NetScaler ADM で、 Gateway > Gateway Insightに移動します。
ユーザーの詳細を表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
EPA (エンドポイント分析)、認証、承認、SSO (シングル サインオン)、またはアプリケーションの起動タブをクリックすると、失敗の詳細が表示されます。
NetScaler Gateway の展開では、アクセス障害の問題をトラブルシューティングするには、ユーザーのアクセス詳細の可視性が不可欠です。 ネットワーク管理者としては、ユーザーが NetScaler Gateway にログオンできない場合にその状況を把握し、ユーザーのアクティビティとログオン失敗の理由を把握する必要があります。 この情報は通常、ユーザーが解決のリクエストを送信しない限り入手できません。
Gateway Insight は、アクセス モードに関係なく、NetScaler Gateway へのログオン時にすべてのユーザーが遭遇した障害を可視化します。 利用可能なすべてのユーザー、アクティブ ユーザーの数、アクティブ セッションの数、および特定の時点ですべてのユーザーが使用したバイトとライセンスのリストを表示できます。 ユーザーのエンドポイント分析 (EPA)、認証、シングル サインオン (SSO)、およびアプリケーション起動の失敗を表示できます。 ユーザーのアクティブなセッションと終了したセッションの詳細を表示することもできます。
Gateway Insight は、仮想アプリケーションのアプリケーション起動失敗の理由を可視化します。 これにより、あらゆる種類のログオンまたはアプリケーションの起動失敗の問題をトラブルシューティングする能力が向上します。 起動されたアプリケーションの数、合計セッション数とアクティブセッション数、合計バイト数、アプリケーションによって消費された帯域幅を表示できます。 アプリケーションのユーザー、セッション、帯域幅、起動エラーの詳細を表示できます。
NetScaler Gateway アプライアンスに関連付けられているすべてのゲートウェイの数、アクティブ セッションの数、合計バイト数、および使用されている帯域幅をいつでも表示できます。 ゲートウェイの EPA、認証、シングル サインオン、およびアプリケーション起動の失敗を表示できます。 ゲートウェイに関連付けられているすべてのユーザーとそのログオン アクティビティの詳細を表示することもできます。
すべてのログ メッセージは NetScaler ADM データベースに保存されるため、任意の期間のエラーの詳細を表示できます。 ログオン失敗の概要を表示し、ログオン プロセスのどの段階で失敗が発生したかを判断することもできます。
NetScaler ADM のリリースとビルドは、NetScaler Gateway アプライアンスのリリースとビルドと同じかそれ以降である必要があります。
認証方法が証明書ベースの認証として構成されている場合、NetScaler Gateway は Gateway Insight をサポートしません。
Gateway Insight レポートの場合、NetScaler アプライアンスから地理的位置情報は提供されません。
仮想 ICA アプリケーションおよびデスクトップの成功したユーザー ログオン、待機時間、およびアプリケーション レベルの詳細は、HDX Insight ユーザー ダッシュボードにのみ表示されます。
ダブルホップ モードでは、2 番目の DMZ にある NetScaler Gateway アプライアンスの障害を可視化することはできません。
リモート デスクトップ プロトコル (RDP) デスクトップ アクセスの問題は報告されません。
Gateway Insight は、次の認証タイプでサポートされています。 これら以外の認証タイプを使用すると、Gateway Insight に矛盾が発生する可能性があります。
OAuth-OpenIDコネクト
OAuth-OpenID Connect 認証の場合、NetScaler は OAuth-OpenID Connect の依存パーティ (RP) または OAuth-OpenID Connect のアイデンティティ プロバイダー (IdP) として機能できます。 認証が成功すると、ユーザー名が Gateway Insight レポートの [ユーザー] タブに表示されます。 ただし、セッションが IdP で作成されたのか RP で作成されたのかを識別することはできません。
注: OAuth-OpenID Connect 認証は、NetScaler ADM リリース 13.1 ビルド 4.xx 以降でサポートされています。
NetScaler Gateway アプライアンスで Gateway Insight を有効にするには、まず NetScaler Gateway アプライアンスを NetScaler ADM に追加する必要があります。 次に、VPN アプリケーションを表す仮想サーバーに対して AppFlow を有効にする必要があります。 NetScaler ADM にデバイスを追加する方法については、「デバイスの追加」を参照してください。
注記
NetScaler ADM でエンドポイント分析 (EPA) の障害を表示するには、NetScaler Gateway アプライアンスで AppFlow 認証、承認、および監査ユーザー名 のログ記録を有効にする必要があります。
NetScaler ADM が 13.0 Build 36.27の場合、ゲートウェイ インサイトを有効にする次の手順が適用されます。
インフラストラクチャ >インスタンスに移動し、AppFlow を有効にするインスタンスを選択します。
アクションの選択 リストから、 分析の構成を選択します。
Insight の構成 ページの Analytics の構成で、 NetScaler Gatewayを選択します。
仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。
AppFlow の有効化 画面の 式の選択 リストで、true をクリックします。
トランスポート モードの横にある ログ ストリーム チェック ボックスをオンにします。
注記
トランスポート モードとして、 IPFIX または Logstream のいずれかを選択できます。
IPFIX および ログストリームの詳細については、 ログストリームの概要を参照してください。
OKをクリックします。
インフラストラクチャ >インスタンスに移動し、インスタンスを選択します。
アクションの選択 リストから、 分析の構成を選択します。
仮想サーバーを選択し、[ 分析を有効にする] をクリックします。
詳細オプションの下:
ログストリームを選択
NetScaler Gatewayを選択します
OKをクリックします。
構成 > システム > AppFlow > 設定に移動し、 AppFlow 設定の変更をクリックします。
AppFlow 設定の構成 画面で、 AAA ユーザー名を選択し、 OKをクリックします。
NetScaler ADM では、NetScaler Gateway アプライアンスに関連付けられているすべてのユーザー、アプリケーション、ゲートウェイのレポートを表示できます。また、特定のユーザー、アプリケーション、ゲートウェイの詳細を表示することもできます。 概要 セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。 また、ユーザーがログオンする際に使用したさまざまなセッション モード、クライアントの種類、および 1 時間ごとにログオンしたユーザー数の概要を表示することもできます。
注記
グループを作成すると、グループにロールを割り当てたり、グループにアプリケーション レベルのアクセスを提供したり、グループにユーザーを割り当てたりすることができます。 NetScaler ADM 分析では、仮想 IP アドレス ベースの認証がサポートされるようになりました。 ユーザーは、許可されているアプリケーション (仮想サーバー) のみのすべての Insights のレポートを表示できるようになりました。 グループとグループへのユーザーの割り当ての詳細については、「 グループの構成」を参照してください。
NetScaler ADM で、 Gateway > Gateway Insightに移動します。
ユーザーの詳細を表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
EPA (エンドポイント分析)、認証、承認、SSO (シングル サインオン)、またはアプリケーションの起動タブをクリックすると、失敗の詳細が表示されます。
NetScaler ADM で、 Gateway > Gateway Insightに移動し、下にスクロールしてレポートを表示します。
次のレポートを表示できます。
NetScaler Gateway アプライアンスに関連付けられているすべてのユーザー。
ユーザーの EPA、認証、SSO、およびアプリケーションの起動の失敗。
ユーザーのアクティブなセッションと終了したセッションの詳細。
フル トンネル、クライアントレス VPN、ICA プロキシなどのセッション モードの種類。
NetScaler ADM で、 Gateway > Gateway Insight > Usersに移動します。
ユーザーの詳細を表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
期間中にすべてのユーザーが使用したアクティブ ユーザー数、アクティブ セッション数、バイト数、ライセンス数を表示できます。
下にスクロールすると、利用可能なユーザーとアクティブなユーザーのリストが表示されます。
ユーザー または アクティブ ユーザー タブで、ユーザーをクリックすると、次のユーザーの詳細が表示されます。
ユーザーの詳細 - ADC ゲートウェイアプライアンスに関連付けられている各ユーザーの分析情報を表示できます。 ゲートウェイ > ゲートウェイ インサイト > ユーザー に移動し、ユーザーをクリックすると、セッション モード、オペレーティング システム、ブラウザーなど、選択したユーザーのインサイトが表示されます。
選択したゲートウェイのユーザーとアプリケーション - ゲートウェイ > ゲートウェイ インサイト > ゲートウェイ に移動し、ゲートウェイ ドメイン名をクリックすると、選択したゲートウェイに関連付けられている上位 10 件のアプリケーションと上位 10 件のユーザーが表示されます。
アプリケーションとユーザーの詳細表示オプション – 10 個を超えるアプリケーションとユーザーの場合は、[アプリケーションとユーザー] の詳細アイコンをクリックして、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細を表示できます。
棒グラフをクリックして詳細を表示します – 棒グラフをクリックすると、関連する詳細を表示できます。 たとえば、 ゲートウェイ > ゲートウェイ インサイト > ゲートウェイ に移動し、ゲートウェイの棒グラフをクリックすると、ゲートウェイの詳細が表示されます。
ユーザー はアクティブなセッション と のセッションを終了しました。
アクティブ セッション内のゲートウェイ ドメイン名とゲートウェイ IP アドレス。
ユーザーのログイン期間。
ユーザーのログアウト セッションの理由。 ログアウトの理由は次のとおりです:
起動されたアプリケーションの数、合計セッション数とアクティブセッション数、アプリケーションによって消費された合計バイト数と帯域幅を表示できます。 アプリケーションのユーザー、セッション、帯域幅、起動エラーの詳細を表示できます。
NetScaler ADM で、 Gateway > Gateway Insight > Applicationsに移動します。
アプリケーションの詳細を表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
起動されたアプリケーションの数、合計セッション数とアクティブセッション数、アプリケーションによって消費された合計バイト数と帯域幅を表示できるようになりました。
下にスクロールすると、ICA やその他のアプリケーションで消費されたセッション数、帯域幅、合計バイト数が表示されます。
その他のアプリケーション タブの 名前 列でアプリケーションをクリックすると、そのアプリケーションの詳細が表示されます。
NetScaler Gateway アプライアンスに関連付けられているすべてのゲートウェイの数、アクティブ セッションの数、合計バイト数、および使用されている帯域幅をいつでも表示できます。 ゲートウェイの EPA、認証、シングル サインオン、およびアプリケーション起動の失敗を表示できます。 ゲートウェイに関連付けられているすべてのユーザーとそのログオン アクティビティの詳細を表示することもできます。
NetScaler ADMで、 ゲートウェイ > ゲートウェイ インサイト > ゲートウェイに移動します。
ゲートウェイの詳細を表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
NetScaler Gateway アプライアンスに関連付けられているすべてのゲートウェイの数、アクティブ セッションの数、合計バイト数、および使用されている帯域幅をいつでも表示できるようになりました。
下にスクロールすると、ゲートウェイ ドメイン名、仮想サーバー名、NetScaler IP アドレス、セッション モード、合計バイト数などのゲートウェイの詳細が表示されます。
ゲートウェイ ドメイン名 列でゲートウェイをクリックすると、ゲートウェイの EPA、認証、シングル サインオン、アプリケーション起動の失敗などの詳細が表示されます。
GUI に表示されるすべての詳細を含む Gateway Insight レポートを、PDF、JPEG、PNG、または CSV 形式でローカル コンピューターに保存できます。 さまざまな間隔で指定された電子メール アドレスにレポートをエクスポートするスケジュールを設定することもできます。
注記
- 読み取り専用アクセス権を持つユーザーはレポートをエクスポートできません。
- 地理マップ レポートは、NetScaler ADM がインターネットに接続されている場合にのみエクスポートされます。
ダッシュボード タブの右側のペインで、 エクスポート ボタンをクリックします。
今すぐエクスポートで必要な形式を選択し、 エクスポートをクリックします。
エクスポートをスケジュールするには:
ダッシュボード タブの右側のペインで、 エクスポート ボタンをクリックします。
スケジュールエクスポートで詳細を指定し、 スケジュールをクリックします。
電子メール サーバーまたは電子メール配布リストを追加するには:
構成 タブで、 設定 > 通知 > 電子メールに移動します。
右側のペインで、 電子メール サーバーを選択して電子メール サーバーを追加するか、 電子メール配布リスト を選択して電子メール配布リストを作成します。
詳細を指定して、[ 作成] をクリックします。
Gateway Insight ダッシュボード全体をエクスポートするには:
ダッシュボード タブの右側のペインで、 エクスポート ボタンをクリックします。
今すぐエクスポートで、 PDF 形式を選択し、 エクスポートをクリックします。
次のユースケースは、Gateway Insight を使用して、NetScaler Gateway アプライアンス上のユーザーのアクセス詳細、アプリケーション、ゲートウェイを可視化する方法を示しています。
NetScaler ADM を通じて NetScaler Gateway アプライアンスを監視している NetScaler Gateway 管理者として、ユーザーがログインできない理由や、ログイン プロセスのどの段階で障害が発生したかを確認したいと考えています。
NetScaler ADM を使用すると、ログイン プロセスの次の段階でユーザーのログイン エラーの詳細を表示できます。
認証
エンドポイント分析(EPA)
シングルサインオン
NetScaler ADM では、特定のユーザーを検索し、そのユーザーの詳細をすべて表示できます。
ユーザーを検索するには:
NetScaler ADM で、 Gateway > Gateway Insight に移動し、 ユーザーの検索 テキスト ボックスで、検索するユーザーを指定します。
資格情報が正しくない、認証サーバーからの応答がないなどの認証エラーを表示できます。 認証が失敗した要因も確認できます。
認証失敗の詳細を表示するには:
NetScaler ADM で、 Gateway > Gateway Insightに移動します。
概要 セクションで、認証エラーを表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
認証 タブをクリックします。 失敗 グラフで、任意の時点での認証エラーの数を確認できます。
同じタブの表から下にスクロールすると、ユーザー名、クライアント IP アドレス、エラー時刻、認証タイプ、認証サーバー IP アドレスなど、各認証エラーの詳細が表示されます。 表の「 エラーの説明 」列にはログオン失敗の理由が表示され、「 状態 」列には失敗が発生した n 番目の要因が表示されます。
ユーザー名 列のユーザーをクリックすると、そのユーザーの認証エラーやその他の詳細が表示されます。 設定アイコンを使用してテーブルをカスタマイズし、列を追加または削除できます。
重要:
OAuth-OpenID Connect 認証が失敗すると、Gateway Insight レポートで、一部の失敗についてユーザー名が NA と表示されます (例: 「トークン検証失敗」)。 この失敗では、OAuth-OpenID 接続の依存パーティでの「トークン検証の失敗」により、ユーザー名が利用できず、認証に失敗します。
EPA の失敗は、認証前または認証後の段階で表示できます。
重要:
- EPA 障害は、従来の式が設定されている場合にのみ報告されます。
- 事前認証ポリシーまたは事後認証ポリシーで高度な式が設定されている場合、EPA 障害は報告されません。
- EPA が nFactor 認証フローの要素の 1 つとして構成されている場合、EPA の失敗は報告されません。
EPA 障害の詳細を表示するには:
NetScaler ADM で、 Gateway > Gateway Insightに移動します。
[概要] セクションで、EPA エラーを表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
EPA (エンドポイント分析) タブをクリックします。 障害 グラフで、任意の時点での EPA エラーの数を確認できます。
下にスクロールすると、同じタブの表から、各 EPA エラーの詳細 (ユーザー名 、NetScaler IP アドレス、ゲートウェイ IP アドレス、VPN、エラー時間、ポリシー名、ゲートウェイ ドメイン名 など) が表示されます。 表の「 エラーの説明 」列には EPA 失敗の理由が表示され、「 ポリシー名 」列には失敗の原因となったポリシーが表示されます。
ユーザー名 列のユーザーをクリックすると、そのユーザーの EPA エラーやその他の詳細が表示されます。 下矢印を使用して列を追加または削除し、テーブルをカスタマイズできます。
注記
NetScaler Gateway は、「clientSecurity」式が VPN セッション ポリシー ルールとして構成されている場合、EPA 障害を報告しません。
NetScaler Gateway アプライアンスを介して任意のアプリケーションにアクセスするユーザーについて、あらゆる段階ですべての SSO 失敗を表示できます。
SSO 失敗の詳細を表示するには:
NetScaler ADM で、 Gateway > Gateway Insightに移動します。
[概要] セクションで、SSO エラーを表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
SSO (シングル サインオン) タブをクリックします。 失敗グラフでは、任意の時点での SSO エラーの数を確認できます。
下にスクロールすると、同じタブの表から、 ユーザー名、NetScaler IP アドレス、エラー時間、エラーの説明、リソース名 などの各 SSO エラーの詳細が表示されます。
ユーザー名 列のユーザーをクリックすると、そのユーザーの SSO エラーやその他の詳細を表示できます。 下矢印を使用して列を追加または削除し、テーブルをカスタマイズできます。
アプリケーションの起動に失敗した場合は、Secure Ticket Authority (STA) または Citrix Virtual App サーバーにアクセスできない、STA チケットが無効であるなどの原因を把握できます。 エラーが発生した時刻、エラーの詳細、STA 検証に失敗したリソースを表示できます。
アプリケーションの起動失敗の詳細を表示するには:
NetScaler ADM で、 Gateway > Gateway Insightに移動します。
概要 セクションで、SSO エラーを表示する期間を選択します。 時間スライダーを使用して、選択した期間をさらにカスタマイズできます。 Goをクリックします。
アプリケーションの起動 タブをクリックします。 失敗 グラフで、任意の時点でのアプリケーション起動失敗の数を確認できます。
同じタブの表から下にスクロールすると、NetScaler IP アドレス、エラー時刻、エラーの説明、リソース名、ゲートウェイ ドメイン名など、各アプリケーション起動エラーの詳細が表示されます。 表の「 エラーの説明 」列には STA サーバーの IP アドレスが表示され、「 リソース名 」列には STA 検証に失敗したリソースの詳細が表示されます。
ユーザー名 列のユーザーをクリックすると、そのユーザーのアプリケーション起動エラーやその他の詳細が表示されます。 下矢印を使用して列を追加または削除し、テーブルをカスタマイズできます。
新しいアプリケーションを正常に起動すると、NetScaler ADM で、そのアプリケーションによって消費された合計バイト数と帯域幅を表示できます。
アプリケーションによって消費された合計バイト数と帯域幅を表示するには:
NetScaler ADM で、 Gateway > Gateway Insight > Applicationsに移動し、下にスクロールして、 Other Applications タブで、詳細を表示するアプリケーションをクリックします。
セッション数とそのアプリケーションによって消費された合計バイト数を表示できます。
そのアプリケーションによって消費される帯域幅を表示することもできます。
Gateway Insight を使用すると、ユーザーがネットワーク リソースにアクセスできるかどうかを判断できます。 失敗の原因となったポリシーの名前も表示できます。
リソースに対するユーザー アクセスを表示するには:
NetScaler ADM で、 ゲートウェイ > ゲートウェイ インサイト > アプリケーションに移動します。
表示される画面で下にスクロールし、「 その他のアプリケーション 」タブで、ユーザーがログオンできなかったアプリケーションを選択します。
下にスクロールすると、 ユーザー テーブルに、そのアプリケーションにアクセスできるすべてのユーザーが表示されます。
Gateway Insight を使用すると、ユーザーがログオンする際に使用するさまざまなセッション モード、クライアントの種類、および 1 時間ごとにログオンするユーザー数の概要を表示できます。 ユーザーの展開が統合ゲートウェイであるか、従来の NetScaler Gateway 展開であるかを判断することもできます。 統合ゲートウェイ展開の場合、コンテンツ スイッチング仮想サーバー名と IP アドレス、および VPN 仮想サーバー名を表示できます。
セッション モード、クライアントの種類、ログオンしているユーザー数の概要を表示するには:
NetScaler ADM で、 Gateway > Gateway Insightに移動します。
概要 セクションで、下にスクロールして、 セッション モード、オペレーティング システム、ブラウザー、および ユーザー ログオン アクティビティ のグラフを表示します。これらのグラフには、ユーザーがログオンする際に使用するさまざまなセッション モード、クライアントの種類、および 1 時間ごとにログオンするユーザー数が表示されます。
