Gateway Insight
在 NetScaler Gateway 部署中,用户访问详细信息的可见性对于排查访问失败问题至关重要。作为网络管理员,您希望了解用户何时无法登录 NetScaler Gateway,并希望了解用户活动和登录失败的原因。除非用户发送解决请求,否则通常无法获取此信息。
Gateway Insight 提供了所有用户在登录 NetScaler Gateway 时遇到的故障的可见性,无论其访问模式如何。您可以随时查看所有可用用户、活动用户数、活动会话数以及所有用户使用的字节数和许可证。您可以查看用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 和应用程序启动失败。您还可以查看用户的活动会话和已终止会话的详细信息。
Gateway Insight 还提供了虚拟应用程序启动失败原因的可见性。这增强了您排查任何类型的登录或应用程序启动失败问题的能力。您可以查看已启动的应用程序数量、总会话数和活动会话数、总字节数以及应用程序消耗的带宽。您可以查看应用程序的用户、会话、带宽和启动错误详细信息。
您可以随时查看与 NetScaler Gateway 设备关联的所有网关使用的网关数量、活动会话数、总字节数和带宽。您可以查看网关的 EPA、身份验证、单点登录和应用程序启动失败。您还可以查看与网关关联的所有用户的详细信息及其登录活动。
所有日志消息都存储在 NetScaler® ADM 数据库中,因此您可以查看任何时间段的错误详细信息。您还可以查看登录失败摘要,并确定登录过程在哪个阶段发生了失败。
注意事项
- Gateway Insight 支持以下部署:
- Access Gateway
- Unified Gateway
-
NetScaler ADM 的版本和内部版本必须与 NetScaler Gateway 设备相同或更高。
- 对于具有 Advanced 许可证的 NetScaler 实例,可以查看一小时的 Gateway Insight 报告。要查看超过一小时的 Gateway Insight 报告,必须拥有 Premium 许可证。
限制
-
当身份验证方法配置为基于证书的身份验证时,NetScaler Gateway 不支持 Gateway Insight。
-
对于 Gateway Insight 报告,NetScaler 设备不提供地理位置信息。
-
虚拟 ICA 应用程序和桌面的成功用户登录、延迟和应用程序级别详细信息仅在 HDX™ Insight 用户仪表板上可见。
-
在双跳模式下,无法查看第二 DMZ 中 NetScaler Gateway 设备上的故障。
-
不报告远程桌面协议 (RDP) 桌面访问问题。
-
Gateway Insight 支持以下身份验证类型。如果使用这些类型以外的其他身份验证类型,您可能会在 Gateway Insight 中看到一些差异。
- 本地
- LDAP
- RADIUS
- TACACS
- SAML
- 本机 OTP
-
OAuth-OpenID Connect
对于 OAuth-OpenID Connect 身份验证,NetScaler 可以充当 OAuth-OpenID Connect 信赖方 (RP) 或 OAuth-OpenID Connect 身份提供程序 (IdP)。当身份验证成功时,用户名会在 Gateway Insight 报告的“用户”选项卡下报告。但是,您无法识别会话是在 IdP 还是 RP 处创建的。
注意: NetScaler ADM 版本 13.1 build 4.xx 及更高版本支持 OAuth-OpenID Connect 身份验证。
启用 Gateway Insight
要为您的 NetScaler Gateway 设备启用 Gateway Insight,您必须首先将 NetScaler Gateway 设备添加到 NetScaler ADM。然后,您必须为表示 VPN 应用程序的虚拟服务器启用 AppFlow。有关将设备添加到 NetScaler ADM 的信息,请参阅“添加设备”。
注意
要在 NetScaler ADM 中查看端点分析 (EPA) 失败,您必须在 NetScaler Gateway 设备上启用 AppFlow 身份验证、授权和审计用户名 日志记录。
如果您的 NetScaler ADM 为 13.0 Build 36.27,则以下启用 Gateway Insight 的过程适用:
-
导航到 Infrastructure > Instances,然后选择要为其启用 AppFlow 的实例。
-
从 Select Action 列表中,选择 Configure Analytics。
-
在 Configure Insight 页面中,在 Configure Analytics 下,选择 NetScaler Gateway。
-
选择虚拟服务器,然后单击 Enable AppFlow。
-
在 Enable AppFlow 屏幕上,在 Select Expression 列表中,单击 true。
-
在 Transport Mode 旁边,选中 Logstream 复选框。
注意
您可以选择 IPFIX 或 Logstream 作为传输模式。
有关 IPFIX 和 Logstream 的更多信息,请参阅 Logstream 概述。
-
单击 OK。
对于 NetScaler ADM 版本 13.0 Build 41.x 或更高版本
-
导航到 Infrastructure > Instances,然后选择实例。
-
从 Select Action 列表中,选择 Configure Analytics。
-
选择虚拟服务器,然后单击 Enable Analytics。
-
在 Advanced Options 下:
-
选择 Logstream
-
选择 NetScaler Gateway
-
-
单击 OK。
使用 GUI 在 NetScaler Gateway 设备上启用 AppFlow 身份验证、授权和审计用户名日志记录
-
导航到 Configuration > System > AppFlow > Settings,然后单击 Change AppFlow Settings。
-
在 Configure AppFlow Settings 屏幕中,选择 AAA Username,然后单击 OK。
查看 Gateway Insight 报告
在 NetScaler ADM 中,您可以查看与 NetScaler Gateway 设备关联的所有用户、应用程序和网关的报告,并且可以查看特定用户、应用程序或网关的详细信息。在 Overview 部分中,您可以查看 EPA、SSO、身份验证和应用程序启动失败。您还可以查看用户用于登录的不同会话模式、客户端类型以及每小时登录的用户数量的摘要。
注意
创建组时,您可以为组分配角色、为组提供应用程序级访问权限,并将用户分配给组。NetScaler ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能查看他们有权访问的应用程序(虚拟服务器)的所有 Insight 报告。有关组以及将用户分配给组的更多信息,请参阅 配置组。
查看 EPA、SSO、身份验证、授权和应用程序启动失败
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight。
-
选择要查看用户详细信息的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
-
单击 EPA(端点分析)、Authentication(身份验证)、Authorization(授权)、SSO(单点登录)或 Application Launch(应用程序启动)选项卡以显示失败详细信息。
查看会话模式、客户端和用户数量的摘要
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight,向下滚动以查看报告。
查看用户的 Gateway Insight 报告
您可以查看以下报告:
-
与 NetScaler Gateway 设备关联的所有用户。
-
用户的 EPA、身份验证、SSO 和应用程序启动失败。
-
用户的活动会话和已终止会话的详细信息。
-
会话模式类型,例如 Full Tunnel、无客户端 VPN 和 ICA® Proxy。
查看用户详细信息
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight > Users。
-
选择要查看用户详细信息的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
-
您可以查看在此时间段内所有用户使用的活动用户数、活动会话数、字节数和许可证。
向下滚动以查看可用用户和活动用户的列表。
在 Users 或 Active Users 选项卡上,单击用户以查看以下用户详细信息:
-
用户详细信息 - 您可以查看与 ADC Gateway 设备关联的每个用户的洞察。导航到 Gateway > Gateway Insight > Users,然后单击用户以查看所选用户的洞察,例如会话模式、操作系统和浏览器。
-
所选网关的用户和应用程序 - 导航到 Gateway > Gateway Insight > Gateway,然后单击网关域名以查看与所选网关关联的前 10 个应用程序和前 10 个用户。
-
应用程序和用户的“查看更多”选项 – 对于超过 10 个应用程序和用户,您可以单击“应用程序和用户”中的“更多”图标以查看与所选网关关联的所有用户和应用程序详细信息。
-
通过单击条形图查看详细信息 – 当您单击条形图时,可以查看相关详细信息。例如,导航到 Gateway > Gateway Insight > Gateway,然后单击网关条形图以查看网关详细信息。
-
用户的 Active Sessions 和 Terminated Sessions。
-
Active Sessions 中的网关域名和网关 IP 地址。
-
用户登录持续时间。
-
用户注销会话的原因。注销原因可以是:
- 会话超时
- 因内部错误而注销
- 因非活动会话超时而注销
- 用户已注销
- 管理员已停止会话
查看应用程序的 Gateway Insight 报告
您可以查看已启动的应用程序数量、总会话数和活动会话数、总字节数以及应用程序消耗的带宽。您可以查看应用程序的用户、会话、带宽和启动错误详细信息。
查看应用程序详细信息
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight > Applications。
-
选择要查看应用程序详细信息的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
您现在可以查看已启动的应用程序数量、总会话数和活动会话数、总字节数以及应用程序消耗的带宽。
向下滚动以查看 ICA 和其他应用程序消耗的会话数、带宽和总字节数。
在 Other Applications 选项卡上,您可以单击 Name 列中的应用程序以显示该应用程序的详细信息。
查看网关的 Gateway Insight 报告
您可以随时查看与 NetScaler Gateway 设备关联的所有网关使用的网关数量、活动会话数、总字节数和带宽。您可以查看网关的 EPA、身份验证、单点登录和应用程序启动失败。您还可以查看与网关关联的所有用户的详细信息及其登录活动。
查看网关详细信息
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight > Gateways。
-
选择要查看网关详细信息的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
您现在可以随时查看与 NetScaler Gateway 设备关联的所有网关使用的网关数量、活动会话数、总字节数和带宽。
向下滚动以查看网关详细信息,例如网关域名、虚拟服务器名称、NetScaler IP 地址、会话模式和总字节数。
您可以单击 Gateway Domain Name 列中的网关以显示网关的 EPA、身份验证、单点登录和应用程序启动失败以及其他详细信息。
导出报告
您可以将 Gateway Insight 报告以及 GUI 中显示的所有详细信息以 PDF、JPEG、PNG 或 CSV 格式保存到本地计算机。您还可以安排将报告导出到指定的电子邮件地址,并设置不同的时间间隔。
注意
- 只读访问权限的用户无法导出报告。
- 仅当 NetScaler ADM 具有 Internet 连接时,才会导出地理地图报告。
导出报告
-
在 Dashboard 选项卡上,在右侧窗格中,单击 export 按钮。
-
在 Export Now 下,选择所需格式,然后单击 Export。
安排导出:
-
在 Dashboard 选项卡上,在右侧窗格中,单击 export 按钮。
-
在 Schedule Export 下,指定详细信息,然后单击 Schedule。
添加电子邮件服务器或电子邮件分发列表:
-
在 Configuration 选项卡上,导航到 Settings > Notifications > Email。
-
在右侧窗格中,选择 Email Server 以添加电子邮件服务器,或选择 Email Distribution list 以创建电子邮件分发列表。
-
指定详细信息,然后单击 Create。
导出整个 Gateway Insight 仪表板:
-
在 Dashboard 选项卡上,在右侧窗格中,单击 export 按钮。
-
在 Export Now 下,选择 PDF 格式,然后单击 Export。
Gateway Insight 用例
以下用例展示了如何使用 Gateway Insight 深入了解 NetScaler Gateway 设备上的用户访问详细信息、应用程序和网关。
用户无法登录 NetScaler Gateway 设备或内部 Web 服务器
您是 NetScaler Gateway 管理员,通过 NetScaler ADM 监控 NetScaler Gateway 设备,您希望了解用户无法登录的原因,或者登录过程在哪个阶段发生了失败。
NetScaler ADM 使您能够查看登录过程以下阶段的用户登录错误详细信息:
-
身份验证
-
端点分析 (EPA)
-
单点登录
在 NetScaler ADM 中,您可以搜索特定用户,然后查看该用户的所有详细信息。
搜索用户:
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight,然后在 Search for Users 文本框中,指定要搜索的用户。
身份验证失败
您可以查看身份验证错误,例如凭据不正确或身份验证服务器无响应。您还可以查看身份验证失败的因素。
查看身份验证失败详细信息:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight。
-
在 Overview 部分中,选择要查看身份验证错误的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
-
单击 Authentication 选项卡。您可以在 Failures 图中随时查看身份验证错误的数量。
向下滚动以查看同一选项卡上的表格中每个身份验证错误的详细信息,例如 Username(用户名)、Client IP Address(客户端 IP 地址)、Error Time(错误时间)、Authentication type(身份验证类型)、Authentication Server IP Address(身份验证服务器 IP 地址)等。表格中的 Error Description(错误描述)列显示登录失败的原因,State(状态)列显示发生失败的第 n 个因素。
您可以单击 Username 列中的用户以显示该用户的身份验证错误和其他详细信息。您可以使用设置图标自定义表格以添加或删除列。
重要提示:
如果 OAuth-OpenID Connect 身份验证失败,则在 Gateway Insight 报告中,某些失败(例如“令牌验证失败”)的用户名将显示为 NA。在此失败中,由于 OAuth-OpenID Connect 信赖方处的“令牌验证失败”,因此无法获取身份验证失败的用户名。
EPA 失败
您可以查看预身份验证或后身份验证阶段的 EPA 失败。
重要提示:
- 仅当配置了经典表达式时,才会报告 EPA 失败。
- 如果在预身份验证或后身份验证策略中配置了高级表达式,则不报告 EPA 失败。
- 如果 EPA 配置为 nFactor 身份验证流中的一个因素,则不报告 EPA 失败。
查看 EPA 失败详细信息:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight。
-
在 Overview 部分中,选择要查看 EPA 错误的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
-
单击 EPA (End Point Analysis) 选项卡。您可以在 Failures 图中随时查看 EPA 错误的数量。
向下滚动以查看同一选项卡上的表格中每个 EPA 错误的详细信息,例如 Username(用户名)、NetScaler IP Address(NetScaler IP 地址)、Gateway IP Address(网关 IP 地址)、VPN、Error Time(错误时间)、Policy Name(策略名称)、Gateway Domain Name(网关域名)等。表格中的 Error Description(错误描述)列显示 EPA 失败的原因,Policy Name(策略名称)列显示导致失败的策略。
您可以单击 Username 列中的用户以显示该用户的 EPA 错误和其他详细信息。您可以使用向下箭头自定义表格以添加或删除列。
注意
当“clientSecurity”表达式配置为 VPN 会话策略规则时,NetScaler Gateway 不报告 EPA 失败。
SSO 失败
您可以查看用户通过 NetScaler Gateway 设备访问任何应用程序时在任何阶段发生的所有 SSO 失败。
查看 SSO 失败详细信息:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight。
-
在 Overview 部分中,选择要查看 SSO 错误的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
-
单击 SSO (Single Sign On) 选项卡。您可以在 Failures 图中随时查看 SSO 错误的数量。
向下滚动以查看同一选项卡上的表格中每个 SSO 错误的详细信息,例如 Username(用户名)、NetScaler IP Address(NetScaler IP 地址)、Error Time(错误时间)、Error Description(错误描述)、Resource Name(资源名称)等。
您可以单击 Username 列中的用户以显示该用户的 SSO 错误和其他详细信息。您可以使用向下箭头自定义表格以添加或删除列。
成功登录 NetScaler Gateway 后,用户无法启动任何虚拟应用程序
对于应用程序启动失败,您可以深入了解原因,例如无法访问的安全票证颁发机构 (STA) 或 Citrix Virtual App 服务器,或无效的 STA 票证。您可以查看错误发生的时间、错误详细信息以及 STA 验证失败的资源。
查看应用程序启动失败详细信息:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight。
-
在 Overview 部分中,选择要查看 SSO 错误的时间段。您可以使用时间滑块进一步自定义所选时间段。单击 Go。
-
单击 Application Launch 选项卡。您可以在 Failures 图中随时查看应用程序启动失败的数量。
向下滚动以查看同一选项卡上的表格中每个应用程序启动错误的详细信息,例如 NetScaler IP Address(NetScaler IP 地址)、Error Time(错误时间)、Error Description(错误描述)、Resource Name(资源名称)、Gateway Domain Name(网关域名)等。表格中的 Error Description(错误描述)列显示 STA 服务器的 IP 地址,Resource Name(资源名称)列显示 STA 验证失败的资源的详细信息。
您可以单击 Username 列中的用户以显示该应用程序启动错误和其他详细信息。您可以使用向下箭头自定义表格以添加或删除列。
成功启动新应用程序后,用户希望查看该应用程序消耗的总字节数和带宽
成功启动新应用程序后,您可以在 NetScaler ADM 中查看该应用程序消耗的总字节数和带宽。
查看应用程序消耗的总字节数和带宽:
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight > Applications,向下滚动,然后在 Other Applications 选项卡上,单击要查看详细信息的应用程序。
您可以查看该应用程序消耗的会话数和总字节数。
您还可以查看该应用程序消耗的带宽。
用户已成功登录 NetScaler Gateway,但无法访问内部网络中的某些网络资源
借助 Gateway Insight,您可以确定用户是否可以访问网络资源。您还可以查看导致失败的策略名称。
查看用户对资源的访问权限:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight > Applications。
-
在出现的屏幕上,向下滚动,然后在 Other Applications 选项卡上,选择用户无法登录的应用程序。
-
向下滚动,在 Users 表中,将显示所有有权访问该应用程序的用户。
不同的用户可能使用不同的 NetScaler Gateway 部署,或者可能通过不同的访问模式登录 NetScaler Gateway。管理员必须能够查看有关部署类型和访问模式的详细信息
借助 Gateway Insight,您可以查看用户用于登录的不同会话模式、客户端类型以及每小时登录的用户数量的摘要。您还可以确定用户的部署是统一网关部署还是经典 NetScaler Gateway 部署。对于统一网关部署,您可以查看内容交换虚拟服务器名称和 IP 地址以及 VPN 虚拟服务器名称。
查看会话模式、客户端类型和登录用户数量的摘要:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight。
-
在 Overview 部分中,向下滚动以查看 Session Mode(会话模式)、Operating Systems(操作系统)、Browsers(浏览器)和 User Logon Activity(用户登录活动)图表,这些图表显示了用户用于登录的不同会话模式、客户端类型以及每小时登录的用户数量。
