在 NetScaler Gateway 部署中,了解用户的访问详细信息对于解决访问失败问题至关重要。 作为网络管理员,您想知道用户何时无法登录 NetScaler Gateway,并且想知道用户活动和登录失败的原因。 除非用户发送解决请求,否则此信息通常不可用。
Gateway Insight 可让您查看所有用户在登录 NetScaler Gateway 时遇到的故障,无论访问模式如何。 您可以查看所有可用用户的列表、活跃用户数、活跃会话数以及所有用户在任何给定时间使用的字节和许可证。 您可以查看用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 和应用程序启动失败。 您还可以查看用户的活动会话和已终止会话的详细信息。
Gateway Insight 还可以查看虚拟应用程序启动失败的原因。 这增强了您解决任何类型的登录或应用程序启动失败问题的能力。 您可以查看启动的应用程序数量、总会话数和活动会话数、总字节数以及应用程序消耗的带宽。 您可以查看应用程序的用户、会话、带宽和启动错误的详细信息。
您可以随时查看与 NetScaler Gateway 设备关联的所有网关在网关数量、活动会话数量、总字节数和使用的带宽。 您可以查看网关的 EPA、身份验证、单点登录和应用程序启动失败。 您还可以查看与网关相关的所有用户及其登录活动的详细信息。
所有日志消息都存储在 NetScaler 控制台数据库中,因此您可以查看任何时间段的错误详细信息。 您还可以查看登录失败的摘要并确定登录过程的哪个阶段发生了失败。
NetScaler 控制台的版本和内部版本必须与 NetScaler Gateway 设备的版本和内部版本相同或更高。
当身份验证方法配置为基于证书的身份验证时,NetScaler Gateway 不支持 Gateway Insight。
对于 Gateway Insight 报告,NetScaler 设备不提供地理位置信息。
虚拟 ICA 应用程序和桌面的成功用户登录、延迟和应用程序级详细信息仅在 HDX Insight 用户仪表板上可见。
在双跳模式下,无法查看第二个 DMZ 中的 NetScaler Gateway 设备上的故障。
没有报告远程桌面协议 (RDP) 桌面访问问题。
Gateway Insight 支持以下身份验证类型。 如果使用除此之外的其他身份验证类型,您可能会在 Gateway Insight 中看到一些差异。
OAuth-OpenID连接
对于 OAuth-OpenID Connect 身份验证,NetScaler 可以充当 OAuth-OpenID 连接依赖方 (RP) 或 OAuth-OpenID 连接身份提供者 (IdP)。 当身份验证成功时,用户名将在 Gateway Insight 报告的“用户”选项卡下报告。 但是,您无法识别会话是在 IdP 还是 RP 处创建的。
注意: NetScaler Console 版本 13.1 build 4.xx 及更高版本支持 OAuth-OpenID Connect 身份验证。
要为 NetScaler Gateway 设备启用 Gateway Insight,必须先将 NetScaler Gateway 设备添加到 NetScaler 控制台。 然后,您必须为代表 VPN 应用程序的虚拟服务器启用 AppFlow。 有关将设备添加到 NetScaler 控制台的信息,请参阅添加设备。
笔记
要在 NetScaler 控制台中查看端点分析 (EPA) 故障,您必须在 NetScaler Gateway 设备上启用 AppFlow 身份验证、授权和审核用户名 登录。
如果您的 NetScaler 控制台是 13.0 Build 36.27,则以下启用网关洞察的步骤适用:
导航到 基础设施 >实例,然后选择要为其启用 AppFlow 的实例。
从 选择操作 列表中,选择 配置分析。
在 配置 Insight 页面中,在 配置分析下,选择 NetScaler Gateway。
选择虚拟服务器,然后单击 启用 AppFlow。
在 启用 AppFlow 屏幕上,在 选择表达式 列表中,单击 true。
在 Transport Mode旁边,选中 Logstream 复选框。
笔记
您可以选择 IPFIX 或 Logstream 作为传输模式。
有关 IPFIX 和 Logstream的更多信息,请参阅 Logstream 概述。
单击 确定。
导航到 基础设施 >实例,然后选择实例。
从 选择操作 列表中,选择 配置分析。
选择虚拟服务器并单击 启用分析。
在 高级选项下:
选择 日志流
选择 NetScaler Gateway
单击 确定。
导航到 配置 > 系统 > AppFlow > 设置,然后单击 更改 AppFlow 设置。
在 配置 AppFlow 设置 屏幕中,选择 AAA 用户名,然后单击 确定。
在 NetScaler 控制台中,您可以查看与 NetScaler Gateway 设备关联的所有用户、应用程序和网关的报告,还可以查看特定用户、应用程序或网关的详细信息。 在 概述 部分,您可以查看 EPA、SSO、身份验证和应用程序启动失败。 您还可以查看用户登录所使用的不同会话模式、客户端类型以及每小时登录的用户数量的摘要。
笔记
创建组时,您可以为该组分配角色、为该组提供应用程序级别的访问权限以及为该组分配用户。 NetScaler 控制台分析现在支持基于虚拟 IP 地址的授权。 您的用户现在只能查看他们被授权的应用程序(虚拟服务器)的所有 Insights 报告。 有关组和将用户分配到组的更多信息,请参阅 配置组。
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight。
选择您想要查看用户详细信息的时间段。 您可以使用时间滑块进一步自定义所选时间段。 点击 前往。
单击 EPA(端点分析)、身份验证、授权、SSO(单点登录)或应用程序启动选项卡以显示失败详细信息。
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight,向下滚动以查看报告。
您可以查看以下报告:
与 NetScaler Gateway 设备关联的所有用户。
用户的 EPA、身份验证、SSO 和应用程序启动失败。
用户的活动会话和终止会话的详细信息。
会话模式的类型,例如全隧道、无客户端 VPN 和 ICA 代理。
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight > Users。
选择您想要查看用户详细信息的时间段。 您可以使用时间滑块进一步自定义所选时间段。 点击 前往。
您可以查看该时间段内的活跃用户数、活跃会话数、字节数以及所有用户使用的许可证。
向下滚动以查看可用用户和活跃用户的列表。
在 用户 或 活跃用户 选项卡上,单击一个用户以查看以下用户详细信息:
用户详细信息 - 您可以查看与 NetScaler Gateway 设备关联的每个用户的见解。 导航到 网关 > 网关洞察 > 用户 并单击一个用户以查看所选用户的洞察,例如会话模式、操作系统和浏览器。
所选网关的用户和应用程序 - 导航到 网关 > 网关洞察 > 网关 并单击网关域名以查看与所选网关关联的前 10 个应用程序和前 10 个用户。
查看更多应用程序和用户的选项 – 对于超过 10 个应用程序和用户,您可以单击应用程序和用户中的更多图标来查看与所选网关关联的所有用户和应用程序详细信息。
点击条形图查看详情 – 点击条形图时,可以查看相关详情。 例如,导航到 网关 > 网关洞察 > 网关 ,然后单击网关条形图以查看网关详细信息。
用户 活动会话 和 终止会话。
Active Sessions中的网关域名和网关 IP 地址。
用户登录时长。
用户注销会话的原因。 注销原因可能是:
您可以查看启动的应用程序数量、总会话数和活动会话数、应用程序消耗的总字节数和带宽。 您可以查看应用程序的用户、会话、带宽和启动错误的详细信息。
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight > Applications。
选择您想要查看应用程序详细信息的时间段。 您可以使用时间滑块进一步自定义所选的时间段。 点击 前往。
您现在可以查看启动的应用程序数量、总会话数和活动会话数、应用程序消耗的总字节数和带宽。
向下滚动以查看 ICA 和其他应用程序消耗的会话数、带宽和总字节数。
在 其他应用程序 选项卡上,您可以单击 名称 列中的应用程序以显示该应用程序的详细信息。
您可以随时查看与 NetScaler Gateway 设备关联的所有网关在网关数量、活动会话数量、总字节数和使用的带宽。 您可以查看网关的 EPA、身份验证、单点登录和应用程序启动失败。 您还可以查看与网关相关的所有用户及其登录活动的详细信息。
在 NetScaler Console中,导航到 Gateway > Gateway Insight > Gateways。
选择您想要查看网关详细信息的时间段。 您可以使用时间滑块进一步自定义所选的时间段。 点击 前往。
现在,您可以随时查看与 NetScaler Gateway 设备关联的所有网关在给定时间使用的网关数量、活动会话数量、总字节数和带宽。
向下滚动以查看网关详细信息,例如网关域名、虚拟服务器名称、NetScaler IP 地址、会话模式和总字节数。
您可以单击 网关域名 列中的网关,以显示网关的 EPA、身份验证、单点登录和应用程序启动失败等详细信息。
您可以将 Gateway Insight 报告以及 GUI 中显示的所有详细信息以 PDF、JPEG、PNG 或 CSV 格式保存在本地计算机上。 您还可以安排以不同的时间间隔将报告导出到指定的电子邮件地址。
笔记
- 具有只读权限的用户无法导出报告。
- 仅当 NetScaler 控制台具有互联网连接时,才会导出地理地图报告。
在 仪表板 选项卡的右侧窗格中,单击 导出 按钮。
在 立即导出下,选择所需的格式,然后单击 导出。
安排导出:
在 仪表板 选项卡的右侧窗格中,单击 导出 按钮。
在 Schedule Export下,指定详细信息并单击 Schedule。
要添加电子邮件服务器或电子邮件分发列表:
在 配置 选项卡上,导航到 设置 > 通知 > 电子邮件。
在右侧窗格中,选择 电子邮件服务器以添加电子邮件服务器,或选择 电子邮件分发列表 以创建电子邮件分发列表。
指定详细信息并单击 创建。
要导出整个 Gateway Insight 仪表板:
在 仪表板 选项卡的右侧窗格中,单击 导出 按钮。
在 立即导出下,选择 PDF 格式,然后单击 导出。
以下用例展示了如何使用 Gateway Insight 来了解 NetScaler Gateway 设备上的用户访问详细信息、应用程序和网关。
您是 NetScaler Gateway 管理员,通过 NetScaler 控制台监控 NetScaler Gateway 设备,您想要了解用户无法登录的原因,或者在登录过程的哪个阶段发生失败。
NetScaler 控制台使您能够在登录过程的以下阶段查看用户登录错误详细信息:
验证
终点分析(EPA)
单点登录
在 NetScaler 控制台中,您可以搜索特定用户,然后查看该用户的所有详细信息。
要搜索用户:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight ,然后在 Search for Users 文本框中指定要搜索的用户。
您可以查看身份验证错误,例如凭据不正确或身份验证服务器没有响应。 您还可以看到身份验证失败的因素。
查看身份验证失败的详细信息:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight。
在 概述 部分中,选择您想要查看身份验证错误的时间段。 您可以使用时间滑块进一步自定义所选的时间段。 点击 前往。
单击 身份验证 选项卡。 您可以在 失败 图表中查看任何给定时间的身份验证错误数。
向下滚动以查看每个身份验证错误的详细信息,例如 用户名、客户端 IP 地址、错误时间、身份验证类型、身份验证服务器 IP 地址,以及同一选项卡上的表格中的更多内容。 表中的 错误描述 列显示登录失败的原因,而 状态 列显示发生失败的第 n 个因素。
您可以单击 用户名 列中的用户来显示该用户的身份验证错误和其他详细信息。 您可以使用设置图标自定义表格以添加或删除列。
重要的:
如果 OAuth-OpenID Connect 身份验证失败,则对于某些失败,用户名会在 Gateway Insight 报告中显示为 NA ,例如“令牌验证失败”。 此次失败是由于 OAuth-OpenID 连接依赖方出现“令牌验证失败”,导致无法获取用户名,导致身份验证失败。
您可以在认证前或认证后阶段查看 EPA 失败。
重要的:
NetScaler Gateway 会向 NetScaler Console 报告经典和高级表达式的 EPA 故障。 对于高级表达式,策略名称不会显示在 Gateway Insight 仪表板中。 如果 EPA 配置为 nFactor 身份验证流程中的因素之一,则会报告失败。
要查看 EPA 故障详细信息:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight。
在概览部分中,选择您想要查看 EPA 错误的时间段。 您可以使用时间滑块进一步自定义所选的时间段。 点击 前往。
单击 EPA(终点分析) 选项卡。 您可以在 故障 图表中查看任何给定时间的 EPA 错误数。
向下滚动以查看每个 EPA 错误的详细信息,例如 用户名、NetScaler IP 地址、网关 IP 地址、VPN、错误时间、策略名称、网关域名 以及同一选项卡上的表格中的更多内容。
表中的 错误描述 列显示了 EPA 故障的原因。 例如,当 EPA 检查由于 nFactor EPA 故障而失败时,会出现错误消息“EPA 预授权检查失败”。
策略名称 列显示导致失败的策略。
您可以单击 用户名 列中的用户来显示该用户的 EPA 错误和其他详细信息。 您可以使用向下的箭头自定义表格以添加或删除列。 如果 EPA 用作 nFactor 身份验证流程中的一个因素,则案例 ID 将显示在未分配用户名的条目上。
笔记
当“clientSecurity”表达式配置为 VPN 会话策略规则时,NetScaler Gateway 不会报告 EPA 故障。
您可以查看用户通过 NetScaler Gateway 设备访问任何应用程序时任何阶段的所有 SSO 失败。
要查看 SSO 失败详细信息:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight。
在概览部分中,选择您想要查看 SSO 错误的时间段。 您可以使用时间滑块进一步自定义所选的时间段。 点击 前往。
单击 SSO(单点登录) 选项卡。 您可以在故障图中查看任意给定时间的 SSO 错误数量。
向下滚动以查看每个 SSO 错误的详细信息,例如 用户名、NetScaler IP 地址、错误时间、错误描述、资源名称 以及同一选项卡上的表格中的更多内容。
您可以单击 用户名 列中的用户来显示该用户的 SSO 错误和其他详细信息。 您可以使用向下的箭头自定义表格以添加或删除列。
对于应用程序启动失败,您可以了解原因,例如无法访问安全票证颁发机构 (STA) 或 Citrix 虚拟应用程序服务器,或者 STA 票证无效。 您可以查看错误发生的时间、错误的详细信息以及 STA 验证失败的资源。
查看应用程序启动失败的详细信息:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight。
在 概述 部分中,选择您想要查看 SSO 错误的时间段。 您可以使用时间滑块进一步自定义所选的时间段。 点击 前往。
单击 应用程序启动 选项卡。 您可以在任何给定时间在 失败 图表中查看应用程序启动失败的次数。
向下滚动以查看每个应用程序启动错误的详细信息,例如 NetScaler IP 地址、错误时间、错误描述、资源名称、网关域名等,来自同一选项卡上的表格。 表中的 错误描述 列显示 STA 服务器的 IP 地址, 资源名称 列显示 STA 验证失败的资源的详细信息。
您可以单击 用户名 列中的用户来显示该用户的应用程序启动错误和其他详细信息。 您可以使用向下的箭头自定义表格以添加或删除列。
成功启动新应用程序后,您可以在 NetScaler 控制台中查看该应用程序消耗的总字节数和带宽。
要查看应用程序消耗的总字节数和带宽:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight > Applications,向下滚动,在 Other Applications 选项卡上,单击要查看其详细信息的应用程序。
您可以查看会话数和该应用程序消耗的总字节数。
您还可以查看该应用程序消耗的带宽。
通过 Gateway Insight,您可以确定用户是否有权访问网络资源。 您还可以查看导致失败的策略的名称。
查看用户对资源的访问权限:
在 NetScaler 控制台中, 导航到 Gateway > Gateway Insight > Applications。
在出现的屏幕上,向下滚动,然后在 其他应用程序 选项卡上,选择用户无法登录的应用程序。
向下滚动,在 用户 表中,显示所有有权访问该应用程序的用户。
通过 Gateway Insight,您可以查看用户登录所使用的不同会话模式、客户端类型以及每小时登录的用户数量的摘要。 您还可以确定用户的部署是统一网关还是经典 NetScaler Gateway 部署。 对于统一网关部署,您可以查看内容交换虚拟服务器名称和 IP 地址以及 VPN 虚拟服务器名称。
查看会话模式、客户端类型和登录用户数量的摘要:
在 NetScaler 控制台中,导航到 Gateway > Gateway Insight。
在 概述 部分,向下滚动以查看 会话模式、操作系统、浏览器和 用户登录活动 图表显示用户登录使用的不同会话模式、客户端类型以及每小时登录的用户数。