Citrix Application Delivery Management

Résoudre les problèmes liés à Gateway Insight

Si la solution Gateway Insight ne fonctionne pas comme prévu, le problème peut être lié à l’un des éléments suivants. Reportez-vous aux listes de contrôle des sections respectives pour le dépannage.

  • Configuration Gateway Insight.
  • Problème de connectivité entre Citrix ADC et Citrix ADM.
  • Génération d’enregistrements dans Citrix ADC.
  • Validations dans Citrix ADM.

Liste de contrôle de la configuration Gateway Insight

  • Assurez-vous que la fonctionnalité AppFlow est activée dans l’appliance Citrix ADC. Pour plus de détails, consultez Activation d’AppFlow.

  • Vérifiez la configuration Gateway Insight dans la configuration en cours d’exécution Citrix ADC.

    Exécutez la commande show running | grep -i <appflow_policy> pour vérifier la configuration de Gateway Insight. Assurez-vous que le type de liaison est REQUEST. Par exemple ;

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    Le type de liaison OTHERTCP_REQUEST est également requis pour Gateway Insight.

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • Pour un déploiement à saut unique, Access Gateway ou Unified Gateway, assurez-vous que la stratégie Gateway Insight AppFlow est liée au serveur virtuel VPN, où le trafic VPN circule. Pour plus de détails, voir Activation de la collecte de données HDX Insight
  • Pour le double-saut, Gateway Insight doit être configuré sur les deux sauts.
  • Vérifiez le paramètre appflowlog dans le serveur virtuel Citrix Gateway/VPN. Pour plus de détails, consultez Activation d’AppFlow pour les serveurs virtuels.

Liste de contrôle de la connectivité entre Citrix ADC et Citrix ADM

  • Vérifiez l’état du collecteur AppFlow dans Citrix ADC. Pour de plus amples informations, consultez Comment vérifier l’état de la connectivité entre Citrix ADC et AppFlow Collector.

  • Vérifiez les accès à la stratégie AppFlow Gateway Insight.

    Exécutez la commande show appflow policy <policy_name> pour vérifier les succès de stratégie AppFlow.

    Vous pouvez également accéder à Système > AppFlow > Stratégies dans l’interface graphique pour vérifier les accès à la stratégie AppFlow.

  • Validez tout pare-feu bloquant les ports AppFlow 4739 ou 5557.

Liste de contrôle de la génération d’enregistrements dans Citrix ADC

  • Exécutez la commande nsconmsg -d stats -g ai_tot et vérifiez les incréments de statistiques dans Citrix ADC.
  • Capturez nstrace logs et vérifiez la présence de paquets CFLOW pour confirmer que Citrix ADC exporte des enregistrements AppFlow.

    Remarque :

    Les nstrace logs sont obligatoires uniquement pour IPFIX. Pour Logstream, les journaux nstrace ne confirment pas si l’appliance ADC a exporté les enregistrements AppFlow.

Validation des enregistrements dans Citrix ADM

  • Exécutez la commande tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" pour vérifier les journaux pour confirmer que Citrix ADM reçoit des enregistrements AppFlow.
  • Assurez-vous que l’instance Citrix ADC est ajoutée à Citrix ADM.
  • Assurez-vous que le serveur virtuel Citrix Gateway/VPN est sous licence dans Citrix ADM.

Validation des journaux Logstream dans Citrix ADM

La validation des données Logstream reçues par Citrix ADM peut être effectuée à l’aide des méthodes suivantes :

  • Activation de la journalisation des enregistrements de données dans Citrix ADM

    Une fois activé, les journaux peuvent être vus dans le fichier /var/mps/log/mps_afdecoder.log

  • Activation de la journalisation de bibliothèque ULFD

    Exécutez la commande /mps/decoder_enable_debug

    Les journaux sont capturés dans/var/ulflog/libulfd.log

    Vous pouvez désactiver la journalisation à l’aide de la commande /mps/decoder_disable_debug

Compteurs Gateway Insight

Les compteurs Gateway Insight suivants sont disponibles.

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_tot_appflow_pol_eval_in_gwinsight
  • ai_tot_app_launch_success

Enregistrements AppFlow dans le journal Citrix ADC

À partir de la version 13.0 build 71.x, vous pouvez vérifier les journaux Citrix ADC pour vérifier si les enregistrements AppFlow sont exportés. Le niveau de journal par défaut de syslogparams capture tous les journaux d’erreurs et d’informations. Dans le cas où vous ne trouvez pas d’indice sur les erreurs, activez tous les niveaux de journalisation, y compris DEBUG, syslogparams pour capturer même les journaux DEBUG.

Journaux d’échantillons

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

Contactez le support technique Citrix

Pour une résolution rapide, assurez-vous que vous disposez des informations suivantes avant de contacter le support technique Citrix :

  • Détails du déploiement et de la topologie du réseau.
  • Versions Citrix ADC et Citrix ADM.
  • Offre groupée de support technique pour Citrix ADC et Citrix ADM.
  • nstrace lors du problème.

Problèmes connus

Reportez-vous aux notes de mise à jour de Citrix ADC pour connaître les problèmes connus sur Gateway Insight.