Gateway Insight
NetScaler Gatewayの展開において、ユーザーのアクセス詳細の可視性は、アクセス失敗の問題をトラブルシューティングするために不可欠です。ネットワーク管理者として、ユーザーがNetScaler Gatewayにログオンできない場合や、ユーザーのアクティビティ、ログオン失敗の理由を知りたいと思うでしょう。この情報は通常、ユーザーが解決を要求しない限り利用できません。
Gateway Insightは、アクセスモードに関係なく、NetScaler Gatewayへのログオン時にすべてのユーザーが遭遇した失敗の可視性を提供します。いつでも、利用可能なすべてのユーザーのリスト、アクティブユーザー数、アクティブセッション数、およびすべてのユーザーが使用したバイト数とライセンス数を表示できます。ユーザーのEndpoint Analysis (EPA)、認証、シングルサインオン (SSO)、およびアプリケーション起動の失敗を表示できます。また、ユーザーのアクティブセッションと終了セッションの詳細も表示できます。
Gateway Insightは、仮想アプリケーションのアプリケーション起動失敗の理由に関する可視性も提供します。これにより、あらゆる種類のログオンまたはアプリケーション起動失敗の問題をトラブルシューティングする能力が向上します。起動されたアプリケーションの数、合計セッション数とアクティブセッション数、合計バイト数、およびアプリケーションによって消費された帯域幅を表示できます。アプリケーションのユーザー、セッション、帯域幅、および起動エラーの詳細を表示できます。
NetScaler Gatewayアプライアンスに関連付けられているすべてのゲートウェイによって使用されたゲートウェイ数、アクティブセッション数、合計バイト数、および帯域幅をいつでも表示できます。ゲートウェイのEPA、認証、シングルサインオン、およびアプリケーション起動の失敗を表示できます。また、ゲートウェイに関連付けられているすべてのユーザーの詳細とそのログオンアクティビティも表示できます。
すべてのログメッセージはNetScaler® ADMデータベースに保存されるため、任意期間のエラー詳細を表示できます。ログオン失敗の概要を表示し、ログオンプロセスのどの段階で失敗が発生したかを判断することもできます。
注意事項
- Gateway Insightは、以下の展開でサポートされています。
- Access Gateway
- Unified Gateway
-
NetScaler ADMのリリースとビルドは、NetScaler Gatewayアプライアンスのリリースとビルドと同じかそれ以降である必要があります。
- Advancedライセンスを持つNetScalerインスタンスでは、1時間のGateway Insightレポートを表示できます。1時間を超えるGateway Insightレポートを表示するには、Premiumライセンスが必須です。
制限事項
-
認証方法が証明書ベースの認証として構成されている場合、NetScaler GatewayはGateway Insightをサポートしません。
-
Gateway Insightレポートの場合、地理位置情報がNetScalerアプライアンスから提供されることはありません。
-
仮想ICAアプリケーションおよびデスクトップのユーザーログオン成功、遅延、およびアプリケーションレベルの詳細は、HDX™ Insight Usersダッシュボードでのみ表示されます。
-
ダブルホップモードでは、2番目のDMZにあるNetScaler Gatewayアプライアンスでの失敗の可視性は利用できません。
-
Remote Desktop Protocol (RDP) デスクトップアクセスに関する問題は報告されません。
-
Gateway Insightは、以下の認証タイプをサポートしています。これら以外の認証タイプが使用されている場合、Gateway Insightでいくつかの不一致が見られる可能性があります。
- ローカル
- LDAP
- RADIUS
- TACACS
- SAML
- Native OTP
-
OAuth-OpenID Connect
OAuth-OpenID Connect認証の場合、NetScalerはOAuth-OpenID Connectリライングパーティ (RP) またはOAuth-OpenID Connectアイデンティティプロバイダー (IdP) として機能できます。認証が成功すると、ユーザー名はGateway Insightレポートの [ユーザー] タブに報告されます。ただし、セッションがIdPまたはRPのどちらで作成されたかを特定することはできません。
注: OAuth-OpenID Connect認証は、NetScaler ADMリリース13.1ビルド4.xx以降でサポートされています。
Gateway Insightの有効化
NetScaler GatewayアプライアンスでGateway Insightを有効にするには、まずNetScaler GatewayアプライアンスをNetScaler ADMに追加する必要があります。次に、VPNアプリケーションを表す仮想サーバーに対してAppFlowを有効にする必要があります。NetScaler ADMへのデバイスの追加については、「デバイスの追加」を参照してください。
注
NetScaler ADMでEndpoint Analysis (EPA) の失敗を表示するには、NetScaler GatewayアプライアンスでAppFlow認証、承認、および監査ユーザー名ログを有効にする必要があります。
NetScaler ADMが 13.0 Build 36.27 の場合、Gateway Insightを有効にする手順は次のとおりです。
-
[Infrastructure] > [Instances] に移動し、AppFlowを有効にするインスタンスを選択します。
-
[Select Action] リストから [Configure Analytics] を選択します。
-
[Configure Insight] ページで、[Configure Analytics] の下にある [NetScaler Gateway] を選択します。
-
仮想サーバーを選択し、[Enable AppFlow] をクリックします。
-
[Enable AppFlow] 画面の [Select Expression] リストで、true をクリックします。
-
[Transport Mode] の横にある [Logstream] チェックボックスをオンにします。
注
転送モードとして IPFIX または Logstream のいずれかを選択できます。
IPFIX および Logstream の詳細については、「Logstreamの概要」を参照してください。
-
[OK] をクリックします。
NetScaler ADMバージョン 13.0 Build 41.x以降の場合
-
[Infrastructure] > [Instances] に移動し、インスタンスを選択します。
-
[Select Action] リストから [Configure Analytics] を選択します。
-
仮想サーバーを選択し、[Enable Analytics] をクリックします。
-
[Advanced Options] で、次の操作を行います。
-
[Logstream] を選択します。
-
[NetScaler Gateway] を選択します。
-
-
[OK] をクリックします。
GUIを使用したNetScaler GatewayアプライアンスでのAppFlow認証、承認、および監査ユーザー名ログの有効化
-
[Configuration] > [System] > [AppFlow] > [Settings] に移動し、[Change AppFlow Settings] をクリックします。
-
[Configure AppFlow Settings] 画面で [AAA Username] を選択し、[OK] をクリックします。
Gateway Insightレポートの表示
NetScaler ADMでは、NetScaler Gatewayアプライアンスに関連付けられているすべてのユーザー、アプリケーション、およびゲートウェイのレポートを表示でき、特定のユーザー、アプリケーション、またはゲートウェイの詳細を表示できます。[Overview] セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。また、ユーザーがログオンに使用したさまざまなセッションモード、クライアントの種類、および1時間あたりのログオンユーザー数の概要も表示できます。
注
グループを作成する際、グループにロールを割り当て、グループにアプリケーションレベルのアクセスを提供し、グループにユーザーを割り当てることができます。NetScaler ADMアナリティクスは、仮想IPアドレスベースの承認をサポートするようになりました。ユーザーは、承認されているアプリケーション (仮想サーバー) のすべてのInsightレポートを表示できるようになりました。グループとグループへのユーザーの割り当ての詳細については、「グループの構成」を参照してください。
EPA、SSO、認証、承認、およびアプリケーション起動の失敗の表示
-
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動します。
-
ユーザー詳細を表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
-
[EPA (End Point Analysis)]、[Authentication]、[Authorization]、[SSO (Single Sign On)]、または [Application Launch] タブをクリックして、失敗の詳細を表示します。
セッションモード、クライアント、およびユーザー数の概要の表示
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動し、下にスクロールしてレポートを表示します。
ユーザー向けGateway Insightレポートの表示
次のレポートを表示できます。
- NetScaler Gatewayアプライアンスに関連付けられているすべてのユーザー
- ユーザーのEPA、認証、SSO、およびアプリケーション起動の失敗
- ユーザーのアクティブセッションと終了セッションの詳細
- Full Tunnel、クライアントレスVPN、ICA® Proxyなどのセッションモードの種類
ユーザー詳細の表示
-
NetScaler ADMで、[Gateway] > [Gateway Insight] > [Users] に移動します。
-
ユーザー詳細を表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
-
期間中にすべてのユーザーが使用したアクティブユーザー数、アクティブセッション数、バイト数、およびライセンス数を表示できます。
下にスクロールして、利用可能なユーザーとアクティブユーザーのリストを表示します。
[Users] または [Active Users] タブでユーザーをクリックすると、次のユーザー詳細が表示されます。
-
ユーザー詳細 - ADC Gatewayアプライアンスに関連付けられている各ユーザーのインサイトを表示できます。[Gateway] > [Gateway Insight] > [Users] に移動し、ユーザーをクリックすると、選択したユーザーのセッションモード、オペレーティングシステム、ブラウザーなどのインサイトが表示されます。
-
選択したゲートウェイのユーザーとアプリケーション - [Gateway] > [Gateway Insight] > [Gateway] に移動し、ゲートウェイドメイン名をクリックすると、選択したゲートウェイに関連付けられている上位10個のアプリケーションと上位10個のユーザーが表示されます。
-
アプリケーションとユーザーのその他のオプションの表示 – 10を超えるアプリケーションとユーザーの場合、[Applications and Users] のその他アイコンをクリックすると、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細が表示されます。
-
棒グラフをクリックして詳細を表示 – 棒グラフをクリックすると、関連する詳細を表示できます。たとえば、[Gateway] > [Gateway Insight] > [Gateway] に移動し、ゲートウェイ棒グラフをクリックすると、ゲートウェイの詳細が表示されます。
-
ユーザーの [Active Sessions] と [Terminated Sessions]。
-
[Active Sessions] のゲートウェイドメイン名とゲートウェイIPアドレス。
-
ユーザーのログイン期間。
-
ユーザーのログアウトセッションの理由。ログアウトの理由は次のとおりです。
- セッションのタイムアウト
- 内部エラーによるログアウト
- 非アクティブセッションのタイムアウトによるログアウト
- ユーザーがログアウトしました
- 管理者がセッションを停止しました
アプリケーション向けGateway Insightレポートの表示
起動されたアプリケーションの数、合計セッション数とアクティブセッション数、合計バイト数、およびアプリケーションによって消費された帯域幅を表示できます。アプリケーションのユーザー、セッション、帯域幅、および起動エラーの詳細を表示できます。
アプリケーション詳細の表示
-
NetScaler ADMで、[Gateway] > [Gateway Insight] > [Applications] に移動します。
-
アプリケーション詳細を表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
これで、起動されたアプリケーションの数、合計セッション数とアクティブセッション数、合計バイト数、およびアプリケーションによって消費された帯域幅を表示できます。
下にスクロールして、ICAおよびその他のアプリケーションによって消費されたセッション数、帯域幅、および合計バイト数を表示します。
[Other Applications] タブで、[Name] 列のアプリケーションをクリックすると、そのアプリケーションの詳細が表示されます。
ゲートウェイ向けGateway Insightレポートの表示
NetScaler Gatewayアプライアンスに関連付けられているすべてのゲートウェイによって使用されたゲートウェイ数、アクティブセッション数、合計バイト数、および帯域幅をいつでも表示できます。ゲートウェイのEPA、認証、シングルサインオン、およびアプリケーション起動の失敗を表示できます。また、ゲートウェイに関連付けられているすべてのユーザーの詳細とそのログオンアクティビティも表示できます。
ゲートウェイ詳細の表示
-
NetScaler ADM で、[Gateway] > [Gateway Insight] > [Gateways] に移動します。
-
ゲートウェイ詳細を表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
これで、NetScaler Gatewayアプライアンスに関連付けられているすべてのゲートウェイによって使用されたゲートウェイ数、アクティブセッション数、合計バイト数、および帯域幅をいつでも表示できます。
下にスクロールして、ゲートウェイドメイン名、仮想サーバー名、NetScaler IPアドレス、セッションモード、合計バイト数などのゲートウェイ詳細を表示します。
[Gateway Domain Name] 列のゲートウェイをクリックすると、そのゲートウェイのEPA、認証、シングルサインオン、およびアプリケーション起動の失敗とその他の詳細が表示されます。
レポートのエクスポート
Gateway Insightレポートは、GUIに表示されるすべての詳細を含め、PDF、JPEG、PNG、またはCSV形式でローカルコンピューターに保存できます。また、レポートを特定のメールアドレスにさまざまな間隔でエクスポートするようにスケジュールすることもできます。
注
- 読み取り専用アクセス権を持つユーザーはレポートをエクスポートできません。
- 地理マップレポートは、NetScaler ADMがインターネット接続されている場合にのみエクスポートされます。
レポートのエクスポート
-
[Dashboard] タブの右ペインで、[export] ボタンをクリックします。
-
[Export Now] で、必要な形式を選択し、[Export] をクリックします。
エクスポートのスケジュール設定:
-
[Dashboard] タブの右ペインで、[export] ボタンをクリックします。
-
[Schedule Export] で詳細を指定し、[Schedule] をクリックします。
メールサーバーまたはメール配布リストの追加:
-
[Configuration] タブで、[Settings] > [Notifications] > [Email] に移動します。
-
右ペインで、メールサーバーを追加するには [Email Server] を選択し、メール配布リストを作成するには [Email Distribution list] を選択します。
-
詳細を指定し、[Create] をクリックします。
Gateway Insightダッシュボード全体のエクスポート:
-
[Dashboard] タブの右ペインで、[export] ボタンをクリックします。
-
[Export Now] で [PDF] 形式を選択し、[Export] をクリックします。
Gateway Insightのユースケース
以下のユースケースは、Gateway Insightを使用して、NetScaler Gatewayアプライアンス上のユーザーのアクセス詳細、アプリケーション、およびゲートウェイの可視性を得る方法を示しています。
ユーザーがNetScaler Gatewayアプライアンスまたは内部Webサーバーにログインできない場合
あなたはNetScaler ADMを通じてNetScaler Gatewayアプライアンスを監視するNetScaler Gateway管理者であり、ユーザーがログインできない理由、またはログインプロセスのどの段階で失敗が発生したかを知りたいと考えています。
NetScaler ADMを使用すると、ログインプロセスの次の段階でユーザーログインエラーの詳細を表示できます。
- 認証
- Endpoint Analysis (EPA)
- シングルサインオン
NetScaler ADMでは、特定のユーザーを検索し、そのユーザーのすべての詳細を表示できます。
ユーザーの検索:
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動し、[Search for Users] テキストボックスに検索するユーザーを指定します。
認証の失敗
誤った資格情報や認証サーバーからの応答がないなどの認証エラーを表示できます。また、認証が失敗した要因も確認できます。
認証失敗の詳細の表示:
-
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動します。
-
[Overview] セクションで、認証エラーを表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
-
[Authentication] タブをクリックします。[Failures] グラフで、任意の時点での認証エラー数を表示できます。
下にスクロールして、[Username]、[Client IP Address]、[Error Time]、[Authentication type]、[Authentication Server IP Address] など、同じタブのテーブルから各認証エラーの詳細を表示します。テーブルの [Error Description] 列にはログオン失敗の理由が表示され、[State] 列には失敗が発生したn番目の要因が表示されます。
[Username] 列のユーザーをクリックすると、そのユーザーの認証エラーとその他の詳細が表示されます。設定アイコンを使用して、テーブルの列を追加または削除してカスタマイズできます。
重要:
OAuth-OpenID Connect認証が失敗した場合、一部の失敗 (例: 「トークン検証の失敗」) については、Gateway Insightレポートでユーザー名が NA と表示されます。この失敗では、OAuth-OpenID Connectリライングパーティでの「トークン検証の失敗」による認証失敗の場合、ユーザー名は利用できません。
EPAの失敗
EPAの失敗は、事前認証または事後認証の段階で表示できます。
重要:
- EPAの失敗は、クラシック式が構成されている場合にのみ報告されます。
- 事前認証または事後認証ポリシーで高度な式が構成されている場合、EPAの失敗は報告されません。
- EPAがnFactor認証フローの要因の1つとして構成されている場合、EPAの失敗は報告されません。
EPA失敗の詳細の表示:
-
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動します。
-
[Overview] セクションで、EPAエラーを表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
-
[EPA (End Point Analysis)] タブをクリックします。[Failures] グラフで、任意の時点でのEPAエラー数を表示できます。
下にスクロールして、[Username]、[NetScaler IP Address]、[Gateway IP Address]、[VPN]、[Error Time]、[Policy Name]、[Gateway Domain Name] など、同じタブのテーブルから各EPAエラーの詳細を表示します。テーブルの [Error Description] 列にはEPA失敗の理由が表示され、[Policy Name] 列には失敗の原因となったポリシーが表示されます。
[Username] 列のユーザーをクリックすると、そのユーザーのEPAエラーとその他の詳細が表示されます。下向き矢印を使用して、テーブルの列を追加または削除してカスタマイズできます。
注
NetScaler Gatewayは、「clientSecurity」式がVPNセッションポリシールールとして構成されている場合、EPAの失敗を報告しません。
SSOの失敗
NetScaler Gatewayアプライアンスを介してアプリケーションにアクセスするユーザーの、あらゆる段階でのすべてのSSO失敗を表示できます。
SSO失敗の詳細の表示:
-
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動します。
-
[Overview] セクションで、SSOエラーを表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
-
[SSO (Single Sign On)] タブをクリックします。[Failures] グラフで、任意の時点でのSSOエラー数を表示できます。
下にスクロールして、[Username]、[NetScaler IP Address]、[Error Time]、[Error Description]、[Resource Name] など、同じタブのテーブルから各SSOエラーの詳細を表示します。
[Username] 列のユーザーをクリックすると、そのユーザーのSSOエラーとその他の詳細が表示されます。下向き矢印を使用して、テーブルの列を追加または削除してカスタマイズできます。
NetScaler Gatewayへのログイン成功後、ユーザーが仮想アプリケーションを起動できない場合
アプリケーション起動の失敗の場合、アクセスできないSecure Ticket Authority (STA) またはCitrix Virtual Appsサーバー、または無効なSTAチケットなどの理由に関する可視性を得ることができます。エラーが発生した時刻、エラーの詳細、およびSTA検証が失敗したリソースを表示できます。
アプリケーション起動失敗の詳細の表示:
-
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動します。
-
[Overview] セクションで、SSOエラーを表示する期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。[Go] をクリックします。
-
[Application Launch] タブをクリックします。[Failures] グラフで、任意の時点でのアプリケーション起動失敗数を表示できます。
下にスクロールして、[NetScaler IP Address]、[Error Time]、[Error Description]、[Resource Name]、[Gateway Domain Name] など、同じタブのテーブルから各アプリケーション起動エラーの詳細を表示します。テーブルの [Error Description] 列にはSTAサーバーのIPアドレスが表示され、[Resource Name] 列にはSTA検証が失敗したリソースの詳細が表示されます。
[Username] 列のユーザーをクリックすると、そのユーザーのアプリケーション起動エラーとその他の詳細が表示されます。下向き矢印を使用して、テーブルの列を追加または削除してカスタマイズできます。
新しいアプリケーションの起動成功後、ユーザーがそのアプリケーションによって消費された合計バイト数と帯域幅を表示したい場合
新しいアプリケーションを正常に起動した後、NetScaler ADMで、そのアプリケーションによって消費された合計バイト数と帯域幅を表示できます。
アプリケーションによって消費された合計バイト数と帯域幅の表示:
NetScaler ADMで、[Gateway] > [Gateway Insight] > [Applications] に移動し、下にスクロールして、[Other Applications] タブで詳細を表示したいアプリケーションをクリックします。
セッション数と、そのアプリケーションによって消費された合計バイト数を表示できます。
そのアプリケーションによって消費された帯域幅も表示できます。
ユーザーがNetScaler Gatewayに正常にログインしたが、内部ネットワーク内の特定のネットワークリソースにアクセスできない場合
Gateway Insightを使用すると、ユーザーがネットワークリソースにアクセスできるかどうかを判断できます。また、失敗の原因となったポリシーの名前も表示できます。
リソースのユーザーアクセス権の表示:
-
NetScaler ADMで、[Gateway] > [Gateway Insight] > [Applications] に移動します。
-
表示される画面で下にスクロールし、[Other Applications] タブで、ユーザーがログオンできなかったアプリケーションを選択します。
-
下にスクロールすると、[Users] テーブルにそのアプリケーションにアクセスできるすべてのユーザーが表示されます。
異なるユーザーが異なるNetScaler Gateway展開を使用している、または異なるアクセスモードでNetScaler Gatewayにログインしている場合。管理者は展開タイプとアクセスモードに関する詳細を表示できる必要があります
Gateway Insightを使用すると、ユーザーがログオンに使用したさまざまなセッションモード、クライアントの種類、および1時間あたりのログオンユーザー数の概要を表示できます。また、ユーザーの展開がUnified Gateway展開かクラシックNetScaler Gateway展開かを判断することもできます。Unified Gateway展開の場合、コンテンツスイッチング仮想サーバー名とIPアドレス、およびVPN仮想サーバー名を表示できます。
セッションモード、クライアントの種類、およびログオンユーザー数の概要の表示:
-
NetScaler ADMで、[Gateway] > [Gateway Insight] に移動します。
-
[Overview] セクションで下にスクロールすると、[Session Mode]、[Operating Systems]、[Browsers]、および [User Logon Activity] の各グラフに、ユーザーがログオンに使用したさまざまなセッションモード、クライアントの種類、および1時間あたりのログオンユーザー数が表示されます。
