Application Delivery Management

Gateway Insightの問題のトラブルシューティング

Gateway Insight ソリューションが期待どおりに機能しない場合は、次のいずれかに問題がある可能性があります。トラブルシューティングについては、各セクションのチェックリストを参照してください。

  • Gateway Insight設定。
  • Citrix ADC と NetScaler ADM 間の接続に問題があります。
  • NetScaler ADC でのレコード生成。
  • NetScaler ADM での検証。

Gateway Insight設定チェックリスト

  • NetScaler ADCアプライアンスでAppFlow 機能が有効になっていることを確認します。詳細については、「AppFlowの有効化」を参照してください。

  • NetScaler ADCの実行構成でGateway Insight 構成を確認します。

    show running | grep -i <appflow_policy> コマンドを実行して、Gateway Insight の設定を確認します。バインドタイプが REQUEST であることを確認します。たとえば、

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    Gateway Insight には、バインドタイプ OTHERTCP_REQUEST も必要です。

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • シングルホップ、アクセスゲートウェイ、またはUnified Gateway の展開では、Gateway Insight AppFlow ポリシーが VPN トラフィックが流れる VPN 仮想サーバーにバインドされていることを確認します。詳しくは、 HDX Insightデータ収集の有効化を参照してください
  • ダブルホップの場合、Gateway Insight は両方のホップで構成する必要があります。
  • NetScaler Gateway/VPN仮想サーバーのappflowlogパラメータをチェックします。詳しくは、「仮想サーバーに対する AppFlow の有効化」を参照してください。

NetScaler ADC とNetScaler ADM の間の接続チェックリスト

  • NetScaler ADC でAppFlow コレクタのステータスを確認します。詳しくは、「 NetScaler ADCとAppFlow Collector間の接続状態を確認する方法」を参照してください。

  • Gateway Insight AppFlow ポリシーヒットをチェックします。

    コマンドshow appflow policy <policy_name>を実行して、AppFlow ポリシーのヒットをチェックします。

    GUI で [ システム] > [AppFlow] > [ポリシー] に移動して、AppFlow ポリシーのヒットを確認することもできます。

  • AppFlow ポート4739または5557をブロックしているファイアウォールを検証します。

NetScaler ADC チェックリストでのレコード生成

  • nsconmsg -d stats -g ai_totコマンドを実行し、NetScaler ADCで統計値の増分を確認します。
  • nstrace logsをキャプチャしてCFLOWパケットをチェックし、NetScaler ADCがAppFlow レコードをエクスポートすることを確認します。

    注:

    nstrace logs は IPFIX にのみ必要です。Logstream の場合、nsrace ログは ADC アプライアンスがAppFlow レコードをエクスポートしたかどうかを確認しません。

NetScaler ADMでのレコードの検証

  • tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" コマンドを実行して、ログをチェックして、NetScaler ADMがAppFlow レコードを受信していることを確認します。
  • NetScaler ADCインスタンスがNetScaler ADMに追加されていることを確認します。
  • NetScaler Gateway/VPN仮想サーバーがNetScaler ADM でライセンスされていることを確認します。

NetScaler ADMでのログストリームログの検証

NetScaler ADMが受信したログストリームデータの検証は、次の方法を使用して実行できます。

  • NetScaler ADMでのデータレコードログの有効化

    有効にすると、ログは /var/mps/log/mps_afdecoder.log で確認できます

  • ULFD ライブラリロギングの有効化

    コマンド/mps/decoder_enable_debugを実行する

    ログは/var/ulflog/libulfd.logにキャプチャされます

    ログを無効にするには、/mps/decoder_disable_debugコマンドを使用します。

Gateway Insight カウンタ

次のGateway Insight カウンタを使用できます。

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_tot_appflow_pol_eval_in_gwinsight
  • ai_tot_app_launch_success

NetScaler ADCログ内のAppFlow レコード

リリース13.0ビルド71.xから、NetScaler ADCログをチェックして、AppFlow レコードがエクスポートされているかどうかを確認できます。syslogparamsのデフォルトのログレベルでは、すべてのエラーログと情報ログがキャプチャされます。エラーに関する手がかりが見つからない場合は、syslogparamsのDEBUG を含むすべてのログレベルを有効にして、DEBUG ログもキャプチャします。

サンプルログ

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Citrix テクニカルサポートに問い合わせてください

迅速に解決するには、Citrixテクニカルサポートに連絡する前に、次の情報があることを確認してください。

  • 展開とネットワークトポロジの詳細。
  • NetScaler ADCとNetScaler ADM のバージョン。
  • NetScaler ADCおよびNetScaler ADMのテクニカルサポートバンドル。
  • nstraceは問題発生中にキャプチャします。

既知の問題

ゲートウェイインサイトに関する既知の問題については、NetScaler ADC リリースノートを参照してください。