-
-
-
-
-
-
-
-
Gateway Insightの問題のトラブルシューティング
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Gateway Insightの問題のトラブルシューティング
Gateway Insight ソリューションが期待どおりに機能しない場合は、次のいずれかに問題がある可能性があります。トラブルシューティングについては、各セクションのチェックリストを参照してください。
- Gateway Insight設定。
- Citrix ADC と NetScaler ADM 間の接続に問題があります。
- NetScaler ADC でのレコード生成。
- NetScaler ADM での検証。
Gateway Insight設定チェックリスト
-
NetScaler ADCアプライアンスでAppFlow 機能が有効になっていることを確認します。詳細については、「AppFlowの有効化」を参照してください。
-
NetScaler ADCの実行構成でGateway Insight 構成を確認します。
show running | grep -i <appflow_policy>
コマンドを実行して、Gateway Insight の設定を確認します。バインドタイプが REQUEST であることを確認します。たとえば、bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST <!--NeedCopy-->
Gateway Insight には、バインドタイプ OTHERTCP_REQUEST も必要です。
bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST <!--NeedCopy-->
- シングルホップ、アクセスゲートウェイ、またはUnified Gateway の展開では、Gateway Insight AppFlow ポリシーが VPN トラフィックが流れる VPN 仮想サーバーにバインドされていることを確認します。詳しくは、 HDX Insightデータ収集の有効化を参照してください。
- ダブルホップの場合、Gateway Insight は両方のホップで構成する必要があります。
- NetScaler Gateway/VPN仮想サーバーの
appflowlog
パラメータをチェックします。詳しくは、「仮想サーバーに対する AppFlow の有効化」を参照してください。
NetScaler ADC とNetScaler ADM の間の接続チェックリスト
-
NetScaler ADC でAppFlow コレクタのステータスを確認します。詳しくは、「 NetScaler ADCとAppFlow Collector間の接続状態を確認する方法」を参照してください。
-
Gateway Insight AppFlow ポリシーヒットをチェックします。
コマンド
show appflow policy <policy_name>
を実行して、AppFlow ポリシーのヒットをチェックします。GUI で [ システム] > [AppFlow] > [ポリシー] に移動して、AppFlow ポリシーのヒットを確認することもできます。
-
AppFlow ポート4739または5557をブロックしているファイアウォールを検証します。
NetScaler ADC チェックリストでのレコード生成
-
nsconmsg -d stats -g ai_tot
コマンドを実行し、NetScaler ADCで統計値の増分を確認します。 -
nstrace logs
をキャプチャしてCFLOWパケットをチェックし、NetScaler ADCがAppFlow レコードをエクスポートすることを確認します。注:
nstrace logs
は IPFIX にのみ必要です。Logstream の場合、nsrace ログは ADC アプライアンスがAppFlow レコードをエクスポートしたかどうかを確認しません。
NetScaler ADMでのレコードの検証
-
tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_"
コマンドを実行して、ログをチェックして、NetScaler ADMがAppFlow レコードを受信していることを確認します。 - NetScaler ADCインスタンスがNetScaler ADMに追加されていることを確認します。
- NetScaler Gateway/VPN仮想サーバーがNetScaler ADM でライセンスされていることを確認します。
NetScaler ADMでのログストリームログの検証
NetScaler ADMが受信したログストリームデータの検証は、次の方法を使用して実行できます。
-
NetScaler ADMでのデータレコードログの有効化
有効にすると、ログは /var/mps/log/mps_afdecoder.log で確認できます
-
ULFD ライブラリロギングの有効化
コマンド
/mps/decoder_enable_debug
を実行するログは
/var/ulflog/libulfd.log
にキャプチャされますログを無効にするには、
/mps/decoder_disable_debug
コマンドを使用します。
Gateway Insight カウンタ
次のGateway Insight カウンタを使用できます。
- ai_tot_preauth_epa_export
- ai_tot_auth_export
- ai_tot_auth_session_id_update_export
- ai_tot_postauth_epa_export
- ai_tot_vpn_update_export
- ai_tot_ica_fileinfo_export
- ai_tot_app_launch_failure
- ai_tot_logout_export
- ai_tot_skip_appflow_export
- ai_tot_sso_appflow_export
- ai_tot_authz_appflow_export
- ai_tot_appflow_pol_eval_failure
- ai_tot_vpn_export_state_mismatch
- ai_tot_appflow_disabled
- ai_tot_appflow_pol_eval_in_gwinsight
- ai_tot_app_launch_success
NetScaler ADCログ内のAppFlow レコード
リリース13.0ビルド71.xから、NetScaler ADCログをチェックして、AppFlow レコードがエクスポートされているかどうかを確認できます。syslogparams
のデフォルトのログレベルでは、すべてのエラーログと情報ログがキャプチャされます。エラーに関する手がかりが見つからない場合は、syslogparams
のDEBUG を含むすべてのログレベルを有効にして、DEBUG ログもキャプチャします。
サンプルログ
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
Citrix テクニカルサポートに問い合わせてください
迅速に解決するには、Citrixテクニカルサポートに連絡する前に、次の情報があることを確認してください。
- 展開とネットワークトポロジの詳細。
- NetScaler ADCとNetScaler ADM のバージョン。
- NetScaler ADCおよびNetScaler ADMのテクニカルサポートバンドル。
-
nstrace
は問題発生中にキャプチャします。
既知の問題
ゲートウェイインサイトに関する既知の問題については、NetScaler ADC リリースノートを参照してください。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.