Gateway Insight
NetScaler Gatewayの展開において、アクセス障害のトラブルシューティングにはユーザーアクセス詳細の可視性が不可欠です。ネットワーク管理者として、ユーザーがNetScaler Gatewayにログオンできない場合や、ユーザーアクティビティ、ログオン失敗の理由を知りたいと思うでしょう。しかし、ユーザーが解決を要求しない限り、通常その情報は利用できません。
Gateway Insightは、アクセスモードに関わらず、NetScaler Gatewayへのログオン時にすべてのユーザーが遭遇した障害に対する可視性を提供します。利用可能なすべてのユーザーのリスト、アクティブユーザー数、アクティブセッション数、および任意の時点ですべてのユーザーが使用したバイト数とライセンスを表示できます。ユーザーのエンドポイント分析 (EPA)、認証、シングルサインオン (SSO)、およびアプリケーション起動の失敗を表示できます。また、ユーザーのアクティブおよび終了したセッションの詳細も表示できます。
Gateway Insightは、仮想アプリケーションのアプリケーション起動失敗の理由に対する可視性も提供します。これにより、あらゆる種類のログオンまたはアプリケーション起動の失敗の問題をトラブルシューティングする能力が向上します。起動されたアプリケーション数、合計およびアクティブセッション数、アプリケーションによって消費された合計バイト数と帯域幅を表示できます。アプリケーションのユーザー、セッション、帯域幅、および起動エラーの詳細を表示できます。
NetScaler Gatewayアプライアンスに関連付けられたすべてのゲートウェイによって使用されたゲートウェイ数、アクティブセッション数、合計バイト数、および帯域幅を任意の時点で表示できます。ゲートウェイのEPA、認証、シングルサインオン、およびアプリケーション起動の失敗を表示できます。また、ゲートウェイに関連付けられたすべてのユーザーとそのログオンアクティビティの詳細も表示できます。
すべてのログメッセージはNetScaler Consoleデータベースに保存されるため、任意の期間のエラー詳細を表示できます。また、ログオン失敗の概要を表示し、ログオンプロセスのどの段階で障害が発生したかを判断することもできます。
注意点:
- Gateway Insightは、以下の展開でサポートされています。
- Access Gateway
- Unified Gateway
- NetScaler Consoleのリリースとビルドは、NetScaler Gatewayアプライアンスと同じかそれ以降である必要があります。
- Advancedライセンスを持つNetScalerインスタンスでは、1時間分のGateway Insightレポートを表示できます。1時間を超えるGateway Insightレポートを表示するには、Premiumライセンスが必要です。
制限事項:
-
認証方法が証明書ベースの認証として構成されている場合、NetScaler GatewayはGateway Insightをサポートしません。
-
ユーザーのログオン成功、遅延、および仮想ICAアプリケーションとデスクトップのアプリケーションレベルの詳細は、HDX Insightユーザーダッシュボードでのみ表示されます。
-
ダブルホップモードでは、2番目のDMZにあるNetScaler Gatewayアプライアンスでの障害の可視性は利用できません。
-
リモートデスクトッププロトコル (RDP) デスクトップアクセスに関する問題は報告されません。
-
SAML認証のGateway Insightレコードは報告されません。
-
Gateway Insightは、以下の認証タイプでサポートされています。これらの認証タイプ以外が使用されている場合、Gateway Insightにいくつかの不一致が見られる可能性があります。
-
Local
-
LDAP
-
RADIUS
-
TACACS
-
SAML
-
Native OTP
-
OAuth
-
Gateway Insightの有効化
NetScaler GatewayアプライアンスでGateway Insightを有効にするには、まずNetScaler GatewayアプライアンスをNetScaler Consoleに追加する必要があります。次に、VPNアプリケーションを表す仮想サーバーに対してAppFlowを有効にする必要があります。NetScaler Consoleへのデバイスの追加については、「インスタンスの追加」を参照してください。
注
NetScaler Consoleでエンドポイント分析 (EPA) の失敗を表示するには、NetScaler GatewayアプライアンスでAppFlow認証、承認、およびアクセス制御のユーザー名ログ記録を有効にする必要があります。
NetScaler Consoleでの仮想サーバーに対するAppFlowの有効化
-
Settings(設定)> Licensing & Analytics Configuration(ライセンスとアナリティクス構成)に移動します。
-
Virtual Server Analytics Summary(仮想サーバーアナリティクス概要)で、Configure Analytics(アナリティクス構成)をクリックします。
-
All Virtual Servers(すべての仮想サーバー)ページで、NetScaler Gateway仮想サーバーを選択し、Enable Security & Analytics(セキュリティとアナリティクスを有効にする)をクリックします。
-
Gateway Insightを選択します。
-
Save(保存)をクリックします。
GUIを使用したNetScaler GatewayアプライアンスでのAppFlowユーザー名ログ記録の有効化
-
Configuration(構成)> System(システム)> AppFlow > Settings(設定)に移動し、Change AppFlow Settings(AppFlow設定の変更)をクリックします。
-
Configure AppFlow Settings(AppFlow設定の構成)画面で、AAA Username(AAAユーザー名)を選択し、OKをクリックします。
Gateway Insightレポートの表示
NetScaler Consoleでは、NetScaler Gatewayアプライアンスに関連付けられたすべてのユーザー、アプリケーション、およびゲートウェイのレポートを表示でき、特定のユーザー、アプリケーション、またはゲートウェイの詳細を表示できます。Overview(概要)セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。また、ユーザーがログオンするために使用したさまざまなセッションモード、クライアントの種類、および1時間ごとにログオンしたユーザー数の概要も表示できます。
注:
グループを作成する際、グループにロールを割り当てたり、グループにアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりできます。NetScaler Consoleアナリティクスは、仮想IPアドレスベースの承認をサポートするようになりました。ユーザーは、承認されたアプリケーション (仮想サーバー) のすべてのInsightレポートのみを表示できるようになりました。グループとグループへのユーザーの割り当ての詳細については、「NetScaler Consoleでのグループの構成」を参照してください。
EPA、SSO、認証、承認、およびアプリケーション起動の失敗の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動します。
-
ユーザー詳細を表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
-
EPA (End Point Analysis)、Authentication(認証)、Authorization(承認)、SSO (Single Sign On)、またはApplication Launch(アプリケーション起動)タブをクリックして、失敗の詳細を表示します。
セッションモード、クライアント、およびユーザー数の概要の表示
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動し、下にスクロールしてレポートを表示します。
ユーザー
NetScaler Gatewayアプライアンスに関連付けられたユーザーの完全なレポートを表示できます。ユーザーのEPA、認証、SSO、アプリケーション起動の失敗などを表示できます。
また、すべてのアクティブおよび終了したユーザーセッションの統合ビューを視覚化することもできます。
管理者として、このビューにより以下が可能になります。
-
すべてのユーザー詳細を単一ペインで視覚化して表示
-
各ユーザーを選択してアクティブおよび終了したセッションを表示する複雑さを排除
ユーザー詳細の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insight > Users(ユーザー)に移動します。
-
ユーザー詳細を表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
-
期間中のアクティブユーザー数、アクティブセッション数、およびすべてのユーザーによるバイト数を表示できます。
下にスクロールして、利用可能なユーザーとアクティブユーザーのリストを表示します。
Users(ユーザー)またはActive Users(アクティブユーザー)タブで、ユーザーをクリックして以下のユーザー詳細を表示します。
-
User details(ユーザー詳細) - NetScaler Gatewayアプライアンスに関連付けられた各ユーザーのインサイトを表示できます。Gateway(ゲートウェイ)> Gateway Insight > Users(ユーザー)に移動し、ユーザーをクリックして、セッションモード、オペレーティングシステム、ブラウザーなど、選択したユーザーのインサイトを表示します。
-
Users and applications for the selected gateway(選択したゲートウェイのユーザーとアプリケーション) - Gateway(ゲートウェイ)> Gateway Insight > Gateway(ゲートウェイ)に移動し、ゲートウェイドメイン名をクリックして、選択したゲートウェイに関連付けられている上位10のアプリケーションと上位10のユーザーを表示します。
-
View more option for applications and users(アプリケーションとユーザーのその他のオプションを表示) – 10を超えるアプリケーションとユーザーの場合、Applications and Users(アプリケーションとユーザー)のその他アイコンをクリックして、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細を表示できます。
-
View details by clicking the bar graph(棒グラフをクリックして詳細を表示) – 棒グラフをクリックすると、関連する詳細を表示できます。たとえば、Gateway(ゲートウェイ)> Gateway Insight > Gateway(ゲートウェイ)に移動し、ゲートウェイ棒グラフをクリックしてゲートウェイ詳細を表示します。
-
ユーザーのActive Sessions(アクティブセッション)とTerminated Sessions(終了したセッション)。
-
Active Sessions(アクティブセッション)のゲートウェイドメイン名とゲートウェイIPアドレス。
-
ユーザーのログイン期間。
-
ユーザーログアウトセッションの理由。ログアウトの理由は次のとおりです。
- セッションがタイムアウトしました
- 内部エラーのためログアウトしました
- 非アクティブセッションのタイムアウトのためログアウトしました
- ユーザーがログアウトしました
-
管理者がセッションを停止しました
検索バーと地理マップビュー
以下を表示できます。
-
ユーザー名に基づいて結果をフィルターできる検索バー。Gateway(ゲートウェイ)> Gateway Insight > Users(ユーザー)に移動して、Users(ユーザー)とActive Users(アクティブユーザー)の検索バーを表示します。検索バーにマウスカーソルを置き、User Name(ユーザー名)を選択し、ユーザー名を入力して結果をフィルターします。
-
ユーザーの地理的位置に基づいてユーザー情報を表示する地理マップ。管理者として、この地理マップにより、特定の場所の合計ユーザー数、合計アプリ数、および合計セッション数の概要を表示できます。
-
Gateway(ゲートウェイ)> Gateway Insightに移動して地理マップを表示します。
-
国をクリックします。たとえば、United States(米国)。
地理マップには、選択した国のユーザーリスト、アクティブセッション、終了したセッション、アプリケーションなどの詳細が表示されます。
-
アプリケーション
起動されたアプリケーション数、合計およびアクティブセッション数、アプリケーションによって消費された合計バイト数と帯域幅を表示できます。アプリケーションのユーザー、セッション、帯域幅、および起動エラーの詳細を表示できます。
アプリケーション詳細の表示
- NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insight > Applications(アプリケーション)に移動します。
- アプリケーション詳細を表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
これで、起動されたアプリケーション数、合計およびアクティブセッション数、アプリケーションによって消費された合計バイト数と帯域幅を表示できます。
下にスクロールして、ICAおよびその他のアプリケーションによって消費されたセッション数、帯域幅、および合計バイト数を表示します。
Other Applications(その他のアプリケーション)タブで、Name(名前)列のアプリケーションをクリックすると、そのアプリケーションの詳細が表示されます。
ゲートウェイ
NetScaler Gatewayアプライアンスに関連付けられたすべてのゲートウェイによって使用されたゲートウェイ数、アクティブセッション数、合計バイト数、および帯域幅を任意の時点で表示できます。ゲートウェイのEPA、認証、シングルサインオン、およびアプリケーション起動の失敗を表示できます。また、ゲートウェイに関連付けられたすべてのユーザーとそのログオンアクティビティの詳細も表示できます。
ゲートウェイ詳細の表示
- NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insight > Gateways(ゲートウェイ)に移動します。
- ゲートウェイ詳細を表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
これで、NetScaler Gatewayアプライアンスに関連付けられたすべてのゲートウェイによって使用されたゲートウェイ数、アクティブセッション数、合計バイト数、および帯域幅を任意の時点で表示できます。
下にスクロールして、ゲートウェイドメイン名、仮想サーバー名、NetScaler IPアドレス、セッションモード、合計バイト数などのゲートウェイ詳細を表示します。
Gateway Domain Name(ゲートウェイドメイン名)列のゲートウェイをクリックすると、そのゲートウェイのEPA、認証、シングルサインオン、アプリケーション起動の失敗、およびその他の詳細が表示されます。
また、特定の場所に基づいてユーザーをフィルターできるゲートウェイの地理マップも表示できます。
-
Gateway(ゲートウェイ)> Gateway Insight > Gateways(ゲートウェイ)に移動します。
-
地理マップを表示するゲートウェイドメイン名を選択します。
-
国をクリックします。たとえば、United States(米国)。
地理マップには、選択した国のユーザーリスト、アクティブセッション、終了したセッション、アプリケーションなどの詳細が表示されます。
レポートのエクスポート
Gateway Insightレポートは、GUIに表示されるすべての詳細を含め、PDF、JPEG、PNG、またはCSV形式でローカルコンピューターに保存できます。また、レポートを特定のメールアドレスにさまざまな間隔でエクスポートするようにスケジュールすることもできます。
注
- 読み取り専用アクセスを持つユーザーはレポートをエクスポートできません。
- 地理マップレポートは、NetScaler Consoleにインターネット接続がある場合にのみエクスポートされます。
レポートのエクスポート
-
Dashboard(ダッシュボード)タブの右ペインで、エクスポートボタンをクリックします。
-
Export Now(今すぐエクスポート)で、必要な形式を選択し、Export(エクスポート)をクリックします。
エクスポートをスケジュールするには:
-
Dashboard(ダッシュボード)タブの右ペインで、エクスポートボタンをクリックします。
-
Schedule Export(エクスポートのスケジュール)で、詳細を指定し、Schedule(スケジュール)をクリックします。
注
System(システム)> Notifications(通知)> Email(メール)に移動し、Add(追加)をクリックして、レポートをスケジュールする前にメールサーバー設定を構成します。
メールサーバーまたはメール配布リストを追加するには:
-
Configuration(構成)タブで、System(システム)> Notifications(通知)> Email(メール)に移動します。
-
右ペインで、メールサーバーを追加するにはEmail Server(メールサーバー)を選択し、メール配布リストを作成するにはEmail Distribution list(メール配布リスト)を選択します。
-
詳細を指定し、Create(作成)をクリックします。
Gateway Insightダッシュボード全体をエクスポートするには:
-
Dashboard(ダッシュボード)タブの右ペインで、エクスポートボタンをクリックします。
-
Export Now(今すぐエクスポート)で、PDF形式を選択し、Export(エクスポート)をクリックします。
Gateway Insightのユースケース
以下のユースケースは、Gateway Insightを使用して、NetScaler Gatewayアプライアンス上のユーザーのアクセス詳細、アプリケーション、およびゲートウェイの可視性を得る方法を示しています。
1. ユーザーがNetScaler Gatewayアプライアンスまたは内部Webサーバーにログオンできない場合
あなたはNetScaler Consoleを通じてNetScaler Gatewayアプライアンスを監視しているNetScaler Gateway管理者であり、ユーザーがログオンできない理由、またはログオンプロセスのどの段階で障害が発生したかを確認したいと考えています。
NetScaler Consoleでは、ログオンプロセスの以下の段階でユーザーのログインエラー詳細を表示できます。
- 認証
- エンドポイント分析 (EPA)
- シングルサインオン
NetScaler Consoleでは、特定のユーザーを検索し、そのユーザーのすべての詳細を表示できます。
ユーザーを検索するには:
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動し、Search for Users(ユーザーの検索)テキストボックスに検索したいユーザーを指定します。
認証の失敗
誤った資格情報や認証サーバーからの応答がないなどの認証エラーを表示できます。2段階認証を設定している場合、認証のプライマリ段階、セカンダリ段階、またはその両方が失敗したかどうかを確認できます。
認証失敗詳細の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動します。
-
Overview(概要)セクションで、認証エラーを表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
-
Authentication(認証)タブをクリックします。Failures(失敗)グラフで、任意の時点での認証エラー数を表示できます。
下にスクロールして、同じタブのテーブルから、Username(ユーザー名)、Client IP Address(クライアントIPアドレス)、Error Time(エラー時刻)、Authentication type(認証タイプ)、Authentication Server IP Address(認証サーバーIPアドレス)など、各認証エラーの詳細を表示します。テーブルのError Description(エラー説明)列にはログオン失敗の理由が表示され、State(状態)列には2段階認証のどの段階で失敗が発生したかが表示されます。
Username(ユーザー名)列のユーザーをクリックすると、そのユーザーの認証エラーおよびその他の詳細が表示されます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
EPAの失敗
認証前または認証後の段階でのEPAの失敗を表示できます。
EPA失敗詳細の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動します。
-
Overview(概要)セクションで、EPAエラーを表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
-
EPA (End Point Analysis)タブをクリックします。Failures(失敗)グラフで、任意の時点でのEPAエラー数を表示できます。
下にスクロールして、同じタブのテーブルから、Username(ユーザー名)、NetScaler IP Address(NetScaler IPアドレス)、Gateway IP Address(ゲートウェイIPアドレス)、VPN、Error Time(エラー時刻)、Policy Name(ポリシー名)、Gateway Domain Name(ゲートウェイドメイン名)など、各EPAエラーの詳細を表示します。テーブルのError Description(エラー説明)列にはEPA失敗の理由が表示され、Policy Name(ポリシー名)列には失敗の原因となったポリシーが表示されます。
Username(ユーザー名)列のユーザーをクリックすると、そのユーザーのEPAエラーおよびその他の詳細が表示されます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
注
“clientSecurity”式がVPNセッションポリシー規則として構成されている場合、NetScaler GatewayはEPAの失敗を報告しません。
SSOの失敗
NetScaler Gatewayアプライアンスを通じてアプリケーションにアクセスするユーザーの、あらゆる段階でのSSOの失敗をすべて表示できます。
SSO失敗詳細の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動します。
-
Overview(概要)セクションで、SSOエラーを表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
-
SSO (Single Sign On)タブをクリックします。Failures(失敗)グラフで、任意の時点でのSSOエラー数を表示できます。
下にスクロールして、同じタブのテーブルから、Username(ユーザー名)、NetScaler IP Address(NetScaler IPアドレス)、Error Time(エラー時刻)、Error Description(エラー説明)、Resource Name(リソース名)など、各SSOエラーの詳細を表示します。
Username(ユーザー名)列のユーザーをクリックすると、そのユーザーのSSOエラーおよびその他の詳細が表示されます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
2. NetScaler Gatewayへのログオン成功後、ユーザーが仮想アプリケーションを起動できない場合
アプリケーション起動の失敗については、アクセスできないSecure Ticket Authority (STA) またはCitrix Virtual Appサーバー、または無効なSTAチケットなど、その理由を可視化できます。エラーが発生した時刻、エラーの詳細、およびSTA検証が失敗したリソースを表示できます。
アプリケーション起動失敗詳細の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動します。
-
Overview(概要)セクションで、SSOエラーを表示したい期間を選択します。タイムスライダーを使用して、選択した期間をさらにカスタマイズできます。Go(移動)をクリックします。
-
Application Launch(アプリケーション起動)タブをクリックします。Failures(失敗)グラフで、任意の時点でのアプリケーション起動失敗数を表示できます。
下にスクロールして、同じタブのテーブルから、NetScaler IP Address(NetScaler IPアドレス)、Error Time(エラー時刻)、Error Description(エラー説明)、Resource Name(リソース名)、Gateway Domain Name(ゲートウェイドメイン名)など、各アプリケーション起動エラーの詳細を表示します。テーブルのError Description(エラー説明)列にはSTAサーバーのIPアドレスが表示され、Resource Name(リソース名)列にはSTA検証が失敗したリソースの詳細が表示されます。
Username(ユーザー名)列のユーザーをクリックすると、そのユーザーのアプリケーション起動エラーおよびその他の詳細が表示されます。
設定オプションを使用して、テーブルをカスタマイズして列を追加または削除できます。
3. 新しいアプリケーションの起動成功後、ユーザーがそのアプリケーションによって消費された合計バイト数と帯域幅を表示したい場合
新しいアプリケーションを正常に起動した後、NetScaler Consoleでそのアプリケーションによって消費された合計バイト数と帯域幅を表示できます。
アプリケーションによって消費された合計バイト数と帯域幅の表示
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insight > Applications(アプリケーション)に移動し、下にスクロールして、Other Applications(その他のアプリケーション)タブで、詳細を表示したいアプリケーションをクリックします。
そのアプリケーションによって消費されたセッション数と合計バイト数を表示できます。
また、そのアプリケーションによって消費された帯域幅も表示できます。
4. ユーザーがNetScaler Gatewayに正常にログオンしたが、内部ネットワーク内の特定のネットワークリソースにアクセスできない場合
Gateway Insightを使用すると、ユーザーがネットワークリソースにアクセスできるかどうかを判断できます。また、失敗の原因となったポリシーの名前も表示できます。
リソースへのユーザーアクセスの表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insight > Applications(アプリケーション)に移動します。
-
表示された画面で下にスクロールし、Other Applications(その他のアプリケーション)タブで、ユーザーがログオンできなかったアプリケーションを選択します。
表示された画面で下にスクロールし、Users(ユーザー)テーブルに、そのアプリケーションにアクセスできるすべてのユーザーが表示されます。
5. 異なるユーザーが異なるNetScaler Gateway展開を使用している、または異なるアクセスモードでNetScaler Gatewayにログオンしている場合。管理者は展開タイプとアクセスモードに関する詳細を表示できる必要があります
Gateway Insightを使用すると、ユーザーがログオンするために使用したさまざまなセッションモード、クライアントの種類、および1時間ごとにログオンしたユーザー数の概要を表示できます。また、ユーザーの展開がUnified Gateway展開か従来のNetScaler Gateway展開かを判断することもできます。Unified Gateway展開の場合、コンテンツスイッチング仮想サーバー名とIPアドレス、およびVPN仮想サーバー名を表示できます。
セッションモード、クライアントの種類、およびログオンしたユーザー数の概要の表示
-
NetScaler Consoleで、Gateway(ゲートウェイ)> Gateway Insightに移動します。
-
Overview(概要)セクションで、下にスクロールして、Session Mode(セッションモード)、Operating Systems(オペレーティングシステム)、Browsers(ブラウザー)、およびUser Logon Activity(ユーザーログオンアクティビティ)のグラフを表示します。これらは、ユーザーがログオンするために使用したさまざまなセッションモード、クライアントの種類、および1時間ごとにログオンしたユーザー数を表示します。