-
-
-
-
解决 Gateway Insight 问题
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
排除 Gateway Insight 问题
如果 Gateway Insight 解决方案未按预期运行,问题可能出在以下某个方面。请参阅相应部分中的清单以进行故障排除。
- Gateway Insight 配置。
- NetScaler 与 NetScaler Console 之间的连接问题。
- NetScaler 中的记录生成。
- NetScaler Console 中的验证。
Gateway Insight 配置清单
-
确保 NetScaler 设备中已启用 AppFlow 功能。有关详细信息,请参阅启用 AppFlow。
-
检查 NetScaler 运行配置中的 Gateway Insight 配置。
运行
show running | grep -i <appflow_policy>命令以检查 Gateway Insight 配置。确保绑定类型为REQUEST。例如:bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST <!--NeedCopy-->Gateway Insight 还需要绑定类型
OTHERTCP_REQUEST。bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST <!--NeedCopy--> - 对于单跳、Access Gateway 或 Unified Gateway 部署,请确保 Gateway Insight AppFlow 策略已绑定到 VPN 虚拟服务器,即 VPN 流量流经的虚拟服务器。有关详细信息,请参阅启用 HDX Insight 数据收集。
- 对于双跳,必须在两个跳上配置 Gateway Insight。
- 检查 NetScaler Gateway/VPN 虚拟服务器中的
appflowlog参数。有关详细信息,请参阅为虚拟服务器启用 AppFlow。
NetScaler 与 NetScaler Console 之间的连接清单
-
检查 NetScaler 中的 AppFlow 收集器状态。有关详细信息,请参阅如何检查 NetScaler 与 AppFlow 收集器之间的连接状态。
-
检查 Gateway Insight AppFlow® 策略命中数。
运行命令
show appflow policy <policy_name>以检查 AppFlow 策略命中数。您也可以在 GUI 中导航到 Settings(设置)> AppFlow > Policies(策略)以检查 AppFlow 策略命中数。
-
验证是否有防火墙阻止 AppFlow 端口 4739 或 5557。
NetScaler 中的记录生成清单
- 运行
nsconmsg -d stats -g ai_tot命令并检查 NetScaler 中的统计信息增量。 - 捕获
nstrace logs并检查 CFLOW 数据包,以确认 NetScaler 导出了 AppFlow 记录。注意:
nstrace logs仅适用于 IPFIX。对于 Logstream,nstrace logs无法确认 NetScaler 设备是否导出了 AppFlow 记录。
NetScaler Console 中的记录验证
- 运行
tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_"命令以检查日志,确认 NetScaler Console 正在接收 AppFlow 记录。 - 确保 NetScaler 实例已添加到 NetScaler Console。
- 确保 NetScaler Gateway/VPN 虚拟服务器已在 NetScaler Console 中获得许可。
NetScaler Console 中 Logstream 日志的验证
可以使用以下方法验证 NetScaler Console 收到的 Logstream 数据:
-
在 NetScaler Console 中启用数据记录日志记录
启用后,可以在
/var/mps/log/mps_afdecoder.log中查看日志。 -
启用 ULFD 库日志记录
运行命令
/mps/decoder_enable_debug日志将捕获到
/var/ulflog/libulfd.log中。您可以使用命令
/mps/decoder_disable_debug禁用日志记录。
Gateway Insight 计数器
以下 Gateway Insight 计数器可用。
- ai_tot_preauth_epa_export
- ai_tot_auth_export
- ai_tot_auth_session_id_update_export
- ai_tot_postauth_epa_export
- ai_tot_vpn_update_export
- ai_tot_ica_fileinfo_export
- ai_tot_app_launch_failure
- ai_tot_logout_export
- ai_tot_skip_appflow_export
- ai_tot_sso_appflow_export
- ai_tot_authz_appflow_export
- ai_tot_appflow_pol_eval_failure
- ai_tot_vpn_export_state_mismatch
- ai_tot_appflow_disabled
- ai_tot_appflow_pol_eval_in_gwinsight
- ai_tot_app_launch_success
NetScaler 日志中的 AppFlow 记录
从版本 13.0 build 71.x 开始,您可以检查 NetScaler 日志以确认是否导出了 AppFlow 记录。syslogparams 的默认日志级别会捕获所有错误和信息日志。如果您找不到有关错误的线索,请启用所有日志级别(包括 DEBUG)在 syslogparams 中,以捕获 DEBUG 日志。
示例日志
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
联系 Citrix 技术支持
为了快速解决问题,请确保在联系 Citrix 技术支持之前准备好以下信息:
- 部署和网络拓扑的详细信息。
- NetScaler 和 NetScaler Console 版本。
- NetScaler 和 NetScaler Console 的技术支持包。
- 问题发生期间的
nstrace捕获。
已知问题
有关 Gateway Insight 的已知问题,请参阅 NetScaler 发行说明。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.