Citrix Application Delivery Management

Gateway Insight

Citrix Gateway 展開では、ユーザーのアクセス詳細を可視化することは、アクセス障害の問題のトラブルシューティングに不可欠です。ネットワーク管理者は、ユーザーがいつCitrix Gateway にログオンできないかを確認し、ユーザーのアクティビティとログオンに失敗した理由を確認します。通常、この情報は、ユーザーが解決要求を送信しない限り、利用できません。

Gateway Insightは、Citrix Gateway Gatewayへのログオン時に、アクセスモードに関係なく、すべてのユーザーが遭遇した障害を可視化します。あらゆる期間を対象にして、すべての有効なユーザーの一覧、アクティブユーザーの数、アクティブセッションの数、ユーザー全体によって使用されたバイト数とライセンス数を表示できます。ユーザーごとのEPA(End Point Analysis:エンドポイント分析)、認証、SSO(Single Sign On:シングルサインオン)、アプリケーション起動のエラーを表示できます。また、ユーザーごとのアクティブセッションと終了したセッションの詳細を表示できます。

さらに、Gateway Insightは、仮想アプライアンスのアプリケーション起動エラーの理由に関する情報を提供します。これは、あらゆる種類のログオンまたはアプリケーション起動におけるエラーの問題のトラブルシューティングに役立ちます。起動されたアプリケーションの数、アクティブなセッションの合計数、合計バイト数、アプリケーションが消費した帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。

Citrix Gatewayアプライアンスに関連付けられたすべてのゲートウェイで使用されたゲートウェイ数、アクティブセッション数、合計バイト数、帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。

すべてのログメッセージはCitrix ADM データベースに保存されるため、任意の期間のエラーの詳細を表示できます。また、ログオンエラーの概要を表示して、エラーが発生したログオンプロセスの段階を特定できます。

注意事項

  • Gateway Insightは次の展開においてサポートされています。
    • Access Gateway
    • Unified Gateway
  • Citrix ADM のリリースおよびビルドは、Citrix Gateway アプライアンスのリリースおよびビルドと同じかそれ以降である必要があります。

  • アドバンストライセンスを持つCitrix ADCインスタンスについては、1時間のGateway Insightレポートを表示できます。Premium ライセンスは、1 時間以上の Gateway Insight レポートを表示する必要があります。

制限事項

  • 認証方法が証明書ベースの認証として構成されている場合、Citrix Gateway GatewayはGateway Insightをサポートしません。

  • Gateway Insightレポートの場合、Citrix ADCアプライアンスから地理的位置情報は提供されません。

  • 仮想ICAアプリケーションおよびデスクトップに関する成功したユーザーログオン、遅延、アプリケーションレベルの詳細は、HDX Insight Usersダッシュボードでのみ確認できます。

  • ダブルホップモードでは、2つ目のDMZのCitrix Gateway アプライアンスの障害を可視化できません。

  • RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)のデスクトップアクセスの問題は報告されません。

  • Gateway Insightは、次の認証タイプでサポートされています。これら以外の認証タイプが使用されている場合、Gateway Insight にいくつかの不一致が表示されることがあります。

    • ローカル
    • LDAP
    • RADIUS
    • TACACS
    • SAML
    • ネイティブ OTP

Gateway Insightの有効化

Citrix GatewayアプライアンスでGateway Insightを有効にするには、まずCitrixゲートウェイアプライアンスをCitrix ADMに追加する必要があります。次に、VPNアプリケーションを代表する仮想サーバー向けにAppFlowを有効にしてください。Citrix ADM へのデバイスの追加については、「デバイスの追加」を参照してください。

Citrix ADM でエンドポイント分析(EPA)の障害を表示するには、Citrix Gateway アプライアンスでAppFlowの認証、承認、および監査ユーザー名のログ記録を有効にする必要があります

Gateway Insightを有効にする手順は、Citrix ADM が 13.0 Build 36.27の場合に適用されます。

  1. [ **ネットワーク ] > [インスタンス] に移動し、AppFlow を有効にするインスタンスを選択します。**

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. Insightの構成 ]ページの[ Analytics構成]で、 [Citrix Gateway]を選択します。

  4. 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  5. [ AppFlow を有効にする ] 画面の [式の選択 ] ボックスの一覧で、[true] をクリックします。

  6. [ トランスポートモード] の横にある [ ログストリーム ] チェックボックスをオンにします。

    Gateway Insight

    転送モードとして IPFIX または Logstream のいずれかを選択できます。

    IPFIXLogstreamの詳細については、「 ログストリームの概要」を参照してください。

  7. [OK] をクリックします。

Citrix ADMバージョン 13.0ビルド41.x以降の場合

  1. [ ネットワーク ] > [インスタンス] に移動し、インスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 仮想サーバーを選択し、[ Analyticsの有効化] をクリックします。

  4. [ 詳細オプション] で、次の操作を行います。

    1. ログストリームの選択

    2. Citrix Gatewayの選択

  5. [OK] をクリックします。

    Gateway Insightを有効にする

GUIを使用してCitrix GatewayアプライアンスでAppFlow 認証、承認、および監査ユーザー名ログを有効にする

  1. [ 構成] > [システム] > [AppFlow] > [設定] に移動し、[ AppFlow 設定の変更] をクリックします。

  2. [ AppFlow 設定の構成 ] 画面で、[ AAA ユーザ名] を選択し、[ OK] をクリックします。

Gateway Insightレポートの表示

Citrix ADM では、Citrix Gatewayアプライアンスに関連付けられたすべてのユーザー、アプリケーション、ゲートウェイに関するレポートを表示したり、特定のユーザー、アプリケーション、ゲートウェイの詳細を表示したりできます。「 概要 」セクションでは、EPA、SSO、認証、およびアプリケーション起動の失敗を表示できます。ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザーの数を表示することもできます。

グループを作成するときに、グループにロールを割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループおよびグループへのユーザの割り当ての詳細については、「 グループを設定する」を参照してください。

EPA、SSO、認証、承認、およびアプリケーションの起動の失敗を表示するには

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。

  3. [EPA (End Point Analysis)]、[Authentication]、[Authorization]、[SSO (Single Sign On)]、[Application Launch]タブのいずれかをクリックして、エラーの詳細を表示します。

    EPA をクリックして、エラーの詳細を表示します。

セッションモード、クライアント、ユーザーの数の概要を表示するには

Citrix ADMで、[ Analytics] > [Gateway Insight] に移動し、下にスクロールしてレポートを表示します。

Gateway Insightページ

アクティビティグラフ

ユーザーのGateway Insightレポートの表示

次のレポートを表示できます。

  • Citrix Gatewayアプライアンスに関連付けられているすべてのユーザー。

  • ユーザーの EPA、認証、SSO、およびアプリケーションの起動の失敗。

  • ユーザーのアクティブセッションと終了したセッションの詳細。

  • フルトンネル、クライアントレス VPN、ICA プロキシなどのセッションモードのタイプ。

ユーザーの詳細を表示するには

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] > [ユーザー]に移動します。

  2. ユーザーの詳細を表示する期間を選択します。時間スライダーを使用して選択する期間をカスタマイズできます。[Go] をクリックします。

  3. 期間中にすべてのユーザーが使用したアクティブユーザー数、アクティブなセッション数、バイト数、ライセンスを表示できます。

    Gateway Insightユーザーレポート

下にスクロールすると、有効なユーザーとアクティブユーザーの一覧が表示されます。

アクティブなユーザー

[ ユーザー ] または [ アクティブなユーザー ] タブで、ユーザーをクリックして、次のユーザーの詳細を表示します。

  • ユーザーの詳細 -ADC Gateway アプライアンスに関連付けられた各ユーザーのインサイトを表示できます。[ 分析 ] > [ Gateway Insight ] >[ユーザー]に移動し、ユーザーをクリックして、セッションモード、オペレーティングシステム、ブラウザーなど、選択したユーザーのインサイトを表示します。

    ユーザーの詳細

  • 選択したゲートウェイのユーザーとアプリケーション-[ Analytics ] > [ Gateway Insight ] >[Gateway] に移動し、ゲートウェイドメイン名をクリックして、選択したゲートウェイに関連付けられている上位 10 のアプリケーションと上位 10 人のユーザーを表示します。

    ユーザーとアプリケーション

  • アプリケーションとユーザーの表示オプション — 10 を超えるアプリケーションおよびユーザーの場合、[アプリケーションとユーザー] の [詳細] アイコンをクリックすると、選択したゲートウェイに関連付けられているすべてのユーザーとアプリケーションの詳細を表示できます。

    詳細を表示

  • 棒グラフをクリックして詳細を表示 — 棒グラフをクリックすると、関連する詳細を表示できます。たとえば、[ アナリティクス] > [Gateway Insight] > [ゲートウェイ ] の順に選択し、ゲートウェイの棒グラフをクリックしてゲートウェイの詳細を表示します。

    棒グラフ

  • ユーザーのアクティブセッション終了したセッション

    Gateway Insight アクティブセッションと終了したセッション

  • アクティブセッションのゲートウェイドメイン名とゲートウェイのIP アドレス。

    Gateway Insight アクティブセッション

  • ユーザーのログイン時間。

    Gateway Insight ログイン期間

  • ユーザーのログアウトセッションの理由。ログアウトの理由は次のとおりです。

    • セッションのタイムアウト
    • 内部エラーのためログアウトしました
    • 非アクティブセッションがタイムアウトしたためログアウトしました
    • ユーザーがログアウトしました
    • 管理者がセッションを停止しました

      Gateway Insight ログアウトセッション

アプリケーションのGateway Insightレポートの表示

起動されたアプリケーション数、アクティブなセッションの合計数、合計バイト数、アプリケーションが消費した帯域幅を表示できます。アプリケーションごとのユーザー、セッション、帯域幅、起動のエラーの詳細を表示できます。

アプリケーションの詳細を表示するには

  1. Citrix ADMで、[ 分析]>[Gateway Insight]>[アプリケーション]に移動します。

  2. アプリケーションの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

起動されたアプリケーション数、アクティブなセッションの合計数、合計バイト数、アプリケーションが消費した帯域幅を表示できるようになりました。

アプリケーションの詳細

下にスクロールすると、ICAとその他のアプリケーションによって使用されたセッション数、帯域幅、合計バイト数が表示されます。

その他の応募詳細

[ その他のアプリケーション ] タブで、[ 名前 ] 列でアプリケーションをクリックすると、そのアプリケーションの詳細を表示できます。

ゲートウェイのGateway Insightレポートの表示

Citrix Gatewayアプライアンスに関連付けられたすべてのゲートウェイで使用されたゲートウェイ数、アクティブセッション数、合計バイト数、帯域幅をいつでも表示できます。ゲートウェイごとのEPA、認証、SSO、アプリケーション起動のエラーについて表示できます。また、ゲートウェイに割り当てられたすべてのユーザーの詳細と、ユーザーのログオンアクティビティを表示できます。

ゲートウェイの詳細を表示するには

  1. Citrix ADMで、[ 分析]>[Gateway Insight]>[ゲートウェイ]に移動します。

  2. ゲートウェイの詳細を表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

Citrix Gatewayアプライアンスに関連付けられたすべてのゲートウェイで使用されたゲートウェイ数、アクティブセッション数、合計バイト数、帯域幅をいつでも表示できるようになりました。

ゲートウェイのアクティビティの詳細

下にスクロールすると、ゲートウェイドメイン名、仮想サーバー名、NetScaler IPアドレス、セッションモード、合計バイト数などのゲートウェイの詳細が表示されます。

ゲートウェイのその他の詳細

「Gateway Domain Name」列でG ateway をクリックすると、EPA、認証、シングル・サインオン、アプリケーション起動の失敗、およびゲートウェイに関するその他の詳細を表示できます。

レポートのエクスポート

GUI に表示されるすべての詳細情報を含むGateway Insightレポートを、ローカルコンピュータに PDF、JPEG、PNG、または CSV 形式で保存できます。また、指定された電子メールアドレスへのレポートのエクスポートを、さまざまな間隔でスケジュール設定することができます。

  • 読み取り専用アクセス権のユーザーは、レポートをエクスポートすることができません。
  • 地理マップレポートは、Citrix ADM にインターネット接続がある場合にのみエクスポートされます。

レポートをエクスポートするには、次の手順に従います

  1. [ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。

  2. [ 今すぐエクスポート] で、必要な形式を選択し、[ エクスポート] をクリックします。

エクスポートをスケジュールするには、次の手順に従います。

  1. [ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。

  2. [ エクスポートのスケジュール] で詳細を指定し、[ スケジュール] をクリックします。

電子メールサーバーまたは電子メール配布リストを追加するには、次の手順を実行します。

  1. [ 構成 ] タブで、[ システム ] > [ 通知 ] > [ 電子メール] に移動します。

  2. 右側のペインで、[ 電子メールサーバー] を選択して電子メールサーバーを追加するか、[ 電子メール配布リスト ] を選択して電子メール配布リストを作成します。

  3. 詳細を指定し、[ 作成] をクリックします。

Gateway Insightダッシュボード全体をエクスポートするには:

  1. [ ダッシュボード ] タブの右ペインで、[ エクスポート ] ボタンをクリックします。

  2. [ 今すぐエクスポート] で [ PDF 形式] を選択し、[ エクスポート] をクリックします。

Gateway Insightのユースケース

次のユースケースは、Gateway Insightを使用して、Citrix Gateway アプライアンス上のユーザーのアクセスの詳細、アプリケーション、およびゲートウェイを可視化する方法を示しています。

ユーザーがCitrix Gateway アプライアンスまたは内部Webサーバーにログインできない

Citrix ADMを介してCitrix Gatewayアプライアンスを監視しているCitrix Gateway管理者で、ユーザーがログインできない理由、またはログインプロセスのどの段階でエラーが発生したかを確認する必要があります。

Citrix ADM では、ログインプロセスの次の段階で、ユーザーのログインエラーの詳細を表示できます。

  • 認証

  • エンドポイント分析(EPA)

  • シングルサインオン

Citrix ADM では、特定のユーザーを検索し、そのユーザーのすべての詳細を表示できます。

ユーザーを検索するには、次の手順に従います。

Citrix ADMで、[ Analytics]>[Gateway Insight ]に移動し、[ ユーザーの検索 ]テキストボックスで検索するユーザーを指定します。

認証の失敗

資格情報が正しくない、または認証サーバーから応答がないなどの認証エラーについて確認できます。また、認証が失敗した要因も確認できます。

認証失敗の詳細を表示する手順は、次のとおりです。

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [ 概要 ] セクションで、認証エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    認証エラービュー

  3. [ 認証 ] タブをクリックします。[ 失敗 ] グラフでは、任意の時点における認証エラーの数を表示できます。

    認証失敗のグラフ

そのタブのまま下にスクロールすると、Username、Client IP Address、Error Time、Authentication Type、Authentication Server IP Addressなどの各認証エラーの詳細を表で確認できます。テーブルの [ Error Description ] 列にはログオン失敗の理由が表示され、[ State ] 列には障害が発生したn番目の要素が表示されます。

認証失敗の詳細

[Us ername ] 列でユーザーをクリックすると、そのユーザーの認証エラーやその他の詳細を表示できます。

次のスクリーンショットに示すように、設定アイコンを使用して、テーブルをカスタマイズして列を追加または削除できます。

カスタマイズされたビュー

EPAエラー

EPA の失敗は、認証前または認証後の段階で表示できます。

重要:

  • EPA の失敗は、クラシック式が設定されている場合にのみ報告されます。
  • 事前認証ポリシーまたは認証後ポリシーで高度な式が設定されている場合、EPA の失敗は報告されません。
  • EPA が nFactor 認証フローの要素の 1 つとして構成されている場合、EPA の失敗は報告されません。

EPA障害の詳細を表示するには、次の手順に従います。

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [Overview]セクションでEPAエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    EPA 障害ビュー

  3. [ EPA (終点解析) ] タブをクリックします。特定の時点におけるEPAエラーの数は、 障害 グラフで表示できます。

    EPA 障害グラフ

そのタブのまま下にスクロールすると、Username、NetScaler IP Address、Gateway IP Address、VPN、Error Time、Policy Name、Gateway Domain Nameなどの各EPAエラーの詳細を表で確認できます。表の[Error Description]列にはEPAエラーの理由が記載されており、[Policy Name]列にはエラーの原因となったポリシーが示されています。

その他の EPA 障害の詳細

[Us ername ] 列でユーザーをクリックすると、そのユーザーの EPA エラーやその他の詳細を表示できます。

次のスクリーンショットに示すように、下向き矢印を使用して、列を追加または削除するテーブルをカスタマイズできます。

EPA 失敗のカスタマイズビュー

「ClientSecurity」式がVPNセッションポリシールールとして構成されている場合、Citrix Gateway はEPAの失敗を報告しません。

SSO の障害

Citrix Gateway アプライアンスを介してアプリケーションにアクセスするユーザーについて、どの段階でもすべてのSSO障害を表示できます。

SSO障害の詳細を表示するには、次の手順に従います。

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [Overview]セクションでSSOエラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    SSO 障害ビュー

  3. [ SSO (シングルサインオン) ] タブをクリックします。特定の期間におけるSSOエラーの数が、[Failures]のグラフに表示されます。

    SSO 障害グラフ

そのタブのまま下にスクロールすると、Username、NetScaler IP Address、Error Time、Error Description、Resource Nameなどの各SSOエラーの詳細を表で確認できます。

その他の SSO 障害の詳細

[Username] カラムで ユーザ をクリックすると、そのユーザの SSO エラーやその他の詳細を表示できます。

次のスクリーンショットに示すように、下向き矢印を使用して、列を追加または削除するテーブルをカスタマイズできます。

SSO 失敗のカスタマイズビュー

Citrix Gateway に正常にログオンした後、ユーザーは仮想アプリケーションを起動できない

アプリケーションの起動に失敗した場合、アクセスできないセキュアチケット機関(STA)またはCitrix Virtual Appサーバー、または無効なSTAチケットなどの理由を把握できます。エラーの時間や詳細、STA検証ができなかったリソースについて確認できます。

アプリケーションの起動失敗の詳細を表示するには、次の手順に従います。

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [ 概要 ] セクションで、SSO エラーを表示する期間を選択します。時間スライダーを使用すると、選択した期間をさらに調整できます。[Go] をクリックします。

    アプリケーションの起動失敗のビュー

  3. [ アプリケーションの起動 ] タブをクリックします。[失敗]グラフでは、任意の時点でのアプリケーション起動の 失敗 数を表示できます。

    アプリケーションの起動失敗グラフ

そのタブのまま下にスクロールすると、NetScaler IP Address、Error Time、Error Description、Resource Name、Gateway Domain Nameなどの各アプリケーション起動エラーの詳細を表で確認できます。表の[Error Description]列にはSTAサーバーのIPアドレスが、[Resource Name]列にはSTA検証ができなかったリソースの詳細が表示されています。

その他のアプリケーション起動失敗の詳細

[Us ername ] 列でユーザーをクリックすると、アプリケーションの起動エラーとそのユーザーのその他の詳細を表示できます。

次のスクリーンショットに示すように、下向き矢印を使用して、列を追加または削除するテーブルをカスタマイズできます。

カスタマイズされたアプリケーションの起動失敗ビュー

新しいアプリケーションを正常に起動した後、ユーザーは、そのアプリケーションによって消費された合計バイト数と帯域幅を表示したい

新しいアプリケーションを正常に起動したら、Citrix ADM で、そのアプリケーションによって消費された合計バイト数と帯域幅を表示できます。

アプリケーションによって消費された合計バイト数と帯域幅を表示するには、次の手順を実行します。

Citrix ADMで、[ Analytics] > [Gateway Insight] > [アプリケーション] に移動し、下にスクロールして、[ その他のアプリケーション] タブで詳細を表示するアプリケーションをクリックします。

バイトと帯域幅の消費ビュー

そのアプリケーションが使用したセッション数と合計バイト数が表示されます。

セッション数とバイト数の合計表示

そのアプリケーションが使用した帯域幅も表示されます。

アプリケーション・ビューで消費されるバイト数

ユーザーがCitrix Gateway に正常にログオンしたが、内部ネットワークの特定のネットワークリソースにアクセスできない

Gateway Insightでは、ユーザーがネットワークリソースにアクセスできるかどうかを特定できます。また、エラーの原因となったポリシーの名前を確認できます。

リソースのユーザー・アクセスを表示するには、次の手順に従います。

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] > [アプリケーション] に移動します

  2. 表示される画面で下にスクロールし、[ その他のアプリケーション ] タブで、ユーザーがログオンできなかったアプリケーションを選択します。

ユーザーアクセスの詳細

表示される画面を下にスクロールし、「 ユーザー 」(Users) テーブルに、そのアプリケーションにアクセスできるすべてのユーザーが表示されます。

すべてのユーザーの詳細

ユーザーが異なるCitrix Gateway 展開環境を使用している場合や、異なるアクセスモードでCitrix Gatewayにログオンしている場合があります。管理者は、展開の種類とアクセスモードの詳細を表示できる必要があります

Gateway Insightでは、ユーザーがログオンに使用したさまざまなセッションモードの概要、クライアントの種類、時間ごとのログオンしたユーザー数を確認できます。また、ユーザーの展開が統合ゲートウェイであるか、従来のCitrix Gateway 展開であるかを判断することもできます。Unified Gatewayの展開では、コンテンツスイッチ仮想サーバーの名前とIPアドレス、VPN仮想サーバー名を確認できます。

セッション・モード、クライアントのタイプ、ログオンしたユーザー数の概要を表示するには、次の手順に従います。

  1. Citrix ADMで、[ Analytics] > [Gateway Insight] に移動します。

  2. [ 概要 ] セクションで、下にスクロールして、[ セッションモード]、[オペレーティングシステム]、[ブラウザ]、および [ ユーザーログオンアクティビティ] の各グラフに、ユーザーがログオン するために使用するさまざまなセッションモード、クライアントの種類、および 1 時間ごとにログオンしたユーザー数が表示されます。

    Gateway Insightの概要

    Gateway Insightの概要グラフ