Citrix Application Delivery Management

Solucionar problemas de Gateway Insight

Si la solución Gateway Insight no funciona como se esperaba, el problema podría deberse a uno de los siguientes. Consulte las listas de comprobación de las secciones correspondientes para la resolución de problemas.

  • Configuración de Gateway Insight.
  • Problema de conectividad entre Citrix ADC y Citrix ADM.
  • Generación de registros en Citrix ADC.
  • Validaciones en Citrix ADM.

Lista de comprobación de configuración de Gateway Insight

  • Asegúrese de que la función AppFlow está habilitada en el dispositivo Citrix ADC. Para obtener más información, consulte Habilitar AppFlow.

  • Compruebe la configuración de Gateway Insight en la configuración en ejecución de Citrix ADC.

    Ejecute el comando show running | grep -i <appflow_policy> para comprobar la configuración de Gateway Insight. Asegúrese de que el tipo de enlace sea SOLICITUD. Por ejemplo;

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    El tipo de enlace OTHERTCP_REQUEST también es necesario para Gateway Insight.

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • Para la implementación de un solo salto, Access Gateway o Unified Gateway, asegúrese de que la directiva Gateway Insight AppFlow esté enlazada al servidor virtual VPN, donde fluye el tráfico VPN. Para obtener más información, consulte Habilitar la recopilación de datos de HDX Insight
  • Para el doble salto, Gateway Insight debe configurarse en ambos saltos.
  • Compruebe el parámetro appflowlog en el servidor virtual Citrix Gateway/VPN. Para obtener más información, consulte Habilitación de AppFlow para servidores virtuales.

Lista de comprobación de conectividad entre Citrix ADC y Citrix ADM

  • Compruebe el estado del recopilador AppFlow en Citrix ADC. Para obtener más información, consulte Cómo comprobar el estado de la conectividad entre Citrix ADC y AppFlow Collector.

  • Compruebe los aciertos de la directiva de Gateway Insight AppFlow.

    Ejecute el comando show appflow policy <policy_name> para comprobar los aciertos de la directiva AppFlow.

    También puede navegar a Sistema > AppFlow > Directivas en la GUI para comprobar los resultados de la directiva AppFlow.

  • Validar cualquier firewall que bloquee los puertos AppFlow 4739 o 5557.

Generación de registros en la lista de comprobación de Citrix ADC

  • Ejecute el comando nsconmsg -d stats -g ai_tot y compruebe si hay incrementos de estadísticas en Citrix ADC.
  • Capture nstrace logs y compruebe si hay paquetes CFLOW para confirmar que Citrix ADC exporta registros de AppFlow.

    Nota:

    Los nstrace logs son necesarios solo para IPFIX. Para Logstream, los registros de nstrace no confirman si el dispositivo ADC exportó los registros AppFlow.

Validación de registros en Citrix ADM

  • Ejecute el comando tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" para comprobar los registros para confirmar que Citrix ADM está recibiendo registros de AppFlow.
  • Asegúrese de que la instancia de Citrix ADC se ha agregado a Citrix ADM.
  • Asegúrese de que el servidor virtual Citrix Gateway/VPN tiene licencia en Citrix ADM.

Validación de registros Logstream en Citrix ADM

La validación de los datos Logstream recibidos por Citrix ADM se puede realizar mediante los siguientes métodos:

  • Habilitar el registro de datos en Citrix ADM

    Una vez habilitado, los registros se pueden ver en el archivo /var/mps/log/mps_afdecoder.log

  • Habilitar el registro de bibliotecas ULFD

    Ejecute el comando /mps/decoder_enable_debug

    Los registros se capturan en/var/ulflog/libulfd.log

    Puede inhabilitar el registro mediante el comando /mps/decoder_disable_debug

Contadores de Gateway Insight

Los siguientes contadores de Gateway Insight están disponibles.

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_tot_appflow_pol_eval_in_gwinsight
  • ai_tot_app_launch_success

Registros de AppFlow en el registro de Citrix ADC

A partir de la versión 13.0 compilación 71.x, puede comprobar los registros de Citrix ADC para confirmar si se exportan los registros de AppFlow. El nivel de registro predeterminado de capturas syslogparams todos los registros de errores e información. En caso de que no encuentre una pista sobre los errores, habilite todos los niveles de registro, incluido DEBUG en syslogparams para capturar incluso los registros de DEBUG.

Registros de muestra

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Póngase en contacto con el soporte técnico de Citrix

Para obtener una resolución rápida, asegúrese de que dispone de la siguiente información antes de ponerse en contacto con el soporte técnico de Citrix:

  • Detalles de la implementación y la topología de red.
  • Citrix ADC y Citrix ADM versiones.
  • Paquete de soporte técnico para Citrix ADC y Citrix ADM.
  • nstrace durante el problema.

Problemas conocidos

Consulte las notas de la versión de Citrix ADC para conocer los problemas conocidos en Gateway Insight.