Citrix Application Delivery Management

Beheben von Gateway-Insight-Problemen

Wenn die Gateway Insight-Lösung nicht wie erwartet funktioniert, liegt das Problem möglicherweise mit einem der folgenden Probleme vor. Informationen zur Fehlerbehebung finden Sie in den Checklisten in den entsprechenden Abschnitten.

  • Gateway Insight-Konfiguration.
  • Verbindungsproblem zwischen Citrix ADC und Citrix ADM.
  • Datensatzgenerierung in Citrix ADC.
  • Validierungen in Citrix ADM.

Checkliste für die Konfiguration von Gateway Insight

  • Stellen Sie sicher, dass die AppFlow-Funktion in der Citrix ADC Appliance aktiviert ist. Einzelheiten finden Sie unter AppFlow aktivieren.

  • Überprüfen Sie die Gateway Insight-Konfiguration in der laufenden Konfiguration von Citrix ADC.

    Führen Sie den show running | grep -i <appflow_policy> Befehl aus, um die Gateway Insight Konfiguration zu überprüfen. Stellen Sie sicher, dass der Bindungstyp REQUEST ist. Zum Beispiel;

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    Der Bind-Typ OTHERTCP_REQUEST ist auch für Gateway Insight erforderlich.

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • Stellen Sie bei der Bereitstellung von Single-Hop-, Access Gateway- oder Unified Gateway-Bereitstellung sicher, dass die Gateway Insight AppFlow Richtlinie an den virtuellen VPN-Server gebunden ist, auf dem der VPN-Datenverkehr fließt. Einzelheiten finden Sie unter HDX Insight-Datenerfassung aktivieren.
  • Für Double-Hop muss Gateway Insight auf beiden Hops konfiguriert sein.
  • Überprüfen Sie die Parameter appflowlog auf dem virtuellen Citrix Gateway/VPN-Server. Einzelheiten finden Sie unter AppFlow für virtuelle Server aktivieren.

Konnektivität zwischen Citrix ADC und Citrix ADM Checkliste

  • Überprüfen Sie den AppFlow Collector-Status in Citrix ADC. Einzelheiten finden Sie unter So überprüfen Sie den Status der Konnektivität zwischen Citrix ADC und AppFlow Collector.

  • Überprüfen Sie Gateway Insight AppFlow Richtlinientreffer.

    Führen Sie den Befehl show appflow policy <policy_name> aus, um die Treffer der AppFlow-Richtlinie zu überprüfen.

    Sie können auch in der GUI zu Einstellungen > AppFlow > Richtlinien navigieren, um die AppFlow-Richtlinientreffer zu überprüfen.

  • Überprüfen Sie jede Firewall, die AppFlow Ports 4739 oder 5557 blockiert.

Datensatzgenerierung in Citrix ADC Checkliste

  • Führen Sie den Befehl nsconmsg -d stats -g ai_tot aus und suchen Sie nach den Statistik-Inkrementen in Citrix ADC.
  • Zeichnen Sie nstrace logs auf und prüfen Sie CFLOW-Pakete, um zu bestätigen, dass Citrix ADC AppFlow-Datensätze exportiert.

    Hinweis:

    Die nstrace logs sind nur für IPFIX erforderlich. Bei Logstream bestätigen nstrace-Protokolle nicht, ob die ADC-Appliance die AppFlow-Datensätze exportiert hat.

Validierung von Datensätzen in Citrix ADM

  • Führen Sie den Befehl tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" aus, um die Protokolle zu überprüfen, um zu bestätigen, dass Citrix ADM AppFlow-Einträge erhält.
  • Stellen Sie sicher, dass die Citrix ADC-Instanz zum Citrix ADM hinzugefügt wird.
  • Stellen Sie sicher, dass der virtuelle Citrix Gateway/VPN-Server in Citrix ADM lizenziert ist.

Validierung von Logstream-Protokollen in Citrix ADM

Die Validierung der von Citrix ADM empfangenen Logstream-Daten kann mit den folgenden Methoden erfolgen:

  • Aktivieren der Datendatensatzprotokollierung in Citrix ADM

    Nach der Aktivierung können die Protokolle in /var/mps/log/mps_afdecoder.log angezeigt werden

  • Aktivieren der Protokollierung von ULFD-Bibliothek

    Führen Sie den Befehl aus /mps/decoder_enable_debug

    Die Protokolle werden in /var/ulflog/libulfd.log aufgezeichnet

    Sie können die Protokollierung mit dem Befehl /mps/decoder_disable_debug deaktivieren

Gateway Insight-Zähler

Die folgenden Gateway Insight-Leistungsindikatoren sind verfügbar.

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_tot_appflow_pol_eval_in_gwinsight
  • ai_tot_app_launch_success

AppFlow-Einträge im Citrix ADC-Protokoll

Ab Release 13.0 Build 71.x können Sie die Citrix ADC-Protokolle überprüfen, um zu bestätigen, ob die AppFlow-Datensätze exportiert werden. Die Standardprotokollstufe von syslogparams erfasst alle Fehler- und Informationsprotokolle. Falls Sie keine Ahnung über die Fehler finden, aktivieren Sie alle Protokollebenen einschließlich DEBUG in syslogparams, um sogar die DEBUG-Protokolle zu erfassen.

Beispielprotokolle

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Wenden Sie sich an den technischen Support von Citrix

Um eine schnelle Lösung zu erhalten, stellen Sie sicher, dass Sie die folgenden Informationen haben, bevor Sie sich an den technischen Support von Citrix wenden:

  • Details zur Bereitstellung und Netzwerktopologie.
  • Citrix ADC und Citrix ADM Versionen.
  • Technisches Support-Paket für Citrix ADC und Citrix ADM.
  • nstrace während der Ausgabe erfassen.

Bekannte Probleme

Weitere Informationen zu bekannten Problemen in Gateway Insight finden Sie in den Citrix ADC Versionshinweisen.