があります。また、透過モードの展開では、管理者が手動でルーティングポリシーを適用して、要求がNetScaler ADC アプライアンスにリダイレクトされるようにする必要があります。
これらの課題を克服し、LANユーザーがCitrix Virtual Apps and Desktopsアプリケーションに直接接続できるようにするには、NetScaler Gatewayアプライアンス上でSOCKSプロキシとして機能するキャッシュリダイレクト仮想サーバーを構成して、LANユーザーモードでNetScaler ADCアプライアンスを展開します。
注: NetScaler ADM とNetScaler Gateway アプライアンスは同じサブネットにあります。
このモードで展開されたCitrix ADCアプライアンスを監視するには、まずCitrix ADCアプライアンスをNetScaler Insightインベントリに追加し、AppFlowを有効にしてから、ダッシュボードにレポートを表示します。
NetScaler ADCアプライアンスをNetScaler ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。
注
- ADCインスタンスでは、[ システム ] > [ AppFlow ] > [ コレクター] に移動して、コレクター(つまり、Citrix ADM)が稼働しているかどうかを確認できます。NetScaler ADC インスタンスは、NSIPを使用してAppFlow レコードをNetScaler ADM に送信します。ただし、インスタンスはSNIPを使用してNetScaler ADM との接続を確認します。そのため、SNIP がインスタンスに設定されていることを確認してください。
- NetScaler ADM構成ユーティリティを使用して、LANユーザーモードで展開されたNetScaler ADCでデータ収集を有効にすることはできません。
- コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
- ポリシー式については、「ポリシーと式」を参照してください。
コマンドラインインターフェイスを使用してNetScaler ADC アプライアンスでデータ収集を構成するには:
コマンドプロンプトで、次の操作を行います:
-
アプライアンスにログオンします。
-
プロキシIPおよびポートを指定してフォワードプロキシキャッシュリダイレクト仮想サーバーを追加します。また、サービスタイプとしてHDXを指定します。
add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
例
add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180 <!--NeedCopy-->注: NetScaler Gateway アプライアンスを使用してLANネットワークにアクセスする場合は、VPNトラフィックに一致するポリシーによって適用されるアクションを追加します。
add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
add vpn trafficPolicy <name> <rule> <action>
例
add vpn trafficAction act1 tcp -HDX ON add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1 <!--NeedCopy--> -
NetScaler ADM をNetScaler ADC アプライアンスのAppFlowコレクタとして追加します。
add appflow collector <name> -IPAddress <ip_addr>
例:
add appflow collector MyInsight -IPAddress 192.168.1.101 <!--NeedCopy--> -
AppFlowアクションを作成して、コレクターを関連付けます。
add appflow action <name> -collectors <string> …
例:
add appflow action act -collectors MyInsight <!--NeedCopy--> -
トラフィック生成の規則を指定するためのAppFlowポリシーを作成します。
add appflow policy <policyname> <rule> <action>
例:
add appflow policy pol true act <!--NeedCopy--> -
グローバルバインドポートにAppFlowポリシーをバインドします。
bind appflow global <policyname> <priority> -type <type>
例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT <!--NeedCopy-->注: ICAトラフィックに適用するには、タイプの値を ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT にする必要があります。
-
AppFlowのflowRecordIntervalパラメーターの値を60秒に設定します。
set appflow param -flowRecordInterval 60
例:
set appflow param -flowRecordInterval 60 <!--NeedCopy--> -
構成を保存します。種類:
save ns config
シングルホップモードで展開されたCitrix Gateway アプライアンスのデータ収集の有効化
NetScaler Gateway をシングルホップモードで展開すると、ネットワークのエッジになります。Gateway インスタンスは、デスクトップ配信インフラストラクチャへのプロキシ ICA 接続を提供します。シングルホップは、最も単純で最も一般的な導入方法です。シングルホップモードは、外部ユーザーが組織内の内部ネットワークにアクセスしようとした場合にセキュリティを確保します。 シングルホップモードでは、ユーザーは仮想プライベートネットワーク(VPN)を介してNetScaler ADCアプライアンスにアクセスします。
レポートの収集を開始するには、NetScaler GatewayアプライアンスをCitrix Application Delivery Management(ADM)インベントリに追加し、ADMでAppFlow を有効にする必要があります。
NetScaler ADM からAppFlow 機能を有効にするには:
-
Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。
-
[User Name] と [Password] に管理者の資格情報を入力します。
-
[ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするNetScaler ADC インスタンスを選択します。
-
「アクションの選択」 ドロップダウンから、「 Analytics の設定」を選択します。
-
VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。
-
「 AppFlowを有効にする 」フィールドに「 true」と入力し、「 ICA」を選択します。
-
[OK] をクリックします。
注:シングルホップモードでAppFlowを有効にすると、次のコマンドがバックグラウンドで実行されます。トラブルシューティングのため、こちらにそのコマンドを明記します。
- add appflow collector <name> -IPAddress <ip_addr>
- アプリフローアクションを追加 \ <name\ > -コレクター \ <string\ >
- set appflow param -flowRecordInterval <secs>
- disable ns feature AppFlow
- enable ns feature AppFlow
- add appflow policy <name> <rule> <expression>
- set appflow policy <name> -rule <expression>
- bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
- set vpn vserver <name> -appflowLog ENABLED
- save ns config
EUEM仮想チャネルデータは、NetScaler ADM がゲートウェイインスタンスから受信するHDX Insight データの一部です。EUEM仮想チャネルは、ICA RTTに関するデータを提供します。EUEM仮想チャネルが有効になっていない場合でも、残りのHDX Insight データはNetScaler ADM に表示されます。
ダブルホップモードで展開されたCitrix Gateway アプライアンスのデータ収集を有効にする
NetScaler Gateway のダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装地帯(DMZ)に侵入してセキュアネットワークのサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護できます。ICA接続が通過するホップ(NetScaler Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、NetScaler ADMをインストールして、NetScaler Gatewayアプライアンスこれらの重要な統計を報告する。
最初のDMZのNetScaler Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このNetScaler Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。
2つ目のDMZのNetScaler Gateway は、NetScaler Gateway プロキシデバイスとして機能します。このNetScaler Gateway により、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。
NetScaler ADM は、最初のDMZのNetScaler Gatewayアプライアンスに属するサブネットか、2番目のDMZのNetScaler Gatewayアプライアンスに属するサブネットのいずれかに展開できます。上の画像では、最初のDMZのNetScaler ADMとNetScaler Gatewayが同じサブネットにデプロイされています。
ダブルホップモードでは、NetScaler ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。Citrix Gateway アプライアンスをCitrix ADM インベントリに追加してデータ収集を有効にすると、各アプライアンスはホップカウントと接続チェーンIDを追跡してレポートをエクスポートします。
NetScaler ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップカウントは、トラフィックがクライアントからサーバーに流れるNetScaler Gatewayアプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。
NetScaler ADM は、ホップカウントと接続チェーンIDを使用して、両方のNetScaler Gatewayアプライアンスからのデータを相互に関連付け、レポートを生成します。
このモードで展開されたCitrix Gatewayアプライアンスを監視するには、まずCitrix GatewayをCitrix ADM インベントリに追加し、Citrix ADM でAppFlowを有効にしてから、Citrix ADM ダッシュボードでレポートを表示する必要があります。
NetScaler ADM でのデータ収集の有効化
両方のアプライアンスからICA詳細の収集を開始するようにNetScaler ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。このような状況を解決するには、最初のCitrix Gateway アプライアンスの1つでAppFlow for ICAを有効にし、次に2番目のアプライアンスでAppFlow for TCPを有効にする必要があります。この作業を行うことにより、一方のアプライアンスはICA AppFlowレコードをエクスポートし、もう一方のアプライアンスはTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。
NetScaler ADM からAppFlow 機能を有効にするには:
-
Webブラウザで、Citrix ADM IPアドレス(例: http://192.168.100.1)を入力します。
-
[User Name] と [Password] に管理者の資格情報を入力します。
-
[ ネットワーク ] > [ インスタンス] に移動し、分析を有効にするNetScaler ADC インスタンスを選択します。
-
「アクションの選択」 ドロップダウンから、「 Analytics の設定」を選択します。
-
VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。
-
「 AppFlow を有効にする 」フィールドに「 true」と入力し、ICAトラフィック用の ICA/TCP 、TCPトラフィック用のICA/TCP をそれぞれ選択します。
注: Citrix ADCアプライアンスの各サービスまたはサービスグループでAppFlowロギングが有効になっていない場合、Insight列に「有効」と表示されていても、Citrix ADM ダッシュボードにはレコードが表示されません。
-
[OK] をクリックします。
データをエクスポートするためのNetScaler Gatewayアプライアンスの設定
NetScaler Gateway アプライアンスをインストールした後、NetScaler Gatewayアプライアンスで次の設定を構成して、レポートをNetScaler ADM にエクスポートする必要があります。
- 第1および第2のDMZにあるNetScaler Gatewayアプライアンスの仮想サーバーが相互に通信するように構成します。
- 2番目のDMZのNetScaler Gateway 仮想サーバーを、最初のDMZのNetScaler Gateway仮想サーバーにバインドします。
- 2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。
- 2番目のDMZのNetScaler Gateway 仮想サーバーでの認証を無効にします。
- いずれかのNetScaler GatewayアプライアンスでICAレコードをエクスポートできるようにします
- 他のNetScaler GatewayアプライアンスがTCPレコードをエクスポートできるようにします。
- 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。
コマンドラインインターフェイスを使用したCitrix Gatewayの構成:
-
最初のDMZのNetScaler Gateway 仮想サーバーが、2番目のDMZのNetScaler Gateway仮想サーバーと通信するように構成します。
add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure(ON or OFF)] [-imgGifToPng] …
add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
-
2番目のDMZのNetScaler Gateway 仮想サーバーを、最初のDMZのNetScaler Gateway仮想サーバーにバインドします。最初のDMZのNetScaler Gateway で次のコマンドを実行します。
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1
-
2つ目のDMZのNetScaler Gateway でダブルホップとAppFlow を有効にします。
set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
-
2番目のDMZのNetScaler Gateway 仮想サーバーでの認証を無効にします。
set vpn vserver<name> [-authentication (ON or OFF)]
set vpn vserver vs -authentication OFF
-
いずれかのNetScaler Gateway アプライアンスでTCPレコードをエクスポートできるようにします。
bind vpn vserver<name> [-policy<string>-priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
-
他のNetScaler Gateway アプライアンスでICAレコードをエクスポートできるようにします:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
-
両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします:
set appFlow param [-connectionChaining (ENABLED or DISABLED)]
set appflow param -connectionChaining ENABLED
構成ユーティリティを使用したNetScaler Gateway の構成:
-
最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。
-
[構成]タブで[NetScaler Gateway] を展開し、[仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[Advanced]グループで[Published Applications]を展開します。
-
[ネクストホップサーバー ]をクリックし、ネクストホップサーバーを2つ目のNetScaler Gateway アプライアンスにバインドします。
-
-
2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。
-
[構成 ]タブで[NetScaler Gateway] を展開し、[仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、基本設定グループで 編集アイコンをクリックします 。
-
[More]を展開し、[Double Hop]を選択して[OK]をクリックします。
-
-
2番目のDMZのNetScaler Gateway上の仮想サーバーでの認証を無効にします。
-
「構成」タブで 「 Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。
-
右側のペインで仮想サーバーをダブルクリックし、基本設定グループで 編集アイコンをクリックします 。
-
[More]を展開し、[Enable Authentication]をオフにします。
-
-
Citrix Gateway アプライアンスのいずれかでTCPレコードをエクスポートできるようにします。
-
「構成」タブで 「 Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。
-
右側のペインで仮想サーバーをダブルクリックし、[Advanced]グループで[Policies]を展開します。
-
「+ 」アイコンをクリックし 、「ポリシーの 選択 」ドロップダウンリストで「AppFlow 」を選択 し、「 タイプの選択 」ドロップダウンリストから「その他の TCP リクエスト」を選択 します。
-
[続行] をクリックします。
-
ポリシーのバインドを追加して、[Close]をクリックします。
-
-
他のNetScaler Gateway アプライアンスでICAレコードをエクスポートできるようにします:
-
「構成」タブで 「 Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。
-
右側のペインで仮想サーバーをダブルクリックし、「詳細設定 」グループで「ポリシー」 を展開 します。
-
「+ 」アイコンをクリックし 、「ポリシー の 選択」ドロップダウンリストで「AppFlow 」を選択 し、「タイプ を選択」ドロップダウンリストから「その他のTCP リクエスト」を選択 します。
-
[続行] をクリックします。
-
ポリシーのバインドを追加して、[Close]をクリックします。
-
-
両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。
-
[Configuration]タブで、[System]>[Appflow]の順に選択します。
-
右側のペインの [設定 ] グループで 、[Appflow 設定の変更] をクリックし ます。
-
[Connection Chaining]を選択し、[OK]をクリックします。
-
-
最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。
-
[構成]タブで[NetScaler Gateway]を展開し、[仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[詳細設定] グループで[ 公開 アプリケーション] を展開 します。
-
[ネクストホップサーバー]をクリックし、ネクストホップサーバーを2番目のNetScaler Gatewayアプライアンスにバインドします。
-
-
2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。
-
[構成]タブで[NetScaler Gateway]を展開し、[仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。
-
「詳細」を 展開 し、「ダブルホップ 」を選択 して「OK」をクリック します。
-
-
2番目のDMZのNetScaler Gateway上の仮想サーバーでの認証を無効にします。
-
「構成」タブで 「 Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。
-
右側のペインで仮想サーバーをダブルクリックし、基本設定 グループで 編集アイコンをクリックします。
-
[More]を展開し、[Enable Authentication]をオフにします。
-
-
Citrix Gateway アプライアンスのいずれかでTCPレコードをエクスポートできるようにします。
-
[構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[詳細設定] グループで [ ポリシー ] を展開 します。
-
「+ 」アイコンをクリックし 、「ポリシー の 選択」ドロップダウンリストから「AppFlow 」を選択 し、「 タイプの選択 」ドロップダウンリストから「その他の TCP 要求」を選択 します。
-
[続行] をクリックします。
-
ポリシーのバインドを追加して、[Close]をクリックします。
-
-
他のNetScaler GatewayアプライアンスがICAレコードをエクスポートできるようにします。
-
[構成]タブで[NetScaler Gateway]を展開し、[仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、「詳細設定」グループで「 ポリシー」を展開 します。
-
「+ 」アイコンをクリックし 、「ポリシー の 選択」ドロップダウンリストで「AppFlow 」を選択 し、「 タイプ の選択」ドロップダウンリストから「その他の TCP リクエスト」を選択 します。
-
[続行] をクリックします。
-
ポリシーのバインドを追加して、[Close]をクリックします。
-
-
両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。
透過モードで展開されたNetScaler ADCを監視するためのデータ収集の有効化
NetScaler ADC を透過モードで展開すると、クライアントは仮想サーバーを介さず、直接サーバーにアクセスできます。NetScaler ADCアプライアンスがCitrix Virtual Apps and Desktop環境にトランスペアレントモードで展開されている場合、ICAトラフィックはVPN経由で送信されません。
NetScaler ADCをNetScaler ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。データ収集を有効にできるかどうかは、デバイスとモードによって決まります。その場合は、Citrix ADMをAppFlowコレクターとして各Citrix ADCアプライアンスに追加する必要があります。また、アプライアンスを通過するすべてまたは特定のICAトラフィックを収集するようにAppflowポリシーを構成する必要があります。
注
- NetScaler ADM構成ユーティリティを使用して、透過モードで展開されたNetScaler ADCでデータ収集を有効にすることはできません。
- コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
- ポリシー式については、「ポリシーと式」を参照してください。
次の図は、NetScaler ADCが透過モードで展開された場合のNetScaler ADMのネットワーク展開を示しています。
コマンドラインインターフェイスを使用してNetScaler ADC アプライアンスでデータ収集を構成するには:
コマンドプロンプトで、次の操作を行います:
-
アプライアンスにログオンします。
-
NetScaler ADCアプライアンスがトラフィックをリッスンするICAポートを指定します。
set ns param --icaPorts <port>... <!--NeedCopy-->例:
set ns param -icaPorts 2598 1494 <!--NeedCopy-->注
- このコマンドでは、最大10個のポートを指定できます。
- デフォルトのポート番号は2598です。ポート番号は、必要に応じて変更できます。
-
NetScaler Insight Center をCitrix ADCアプライアンスのAppFlowコレクターとして追加します。
add appflow collector <name> -IPAddress <ip_addr> <!--NeedCopy-->例:
add appflow collector MyInsight -IPAddress 192.168.1.101 <!--NeedCopy-->注: Citrix ADCアプライアンスに設定されているAppFlowコレクターを表示するには 、show appflow collectorコマンドを使用します。
-
AppFlowアクションを作成して、コレクターを関連付けます。
add appflow action <name> -collectors <string> ... <!--NeedCopy-->例:
add appflow action act -collectors MyInsight
-
トラフィック生成の規則を指定するためのAppFlowポリシーを作成します。
add appflow policy <policyname> <rule> <action> <!--NeedCopy-->例:
add appflow policy pol true act <!--NeedCopy--> -
グローバルバインドポートにAppFlowポリシーをバインドします。
bind appflow global <policyname> <priority> -type <type> <!--NeedCopy-->例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT <!--NeedCopy-->注 :ICAトラフィックに適用するには、タイプの値を ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT にする必要があります。
-
AppFlowのflowRecordIntervalパラメーターの値を60秒に設定します。
set appflow param -flowRecordInterval 60 <!--NeedCopy-->例:
set appflow param -flowRecordInterval 60 <!--NeedCopy--> -
構成を保存します。種類:
save ns config