-
-
-
-
对 Gateway Insight 问题进行故障排除
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
对 Gateway Insight 问题进行故障排除
如果 Gateway Insight 解决方案无法按预期运行,则问题可能出在以下任一方面。有关故障排除,请参阅相应部分中的清单。
- Gateway Insight 配置。
- NetScaler 和 NetScaler ADM 之间的连接问题。
- 在 NetScaler 中生成记录。
- 在 NetScaler ADM 中进行验证。
Gateway Insight 配置清单
-
确保 NetScaler 设备中启用了 AppFlow 功能。有关详细信息,请参阅 启用 AppFlow。
-
检查 NetScaler 运行配置中的 Gateway Insight 配置。
运行
show running | grep -i <appflow_policy>
命令以检查 Gateway Insight 配置。确保绑定类型为请求。例如;bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST <!--NeedCopy-->
Gateway Insight 也需要绑定类型 OTHERTCP_REQUEST。
bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST <!--NeedCopy-->
- 对于单跳、接入网关或 Unified Gateway 部署,请确保 Gateway Insight AppFlow 策略绑定到 VPN 虚拟服务器,其中 VPN 流量正在流动。有关详细信息,请参阅 启用 HDX Insight 数据收集。
- 对于双跳,必须在两个跳上配置 Gateway Insight。
- 在 NetScaler Gateway/VPN 虚拟服务器中检查
appflowlog
参数。有关详细信息,请参阅 为虚拟服务器启用 AppFlow。
NetScaler 与 NetScaler ADM 之间的连接检查表
-
检查 NetScaler 中的 AppFlow 收集器状态。有关详细信息,请参阅 如何检查 NetScaler 和 AppFlow Collector 之间的连接状态。
-
检查 Gateway Insight AppFlow 策略命中。
运行命令
show appflow policy <policy_name>
以检查 AppFlow 策略命中情况。您还可以导航到 GUI 中的“设置”>“AppFlow”>“策略”以查看 AppFlow 策略命中。
-
验证任何阻止 AppFlow 端口 4739 或 5557 的防火墙。
NetScaler 核对清单中的记录生成
- 运行
nsconmsg -d stats -g ai_tot
命令并检查 NetScaler 中的统计数据增量。 - 捕获
nstrace logs
并检查 CFLOW 数据包以确认 NetScaler 导出 AppFlow 记录。注意:
只有 IPFIX 才需要使用
nstrace logs
。对于 Logstream,nstrace 日志不确认 ADC 设备是否导出了 AppFlow 记录。
在 NetScaler ADM 中验证记录
- 运行
tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_"
命令以检查日志以确认 NetScaler ADM 正在接收 AppFlow 记录。 - 确保 NetScaler 实例已添加到 NetScaler ADM。
- 确保 NetScaler Gateway/VPN 虚拟服务器已在 NetScaler ADM 中获得许可。
在 NetScaler ADM 中验证 Logstream 日志
可以使用以下方法验证 NetScaler ADM 接收的 Logstream 数据:
-
在 NetScaler ADM 中启用数据记录记录
启用后,可以在 /var/mps/log/mps_afdecoder.log 中看到日志
-
启用 ULFD 库日志记录
运行以下命令
/mps/decoder_enable_debug
这些日志在
/var/ulflog/libulfd.log
中捕获您可以使用
/mps/decoder_disable_debug
命令禁用日志记录
Gateway Insight 计数器
以下 Gateway Insight 计数器可用。
- ai_tot_preauth_epa_export
- ai_tot_auth_export
- ai_tot_auth_session_id_update_Export
- ai_tot_postauth_epa_epa_export
- ai_tot_vpn_update_export
- ai_tot_ica_fileinfo_export
- ai_tot_app_launch_failure
- ai_tot_logout_export
- ai_tot_skip_appflow_Export
- ai_tot_sso_appflow_export
- ai_tot_authz_appflow_export
- ai_tot_appflow_pol_eval_failure
- ai_tot_vpn_export_state_mismatch
- ai_tot_appflow_disabled
- ai_ot_appflow_pol_eval_in_gwinsight
- ai_ot_app_launch_成功
NetScaler 日志中的 AppFlow 记录
从版本 13.0 版本开始,您可以检查 NetScaler 日志以确认 AppFlow 记录是否导出。默认日志级别 syslogparams
捕获所有错误和信息日志。如果找不到有关错误的线索,请启用包括 DEBUG 在 syslogparams
内的所有日志级别以捕获甚至 DEBUG 日志。
示例日志
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
联系 Citrix 技术支持
要快速解决问题,请确保在联系 Citrix 技术支持之前已掌握以下信息:
- 部署和网络拓扑的详细信息。
- NetScaler 和 NetScaler ADM 版本。
- 适用于 NetScaler 和 NetScaler ADM 的技术支持包。
-
nstrace
在问题期间捕获。
已知问题
有关Gateway Insight 的已知问题,请参阅 ADC 发行说明。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.