Citrix Application Delivery Managementサービス

Gateway Insight

Citrix Gatewayの展開では、ユーザーアクセスの詳細を可視化することは、アクセス障害の問題のトラブルシューティングに不可欠です。ネットワーク管理者は、ユーザーがCitrix Gatewayにログオンできないタイミングと、ユーザーアクティビティとログオン失敗の理由を知りたいが、通常、その情報はユーザーが解決の要求を送信しない限り利用できません。

Gateway Insightは、Citrix Gateway Gatewayへのログオン時に、アクセスモードに関係なく、すべてのユーザーが遭遇した障害を可視化します。あらゆる期間を対象にして、すべての有効なユーザーの一覧、アクティブユーザーの数、アクティブセッションの数、ユーザー全体によって使用されたバイト数とライセンス数を表示できます。ユーザーごとのEPA(End Point Analysis:エンドポイント分析)、認証、SSO(Single Sign On:シングルサインオン)、アプリケーション起動のエラーを表示できます。また、ユーザーごとのアクティブセッションと終了したセッションの詳細を表示できます。

さらに、Gateway Insightは、仮想アプライアンスのアプリケーション起動エラーの理由に関する情報を提供します。これは、あらゆる種類のログオンまたはアプリケーション起動におけるエラーの問題のトラブルシューティングに役立ちます。起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。

ADC Gateway アプライアンスに関連付けられたすべてのゲートウェイが使用したゲートウェイ数、アクティブ・セッション数、合計バイト数、帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。

すべてのログメッセージはCitrix Application Delivery Management(ADM)データベースに格納されるため、任意の期間のエラーの詳細を表示できます。また、ログオンエラーの概要を表示して、エラーが発生したログオンプロセスの段階を特定できます。

注意事項:

  • Gateway Insightは、次のデプロイメントでサポートされます。
    • Access Gateway
    • Unified Gateway
  • ADMリリースおよびビルドは、Citrix Gatewayアプライアンスのリリースおよびビルドと同じか、それ以降である必要があります。
  • Advanced ライセンスのある ADC インスタンスについては、Gateway Insight レポートを 1 時間表示することができます。Gateway Insight レポートを 1 時間以上表示するには、プレミアムライセンスが必要です。

制限事項:

  • 認証方法が証明書ベースの認証として構成されている場合、Citrix Gateway GatewayはGateway Insightをサポートしません。
  • 仮想ICAアプリケーションおよびデスクトップに関する成功したユーザーログオン、遅延、アプリケーションレベルの詳細は、HDX Insight Usersダッシュボードでのみ確認できます。
  • ダブルホップモードでは、2つ目のDMZにあるADCゲートウェイ・アプライアンスの障害を可視化できません。
  • RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)のデスクトップアクセスの問題は報告されません。
  • SAML 認証のGateway Insightレコードはレポートされません。
  • Gateway Insightは、次の認証タイプでサポートされています。これら以外の認証タイプが使用されている場合、Gateway Insight にいくつかの不一致が表示されることがあります。
    • ローカル
    • LDAP
    • RADIUS
    • TACACS
    • SAML
    • ネイティブOTP

Gateway Insightの有効化

Citrix GatewayアプライアンスのGateway Insightを有効にするには、まずADC GatewayアプライアンスをADMに追加する必要があります。次に、VPNアプリケーションを代表する仮想サーバー向けにAppFlowを有効にしてください。ADM へのデバイスの追加については、インスタンスの追加を参照してください。

Citrix ADMでエンドポイント分析(EPA)の障害を表示するには、AppFlow 認証、承認、アクセス制御ユーザー名を有効にする必要があります(ADCゲートウェイアプライアンスにログオンしているユーザー名)。

ADM で仮想サーバーの AppFlow を有効にする

  1. ネットワーク]>[インスタンス]>[Citrix ADC]の順に選択し、AppFlow を有効にするインスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 仮想サーバーを選択し、[ アナリティクスを有効にする] をクリックします。

  4. [ 詳細オプション] で、[ Citrix Gateway

    Citrix Gateway の有効化

  5. [OK] をクリックします。

GUI を使用して ADC ゲートウェイアプライアンスで AppFlow ユーザー名ログを有効にする

  1. [ 構成] > [システム] > [AppFlow] > [設定] に移動し、[ AppFlow 設定の変更] をクリックします。

  2. [ AppFlow 設定の構成 ] 画面で、[ AAA ユーザ名] を選択し、[ OK] をクリックします。

Gateway Insightレポートの表示

Citrix ADMでは、ADC Gatewayアプライアンスに関連付けられたすべてのユーザー、アプリケーション、ゲートウェイに関するレポートを表示し、特定のユーザー、アプリケーション、またはゲートウェイの詳細を表示できます。「 概要 」セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザーの数を表示することもできます。

グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループとグループへのユーザーの割り当てについて詳しくは、Citrix ADMでのグループの構成を参照してください。

EPA、SSO、認証、承認、およびアプリケーション起動の失敗の表示

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。

  3. [EPA (End Point Analysis)]、[Authentication]、[Authorization]、[SSO (Single Sign On)]、[Application Launch]タブのいずれかをクリックして、エラーの詳細を表示します。

    EPAレポート

セッションモード、クライアント、およびユーザー数の概要の表示

Citrix ADMで、[ Analytics] > [Gateway Insight] に移動し、下にスクロールしてレポートを表示します。

Report summary

ログオンアクティビティ

ユーザー

ADC Gateway アプライアンスに関連付けられているユーザーの完全なレポートを表示できます。ユーザーの EPA、認証、SSO、アプリケーションの起動失敗などを表示できます。

また、アクティブなセッションと終了したすべてのユーザーの統合ビューを表示することもできます。

Gateway Insight 改善

管理者として、このビューを使用すると、次のことが可能になります。

  • 単一ペインビジュアライゼーションですべてのユーザーの詳細を表示する

  • 各ユーザーを選択し、アクティブなセッションと終了したセッションの表示に関する複雑さを排除

ユーザーの詳細の表示

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] > [ユーザー]に移動します。

  2. ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。

  3. 期間中のアクティブなユーザー数、アクティブなセッション数、および全ユーザーのバイト数を表示できます。

    現在のGateway Insight

下にスクロールすると、有効なユーザーとアクティブユーザーの一覧が表示されます。

アクティブなユーザー

[ ユーザー ] または [ アクティブなユーザー ] タブで、ユーザーをクリックして、次のユーザーの詳細を表示します。

  • ユーザーの詳細 -ADC Gateway アプライアンスに関連付けられた各ユーザーのインサイトを表示できます。[ 分析 ] > [ Gateway Insight ] >[ユーザー]に移動し、ユーザーをクリックして、セッションモード、オペレーティングシステム、ブラウザーなど、選択したユーザーのインサイトを表示します。

    ユーザーの詳細

  • 選択したゲートウェイのユーザーとアプリケーション-[ Analytics ] > [ Gateway Insight ] >[Gateway] に移動し、ゲートウェイドメイン名をクリックして、選択したゲートウェイに関連付けられている上位 10 のアプリケーションと上位 10 人のユーザーを表示します。

    ユーザーとアプリケーション

  • アプリケーションとユーザーの表示オプション — 10 を超えるアプリケーションおよびユーザーの場合、[アプリケーションとユーザー] の [詳細] アイコンをクリックすると、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細を表示できます。

    詳細を表示

  • 棒グラフをクリックして詳細を表示 — 棒グラフをクリックすると、関連する詳細を表示できます。たとえば、[ アナリティクス] > [Gateway Insight] > [ゲートウェイ ] の順に選択し、ゲートウェイの棒グラフをクリックしてゲートウェイの詳細を表示します。

    棒グラフ

  • ユーザーのアクティブセッション終了したセッション

    Gateway Insight アクティブセッションと終了したセッション

  • アクティブセッションのゲートウェイドメイン名とゲートウェイのIP アドレス。

    Gateway Insight アクティブセッション

  • ユーザーのログイン時間。

    Gateway Insight ログイン期間

  • ユーザーのログアウトセッションの理由。ログアウトの理由は次のとおりです。

    • セッションのタイムアウト
    • 内部エラーのためログアウトしました
    • 非アクティブセッションがタイムアウトしたためログアウトしました
    • ユーザーがログアウトしました
    • 管理者がセッションを停止しました

      Gateway Insight ログアウトセッション

検索バーと地理マップビュー

次の項目を表示できます。

  • ユーザー名に基づいて結果をフィルタリングできる検索バー。[ 分析] > [Gateway Insight] > [ユーザー]に移動して、[ユーザー] と [アクティブユーザー] の検索バーを表示します。検索バーにマウスポインタを置き、[ ユーザー名] を選択し、ユーザー名を入力して結果をフィルタリングします。

    検索バー

  • ユーザーの地理的位置に基づいてユーザー情報を表示する地理マップ。管理者として、この地理マップを使用すると、特定の場所のユーザー合計、アプリ合計、セッション総数のサマリー、合計セッションを表示できます。

    1. [ アナリティクス] > [Gateway Insight ] に移動して、地域マップを表示します。

    2. 国をクリックします。たとえば、米国

      地域マップには、選択した国のユーザーリスト、アクティブなセッション、終了したセッション、アプリケーションなどの詳細が表示されます。

アプリケーション

起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。

アプリケーション詳細の表示

  1. Citrix ADMで、[ 分析]>[Gateway Insight]>[アプリケーション]に移動します。
  2. アプリケーションの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

起動済みアプリケーション数、セッション全体数、アクティブセッション数、アプリケーションによって使用された合計バイト数と帯域幅が表示されます。

アプリレポート

下にスクロールすると、ICAとその他のアプリケーションによって使用されたセッション数、帯域幅、合計バイト数が表示されます。

その他のアプリ

[ その他のアプリケーション ] タブで、[ 名前 ] 列でアプリケーションをクリックすると、そのアプリケーションの詳細を表示できます。

ゲートウェイ

ADC Gateway アプライアンスに関連付けられたすべてのゲートウェイが使用したゲートウェイ数、アクティブなセッション数、合計バイト数、帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。

ゲートウェイの詳細を表示する

  1. Citrix ADMで、[ 分析]>[Gateway Insight]>[ゲートウェイ]に移動します。
  2. ゲートウェイの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

これで、ADC Gateway アプライアンスに関連付けられたすべてのゲートウェイが使用したゲートウェイ数、アクティブなセッション数、合計バイト数、帯域幅をいつでも表示できます。

ゲートウェイの詳細

下にスクロールして、ゲートウェイドメイン名、仮想サーバー名、ADC IPアドレス、セッションモード、合計バイト数などのゲートウェイの詳細を表示します。

ゲートウェイドメイン

「Gateway Domain Name」列でG ateway をクリックすると、EPA、認証、シングル・サインオン、アプリケーション起動の失敗、およびゲートウェイに関するその他の詳細を表示できます。

ゲートウェイの地情報マップを表示して、特定の場所に基づいてユーザーをフィルタリングすることもできます。

  1. [ 分析] > [Gateway Insight] > [ゲートウェイ]に移動します。

  2. ゲートウェイドメイン名を選択して geo マップを表示します

  3. 国をクリックします。たとえば、米国

    地域マップには、選択した国のユーザーリスト、アクティブなセッション、終了したセッション、アプリケーションなどの詳細が表示されます。

レポートのエクスポート

GUI に表示されるすべての詳細情報を含むGateway Insightレポートを、ローカルコンピュータに PDF、JPEG、PNG、または CSV 形式で保存できます。また、指定された電子メールアドレスへのレポートのエクスポートを、さまざまな間隔でスケジュール設定することができます。

  • 読み取り専用アクセス権のユーザーは、レポートをエクスポートすることができません。
  • 地理マップレポートは、ADM にインターネット接続がある場合にのみエクスポートされます。

レポートのエクスポート

  1. [ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。

  2. [ 今すぐエクスポート] で、必要な形式を選択し、[ エクスポート] をクリックします。

エクスポートをスケジュールするには、次の手順に従います。

  1. [ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。

  2. [ エクスポートのスケジュール] で詳細を指定し、[ スケジュール] をクリックします。

エクスポートスケジュールを編集するには、次の手順に従います。

  1. [構成]タブで、[構成]>[ NetScaler Insight Center ]>[ スケジュールのエクスポート ]に移動します。

  2. 使用可能なリストからレポートを選択し、[ 編集] をクリックします。

  3. 編集後、[ 保存] をクリックします。

注:

レポートをスケジュールする前に、[ システム ] > [ 通知 ] > [電子メール] に移動し、[ 追加 ] をクリックして、 電子メールサーバーの設定を構成します。

電子メールサーバーまたは電子メール配布リストを追加するには、次の手順を実行します。

  1. [ 構成 ] タブで、[ システム ] > [ 通知 ] > [ 電子メール] に移動します。

  2. 右側のウィンドウで、[ 電子メールサーバー] を選択して電子メールサーバーを追加するか、[ 電子メール配布リスト ] を選択して電子メール配布リストを作成します。

  3. 詳細を指定し、[ 作成] をクリックします。

Gateway Insightダッシュボード全体をエクスポートするには:

  1. [ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。

  2. [ 今すぐエクスポート] で [ PDF 形式] を選択し、[ エクスポート] をクリックします。

Gateway Insightのユースケース

次のユースケースは、Gateway Insight を使用して、ADC Gateway アプライアンス上のユーザーのアクセス詳細、アプリケーション、ゲートウェイを可視化する方法を示しています。

1. ユーザーがADC Gatewayアプライアンスまたは内部Webサーバにログオンできない

ADC Gateway アプライアンスを監視している ADC Gateway 管理者で、ユーザーがログインできない理由や、ログインプロセスのどの段階でエラーが発生したかを確認する必要があります。

ADM では、ログインプロセスの次の段階で、ユーザログインエラーの詳細を表示できます。

  • 認証
  • エンドポイント分析(EPA)
  • シングルサインオン

ADM では、特定のユーザーを検索し、そのユーザーの詳細をすべて表示できます。

ユーザーを検索するには、次の手順に従います。

Citrix ADMで、[ Analytics]>[Gateway Insight ]に移動し、[ ユーザーの検索 ]テキストボックスで検索するユーザーを指定します。

認証エラー

資格情報が正しくない、または認証サーバーから応答がないなどの認証エラーについて確認できます。2段階認証を設定している場合、いずれの段階で認証できなかったのか、または両方の段階で認証できなかったのかを確認できます。

認証失敗の詳細を表示する

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [ 概要 ] セクションで、認証エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

認証

  1. [ 認証 ] タブをクリックします。[ 失敗 ] グラフでは、任意の時点における認証エラーの数を表示できます。

認証失敗のグラフ

そのタブのまま下にスクロールすると、Username、Client IP Address、Error Time、Authentication Type、Authentication Server IP Addressなどの各認証エラーの詳細を表で確認できます。表の [ エラーの説明 ] 列にはログオン失敗の理由が表示され、[ 状態 ] 列には、2 段階認証のどの段階でエラーが発生したかが表示されます。

認証エラー

[Us ername ] 列でユーザーをクリックすると、そのユーザーの認証エラーやその他の詳細を表示できます。

次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。

認証失敗

EPAエラー

認証前段階または認証後の段階で EPA の障害を表示できます。

EPA 障害の詳細の表示

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [Overview]セクションでEPAエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    EPA

  3. [ EPA (終点解析) ] タブをクリックします。特定の時点におけるEPAエラーの数は、 障害 グラフで表示できます。

    EPAグラフ

同じタブのテーブルから、 ユーザー名、ADC IPアドレス、ゲートウェイIPアドレス、VPN、エラー時間、ポリシー名、ゲートウェイドメイン名など、 各 EPA エラーの詳細を表示するには、下にスクロールします。表の[Error Description]列にはEPAエラーの理由が記載されており、[Policy Name]列にはエラーの原因となったポリシーが示されています。

EPAエラー

[Us ername ] 列でユーザーをクリックすると、そのユーザーの EPA エラーやその他の詳細を表示できます。

次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。

EPAグラフ

「ClientSecurity」式が VPN セッションポリシールールとして構成されている場合、ADC Gatewayは EPA 障害を報告しません。

SSOエラー

ADC Gatewayアプライアンスを介してアプリケーションにアクセスするユーザーについて、どの段階でも SSO 障害をすべて表示できます。

SSO エラーの詳細の表示

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [Overview]セクションでSSOエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    SSO 障害

  3. [ SSO (シングルサインオン) ] タブをクリックします。特定の期間におけるSSOエラーの数が、[Failures]のグラフに表示されます。

SSOグラフ

同じタブのテーブルから、 ユーザー名、ADC IPアドレス、エラー時間、エラーの説明、リソース名などの各 SSO エラーの詳細を表示するには 、下にスクロールします。

SSO failure1

[Username] カラムで ユーザ をクリックすると、そのユーザの SSO エラーやその他の詳細を表示できます。

次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。

SSO failure2

2. ADC Gatewayに正常にログオンした後、ユーザーは仮想アプリケーションを起動できない

アプリケーションの起動に失敗した場合、アクセスできないセキュアチケット機関(STA)またはCitrix Virtual Appサーバー、または無効なSTAチケットなどの理由を把握できます。エラーの時間や詳細、STA検証ができなかったリソースについて確認できます。

アプリケーションの起動失敗の詳細を表示する

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [ 概要 ] セクションで、SSO エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    起動失敗

  3. [ アプリケーションの起動 ] タブをクリックします。[失敗]グラフでは、任意の時点でのアプリケーション起動の 失敗 数を表示できます。

    起動失敗棒グラフ

同じタブのテーブルから、 ADC IPアドレス、エラー時間、エラーの説明、リソース名、ゲートウェイドメイン名など、各アプリケーションの起動エラーの詳細を表示するには、下にスクロールします。表の[Error Description]列にはSTAサーバーのIPアドレスが、[Resource Name]列にはSTA検証ができなかったリソースの詳細が表示されています。

起動失敗3

[Us ername ] 列でユーザーをクリックすると、アプリケーションの起動エラーとそのユーザーのその他の詳細を表示できます。

次の図に示すように、リストの矢印を使用して、テーブルをカスタマイズして列を追加または削除できます。

起動失敗4

3. 新しいアプリケーションを正常に起動した後、ユーザーは、そのアプリケーションによって消費された合計バイト数と帯域幅を表示したい

新しいアプリケーションを正常に起動したら、Citrix ADM で、そのアプリケーションによって消費された合計バイト数と帯域幅を表示できます。

アプリケーションによって消費された合計バイト数と帯域幅の表示

Citrix ADMで、[ Analytics] > [Gateway Insight] > [アプリケーション] に移動し、下にスクロールして、[ その他のアプリケーション] タブで詳細を表示するアプリケーションをクリックします。

帯域幅

そのアプリケーションが使用したセッション数と合計バイト数が表示されます。

消費帯域幅

そのアプリケーションが使用した帯域幅も表示されます。

帯域幅の同意1

4. ユーザーがADC Gatewayに正常にログオンしましたが、内部ネットワークの特定のネットワークリソースにアクセスできません

Gateway Insightでは、ユーザーがネットワークリソースにアクセスできるかどうかを特定できます。また、エラーの原因となったポリシーの名前を確認できます。

リソースに対するユーザーアクセスの表示

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] > [アプリケーション] に移動します

  2. 表示画面を下にスクロールして、[Other Applications]タブでユーザーがログオンできなかったアプリケーションを選択します。

リソースアクセス

表示される画面を下にスクロールし、「 ユーザー 」(Users) テーブルに、そのアプリケーションにアクセスできるすべてのユーザーが表示されます。

リソースアクセス 1

5. 異なるユーザーが異なるADC Gateway配置を使用しているか、異なるアクセス・モードを介してADCゲートウェイにログオンしている可能性があります。管理者は、展開の種類とアクセスモードの詳細を表示できる必要があります

Gateway Insightでは、ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザー数を確認できます。また、ユーザーの配置がユニファイドゲートウェイ配置か、従来の ADC Gateway配置かを判断することもできます。Unified Gatewayの展開では、コンテンツスイッチ仮想サーバーの名前とIPアドレス、VPN仮想サーバー名を確認できます。

セッションモード、クライアントの種類、ログオンしているユーザー数の概要を表示する

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [ 概要 ] セクションで、下にスクロールして、[ セッションモード]、[オペレーティングシステム]、[ブラウザ]、および [ ユーザーログオンアクティビティ] の各グラフに、ユーザーがログオン するために使用するさまざまなセッションモード、クライアントの種類、および 1 時間ごとにログオンしたユーザー数が表示されます。

セッション

Session1