Gateway Insight
在 NetScaler Gateway 部署中,查看用户的访问详细信息对于解决访问失败问题至关重要。作为网络管理员,您想知道用户何时无法登录 NetScaler Gateway,您想知道用户活动和登录失败的原因。除非用户发送解决请求,否则此信息通常不可用。
通过 Gateway Insight 可以查看所有用户登录 NetScaler Gateway 时遇到的失败,而无论访问模式为何。可以查看所有可用用户列表,以及任何给定时间的活动用户数、活动会话数及所有用户使用的字节数和许可证数。可以查看某个用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 及应用程序启动失败。还可以查看某个用户的活动会话和已终止会话的详细信息。
通过 Gateway Insight 还可以查看虚拟应用程序的应用程序启动失败的原因。这可提高您对任何登录或应用程序启动失败问题进行故障排除的能力。您可以查看已启动的应用程序数、总会话数和活动会话数、总字节数以及应用程序消耗的带宽。可以查看应用程序的用户、会话、带宽和启动错误的详细信息。
您可以查看任何给定时间与 NetScaler Gateway 设备关联的所有网关使用的网关数量、活动会话数、总字节数和带宽。可以查看某个网关的 EPA、身份验证、单点登录及应用程序启动失败。还可以查看与某个网关关联的所有用户及其登录活动的详细信息。
所有日志消息都存储在 NetScaler ADM 数据库中,因此您可以查看任何时间段的错误详细信息。还可以查看登录失败摘要,并确定在登录过程的什么阶段发生了失败。
需要注意的事项
- 以下部署支持 Gateway Insight:
- Access Gateway
- Unified Gateway
-
NetScaler ADM 的版本和版本必须与 NetScaler Gateway 设备的版本相同或更晚。
- 可以查看具有高级许可证的 NetScaler 实例的一小时 Gateway Insight 报告。高级许可证是必须查看超过一小时的 Gateway Insight 报告。
限制
-
当身份验证方法配置为基于证书的身份验证时,NetScaler Gateway 网关不支持 Gateway Insight。
-
对于 Gateway Insight 报告,NetScaler 设备不会提供地理位置信息。
-
在 HDX Insight“Users”(用户)控制板上只能看到虚拟 ICA 应用程序和桌面的成功用户登录、延迟及应用程序级别详细信息。
-
在双跃点模式下,无法查看第二个 DMZ 中 NetScaler Gateway 设备上的失败。
-
远程桌面协议 (RDP) 桌面访问问题不会报告。
-
以下身份验证类型支持 Gateway Insight。如果使用其他身份验证类型,您可能会在 Gateway Insight 中看到一些差异。
- 本地
- LDAP
- RADIUS
- TACACS
- SAML
- 本机 OTP
-
OAuth-OpenID 连接
对于 OAuth-OpenID Connect 身份验证,NetScaler 可以充当 OAuth-OpenID 连接信赖方 (RP) 或 OAuth-OpenID 连接身份提供商 (IdP)。身份验证成功后,将在“Gateway Insight”报表的“用户”选项卡下报告用户名。但是,您无法确定会话是在 IdP 还是 RP 创建的。
注意: NetScaler ADM 13.1 版本 4.xx 及更高版本支持 OAuth-OpenID 连接身份验证。
启用 Gateway Insight
要为您的 NetScaler Gateway 设备启用 Gateway Insight,必须首先将 NetScaler Gateway 设备添加到 NetScaler ADM 中。然后必须为表示 VPN 应用程序的虚拟服务器启用 AppFlow。有关向 NetScaler ADM 添加设备的信息,请参阅添加设备。
注意
要在 NetScaler ADM 中查看端点分析 (EPA) 故障,必须在 NetScaler Gateway 设备上启用 AppFlow 身份验证、授权和审核用户名 日志记录。
如果您的 NetScaler ADM 是 13.0 版本 36.27,则可以执行以下过程来启用 Gateway Insight:
-
导航到 基础架构 > 实例,然后选择要为其启用 AppFlow 的实例。
-
从 Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。
-
在“配置智能分析”页的“配置分析”下,选择 NetScaler Gateway。
-
选择虚拟服务器,然后单击“启用 AppFlow”。
-
在启用 AppFlow 屏幕上的选择表达式列表中,单击“真”。
-
在 传输模式旁边,选中 Logstream 复选框。
注意
您可以选择 IPFIX 或 Logstream 作为传输模式。
有关 IPFIX 和 Logstream 的更多信息,请参阅 Logstream 概述。
-
单击确定。
对于 NetScaler ADM 版本 13.0 版本 41.x 或更高版本
-
导航到 基础架构 > 实例,然后选择实例。
-
从 Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。
-
选择虚拟服务器,然后单击“启用分析”。
-
在“高级选项”下:
-
选择 Logstream
-
选择 NetScaler Gateway
-
-
单击确定。
使用 GUI 在 NetScaler Gateway 设备上启用 AppFlow 身份验证、授权和审核用户名记录
-
导航到配置 > 系统 > AppFlow > 设置,然后单击更改 AppFlow 设置。
-
在“配置 AppFlow 设置”屏幕中,选择 AAA 用户名,然后单击“确定”。
查看 Gateway Insight 报告
在 NetScaler ADM 中,您可以查看与 NetScaler Gateway 设备关联的所有用户、应用程序和网关的报告,还可以查看特定用户、应用程序或网关的详细信息。在“概 述”部分,您可以查看 EPA、SSO、身份验证和应用程序启动失败。还可以查看用户用于登录的不同会话模式、客户端类型及每小时登录用户数的摘要。
注意
创建组时,您可以为组分配角色、提供对组的应用程序级别访问权限以及将用户分配给组。NetScaler ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和将用户分配到组的详细信息,请参阅 配置组。
查看 EPA、SSO、身份验证、授权和应用程序启动失败
-
在 NetScaler ADM 中,导航到 网关 > Gateway Insight。
-
选择要查看用户详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
-
单击“EPA (End Point Analysis)”(EPA(端点分析))、“Authentication”(身份验证)、“Authorization”(授权)、“SSO (Single Sign On)”(SSO(单点登录))或“Application Launch”(应用程序启动)选项卡以显示失败详细信息。
查看会话模式、客户端及用户数摘要
在 NetScaler ADM 中,导航到 网关 > Gateway Insight,向下滚动以查看报告。
查看用户的 Gateway Insight 报告
您可以查看以下各项的报告:
-
与 NetScaler Gateway 设备关联的所有用户。
-
用户的 EPA、身份验证、SSO 和应用程序启动失败。
-
用户的活动和已终止会话的详细信息。
-
会话模式的类型,如全通道、无客户端 VPN 和 ICA 代理。
查看用户详细信息
-
在 NetScaler ADM 中,导航到网关 > Gateway Insight > 用户。
-
选择要查看用户详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
-
您可以查看该时段内所有用户使用的活动用户数、活动会话数、字节数和许可证。
向下滚动可查看可用用户和活动用户列表。
在“用户”或“活动用户”选项卡上,单击用户可查看以下用户详细信息:
-
用户详细信息 -您可以查看与 ADC Gateway 设备关联的每个用户的见解。导航到网关 > Gateway Insight > 用户,然后单击用户以查看所选用户的见解,例如会话模式、操作系统和浏览器。
-
选定网关的用户和应用程序 - 导航到网关> Gateway Insight > 网关,然后单击网关域名以查看与所选网关关联的前 10 个应用程序和前 10 个用户。
-
查看应用程序和用户的更多选项 — 对于 10 个以上的应用程序和用户,您可以单击应用程序和用户中的更多图标以查看与所选网关关联的所有用户和应用程序详细信息。
-
通过单击条形图查看详细信息 — 单击条形图时,可以查看相关详细信息。例如,导航到网关 > Gateway Insight > 网关,然后单击网关条形图以查看网关详细信息。
-
用户 活动会话 和 已终止的会话。
-
活动会话中的网关域名和网关 IP 地址。
-
用户登录持续时间。
-
用户注销会话的原因。注销的原因可能是:
- 会话超时
- 由于内部错误而注销
- 由于非活动会话超时而注销
- 用户已注销
- 管理员已停止会话
查看应用程序的 Gateway Insight 报告
您可以查看已启动的应用程序数量、总会话数和活动会话数、应用程序占用的总字节数和带宽。可以查看应用程序的用户、会话、带宽和启动错误的详细信息。
查看应用程序详细信息
-
在 NetScaler ADM 中,导航到网关 > Gateway Insight > 应用程序。
-
选择要查看应用程序详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
现在,您可以查看已启动的应用程序数量、总会话数和活动会话数、应用程序占用的总字节数和带宽。
向下滚动可查看 ICA 和其他应用程序使用的会话数、带宽及总字节数。
在其他应用程序选项卡上,您可以单击名称列中的应用程序以显示该应用程序的详细信息。
查看网关的 Gateway Insight 报告
您可以查看任何给定时间与 NetScaler Gateway 设备关联的所有网关使用的网关数量、活动会话数、总字节数和带宽。可以查看某个网关的 EPA、身份验证、单点登录及应用程序启动失败。还可以查看与某个网关关联的所有用户及其登录活动的详细信息。
查看网关详细信息
-
在 NetScaler ADM 中,导航到网关 > Gateway Insight > Gateway Insight > Gateway。
-
选择要查看网关详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
现在,您可以查看与 NetScaler Gateway 设备关联的所有网关在任何给定时间使用的网关数、活动会话数、总字节数和带宽。
向下滚动可查看网关详细信息,例如,“Gateway Domain Name”(网关域名)、“Virtual Server Name”(虚拟服务器名称)、NetScaler IP 地址、会话模式及“Total Bytes”(总字节数)。
您可以单击 Gateway 域名列中的 Gateway ,以显示网关的 EPA、身份验证、单点登录和应用程序启动失败以及其他详细信息。
导出报告
您可以在本地计算机上以 PDF、JPEG、PNG 或 CSV 格式将 GUI 中显示的所有详细信息保存 Gateway Insight 报告。您还可以计划以各种时间间隔将报告导出到指定的电子邮件地址。
注意
- 具有只读访问权限的用户不能导出报告。
- 仅当 NetScaler ADM 具有 Internet 连接时,才会导出地理地图报告。
导出报告
-
在“控制板”选项卡的右侧窗格中,单击“导出”按钮。
-
在“立即导出”下,选择所需的格式,然后单击“导出”。
要计划导出:
-
在“控制板”选项卡的右侧窗格中,单击“导出”按钮。
-
在“计划导出”下,指定详细信息并单击“计划”。
要添加电子邮件服务器或电子邮件通讯组列表,请执行以下操作:
-
在“配置”选项卡上,导航到“设置”>“通知”>“电子邮件”。
-
在右窗格中,选择“电子邮件服务器”以添加电子邮件服务器,或选择“电子邮件通讯组列表”以创建电子邮件通讯组列表。
-
指定详细信息,然后单击“创建”。
要导出整个 Gateway Insight 控制板:
-
在“控制板”选项卡的右侧窗格中,单击“导出”按钮。
-
在“立即导出”下,选择 PDF 格式,然后单击“导出”。
Gateway Insight 使用案例
以下使用案例展示了如何使用 Gateway Insight 在 NetScaler Gateway 设备上查看用户的访问详细信息、应用程序和网关。
用户无法登录到 NetScaler Gateway 设备或内部 Web 服务器
您是 NetScaler Gateway 管理员,通过 NetScaler ADM 监视 NetScaler Gateway 设备,您想看看为什么用户无法登录,或者失败发生在登录过程的哪个阶段。
NetScaler ADM 使您能够在登录过程的以下阶段查看用户登录错误的详细信息:
-
身份验证
-
端点分析 (EPA)
-
单点登录
在 NetScaler ADM 中,您可以搜索特定用户,然后查看该用户的所有详细信息。
要搜索用户,请执行以下操作:
在 NetScaler ADM 中,导航到网关 > Gateway Insight,然后在搜索用户文本框中指定要搜索的用户。
身份验证失败
可以查看身份验证错误,例如,凭据错误或身份验证服务器没有响应。您还可以查看身份验证失败的因素。
要查看验证失败的详细信息,请执行以下操作:
-
在 NetScaler ADM 中,导航到 网关 > Gateway Insight。
-
在概述部分中,选择要查看身份验证错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
-
单击身份验证选项卡。您可以在故障图中查看任何给定时间的身份验证错误数量。
在同一选项卡上的表中向下滚动可查看每个身份验证错误的详细信息,例如,Username(用户名)、Client IP Address(客户端 IP 地址)、Error Time(错误时间)、Authentication Type(身份验证类型)、Authentication Server IP Address(身份验证服务器 IP 地址)及其他信息。表中的 错误描述 列显示登录失败的原因, 状态 列显示失败发生的第 n 个因素。
您可以单击“用户 名”列中的用户以显示该用户的身份验证错误和其他详细信息。您可以使用设置图标自定义表格以添加或删除列。
重要:
如果 OAuth-OpenID 连接身份验证失败,则某些失败(例如“令牌验证失败”)的用户名会在 Gateway Insight 报告中显示为不适用。在此失败中,由于 OAuth-OpenID 连接信赖方的“令牌验证失败”,用户名无法用于身份验证失败。
环保局失败
您可以在身份验证前或身份验证后阶段查看 EPA 失败。
重要:
- 仅当配置了经典表达式时,才会报告 EPA 失败。
- 如果在身份验证前或身份验证后策略中配置了高级表达式,则不会报告 EPA 失败。
- 如果将 EPA 配置为 nFactor 身份验证流程中的一个因素,则不会报告 EPA 失败。
要查看 EPA 失败详细信息,请执行以下操作:
-
在 NetScaler ADM 中,导航到 网关 > Gateway Insight。
-
在“Overview”(概述)部分中,选择要查看 EPA 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
-
单击 EPA(终点分析)选项卡。您可以在故障图中查看任何给定时间的 EPA 错误数。
在同一选项卡上的表中向下滚动可查看每个 EPA 错误的详细信息,例如,Username(用户名)、NetScaler IP Address(NetScaler IP 地址)、Gateway IP Address(网关 IP 地址)、VPN、Error Time(错误时间)、Policy Name(策略名称)、Gateway Domain Name(网关域名)及其他信息。表中 Error Description(错误说明)列显示 EPA 失败的原因,Policy Name(策略名称)列显示导致失败的策略。
您可以单击“用户 名”列中的用户以显示该用户的 EPA 错误和其他详细信息。您可以使用向下箭头自定义表格以添加或删除列。
注意
将“clientSecurity”表达式配置为 VPN 会话策略规则时,NetScaler Gateway 不会报告 EPA 故障。
SSO 故障
可以查看通过 NetScaler Gateway 设备访问任何应用程序的用户在任何阶段的所有 SSO 失败。
要查看 SSO 故障详细信息,请执行以下操作:
-
在 NetScaler ADM 中,导航到 网关 > Gateway Insight。
-
在“Overview”(概览)部分中,选择要查看 SSO 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
-
单击 SSO(单次登录) 选项卡。可以在“Failures”(失败)图中查看任何给定时间的 SSO 错误数。
在同一选项卡上的表中向下滚动可查看每个 SSO 错误的详细信息,例如,Username(用户名)、NetScaler IP Address(NetScaler IP 地址)、Error Time(错误时间)、Error Description(错误说明)、Resource Name(资源名称)及其他信息。
您可以单击“用户 名”列中的用户以显示该用户的 SSO 错误和其他详细信息。您可以使用向下箭头自定义表格以添加或删除列。
成功登录到 NetScaler Gateway 后,用户将无法启动任何虚拟应用程序
对于应用程序启动失败,您可以了解原因,例如无法访问的安全票证颁发机构 (STA) 或 Citrix 虚拟应用程序服务器或 STA 票证无效。可以查看错误发生的时间、错误的详细信息以及 STA 验证失败的资源。
查看应用程序启动失败的详细信息:
-
在 NetScaler ADM 中,导航到 网关 > Gateway Insight。
-
在概述部分中,选择要查看 SSO 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到。
-
单击应用程序启动选项卡。您可以在失败图表中查看任何给定时间的应用程序启动失败次数。
在同一选项卡上的表中向下滚动可查看每个应用程序启动错误的详细信息,例如,NetScaler IP Address(NetScaler IP 地址)、Error Time(错误时间)、Error Description(错误说明)、Resource Name(资源名称)、Gateway Domain Name(网关域名)及其他信息。表中的 Error Description(错误说明)列显示 STA 服务器的 IP 地址,Resource Name(资源名称)列显示 STA 验证失败的资源的详细信息。
您可以单击“用户 名”列中的用户以显示该用户的应用程序启动错误和其他详细信息。您可以使用向下箭头自定义表格以添加或删除列。
成功启动新应用程序后,用户希望查看该应用程序占用的总字节和带宽
成功启动新应用程序后,可以在 NetScaler ADM 中查看该应用程序占用的总字节和带宽。
要查看应用程序消耗的总字节和带宽,请执行以下操作:
在 NetScaler ADM 中,导航到网关 > Gateway Insight > 应用程序,向下滚动,然后在其他应用程序选项卡上,单击要查看其详细信息的应用程序。
可以查看该应用程序使用的会话数和总字节数。
还可以查看该应用程序使用的带宽。
用户已成功登录到 NetScaler Gateway,但无法访问内部网络中的某些网络资源
通过 Gateway Insight,可以确定用户是否有权访问网络资源。还可以查看导致失败的策略的名称。
要查看资源的用户访问权限,请执行以下操作:
-
在 NetScaler ADM 中,导航到 Gateway > Gateway Insight > 应用程序。
-
在出现的屏幕上,向下滚动,然后在 其他应用程序 选项卡上,选择用户无法登录的应用程序。
-
向下滚动,在“用户”表中,将显示所有有权访问该应用程序的用户。
不同的用户可能正在使用不同的 NetScaler Gateway 部署,也可能通过不同的访问模式登录到 NetScaler Gateway。管理员必须能够查看有关部署类型和访问模式的详细信息
通过 Gateway Insight,可以查看用户用于登录的不同会话模式、客户端类型及每小时登录用户数的摘要。您还可以确定用户的部署是统一网关还是经典 NetScaler Gateway 部署。对于 Unified Gateway 部署,可以查看内容交换虚拟服务器名称和 IP 地址及 VPN 虚拟服务器名称。
要查看会话模式、客户端类型和登录用户数的摘要,请执行以下操作:
-
在 NetScaler ADM 中,导航到 网关 > Gateway Insight。
-
在概述部分中,向下滚动以查看会话模式、操作系统、浏览器和用户登录活动图表显示用户用于登录的不同会话模式、客户端类型以及每小时登录的用户数。