Citrix Application Delivery Management 服务

Gateway Insight

在 Citrix Gateway 部署中,查看用户访问详细信息对于排查访问失败问题至关重要。作为网络管理员,您希望知道用户何时无法登录 Citrix Gateway,并且希望了解用户活动和登录失败的原因,但除非用户发送解析请求,否则该信息通常不可用。

Gateway Insight 提供了所有用户在登录 Citrix Gateway 关时遇到的故障的可见性(无论访问模式如何)。可以查看所有可用用户列表,以及任何给定时间的活动用户数、活动会话数及所有用户使用的字节数和许可证数。可以查看某个用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 及应用程序启动失败。还可以查看某个用户的活动会话和已终止会话的详细信息。

通过 Gateway Insight 还可以查看虚拟应用程序的应用程序启动失败的原因。这可提高您对任何登录或应用程序启动失败问题进行故障排除的能力。可以查看启动的应用程序数、总会话数和活动会话数、应用程序使用的总字节数和带宽。可以查看应用程序的用户、会话、带宽和启动错误的详细信息。

您可以在任何给定时间查看与 ADC Gateway 设备关联的所有网关使用的网关数、活动会话数、总字节数和带宽。可以查看某个网关的 EPA、身份验证、单点登录及应用程序启动失败。还可以查看与某个网关关联的所有用户及其登录活动的详细信息。

所有日志消息都存储在 Citrix Application Delivery Management (ADM) 数据库中,因此您可以查看任何时间段的错误详细信息。还可以查看登录失败摘要,并确定在登录过程的什么阶段发生了失败。

注意事项:

  • 以下部署支持 Gateway Insight:
    • Access Gateway
    • Unified Gateway
  • ADM 版本和版本必须与 Citrix Gateway 设备的版本相同或更晚版本。
  • 对于具有高级许可证的 ADC 实例,可以查看一小时的 Gateway Insight 报告。查看超过一小时的 Gateway Insight 报告需要高级许可证。

限制:

  • 当身份验证方法配置为基于证书的身份验证时,Citrix Gateway 网关不支持 Gateway Insight。
  • 在 HDX Insight“Users”(用户)控制板上只能看到虚拟 ICA 应用程序和桌面的成功用户登录、延迟及应用程序级别详细信息。
  • 在双跃点模式下,第二个 DMZ 中 ADC 网关设备故障的可见性不可用。
  • 远程桌面协议 (RDP) 桌面访问问题不会报告。
  • 不报告 SAML 身份验证的网关智能分析记录。
  • 以下身份验证类型支持 Gateway Insight。如果使用除这些身份验证类型以外的其他身份验证类型,您可能会在 Gateway Insight 中看到一些不一样的地方。
    • 本地
    • LDAP
    • RADIUS
    • TACACS
    • SAML
    • 本机 OTP

启用网关洞察

要为 Citrix Gateway 设备启用 Gateway Insight,必须首先将 ADC Gateway 设备添加到 ADM。然后必须为表示 VPN 应用程序的虚拟服务器启用 AppFlow。有关将设备添加到 ADM 的信息,请参阅添加实例

注意

要查看 Citrix ADM 中的端点分析 (EPA) 故障,必须 启用 AppFlow 身份验证、授权和访问控制用户名 登录 ADC 网关设备。

为 ADM 中的虚拟服务器启用 AppFlow

  1. 导航到 网络 > 实例 > Citrix ADC,然后选择要为其启用 AppFlow 的实例。

  2. 选择操作列表中,选择配置分析

  3. 选择虚拟服务器,然后单击 启用分析

  4. 高级选项下,选Citrix Gateway

    启用 Citrix Gateway

  5. 单击确定。

使用 GUI 在 ADC 网关设备上启用 AppFlow 用户名记录

  1. 导航到配置 > 系统 > AppFlow > 设置,然后单击更改 AppFlow 设置

  2. 配置 AppFlow 设置屏幕中,选择 AAA 用户名 ,然后单击确定

查看 Gateway Insight 报告

在 Citrix ADM 中,您可以查看与 ADC Gateway 设备关联的所有用户、应用程序和网关的报告,还可以查看特定用户、应用程序或网关的详细信息。在 “ 述” 部分,您可以查看 EPA、SSO、身份验证和应用程序启动失败。还可以查看用户用于登录的不同会话模式、客户端类型及每小时登录用户数的摘要。

注意

创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和将用户分配到组的更多信息,请参阅在 Citrix ADM 上配置组

查看 EPA、SSO、身份验证、授权和应用程序启动失败

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 选择要查看用户详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

  3. 单击“EPA (End Point Analysis)”(EPA(端点分析))、“Authentication”(身份验证)、“Authorization”(授权)、“SSO (Single Sign On)”(SSO(单点登录))或“Application Launch”(应用程序启动)选项卡以显示失败详细信息。

    EPA 报告

查看会话模式、客户端和用户数的摘要

在 Citrix ADM 中,导航到分析 > Gateway Insight,向下滚动以查看报告。

报告摘要

登录活动

用户

您可以查看与 ADC Gateway 设备关联的用户的完整报告。您可以查看用户的 EPA、身份验证、SSO、应用程序启动失败等。

您还可以直观显示所有用户活动和已终止会话的合并视图。

Gateway Insight 改进

作为管理员,此视图使您能够:

  • 在单窗格可视化中查看所有用户详细信息

  • 消除选择每个用户以及查看活动和已终止会话的复杂性

查看用户详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 用户

  2. 选择要查看用户详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

  3. 您可以查看该时段内活动用户的数量、活动会话数和所有用户的字节数。

    现在的网关洞察

向下滚动可查看可用用户和活动用户列表。

活跃用户

在 “ 用户 ” 或 “ 活动用户 ” 选项卡上,单击用户可查看以下用户详细信息:

  • 用户详细信息 -您可以查看与 ADC Gateway 设备关联的每个用户的见解。导航到 Analytics > Gateway Insight > 用户,然后单击用户以查看选定用户的见解,例如会话模式、操作系统和浏览器。

    用户详情

  • 选定网关的用户和应用程序 -导航到 Analytics > Gateway Insight> 网关,然后单击网关域名以查看与所选网关关联的前 10 个应用程序和前 10 名用户。

    用户和应用

  • 查看应用程序和用户的更多选项 — 对于 10 个以上的应用程序和用户,您可以单击应用程序和用户中的更多图标以查看与所选网关关联的所有用户和应用程序详细信息。

    查看更多

  • 过单击条形图查看详细信息 — 单击条形图时,可以查看相关详细信息。例如,导航到 Analytics > Gateway Insight > 网关 ,然后单击网关条形图以查看网关详细信息。

    条形图

  • 用户 活动会话已终止的会话

    Gateway Insight 活动和终止的会话

  • 活动会话中的网关域名和网关 IP 地址。

    Gateway Insight 活动会话

  • 用户登录持续时间。

    Gateway Insight 登录持续

  • 用户注销会话的原因。注销的原因可能是:

    • 会话超时
    • 由于内部错误而注销
    • 由于非活动会话超时而注销
    • 用户已注销
    • 管理员已停止会话

      Gateway Insight 注销会话

搜索栏和 Geo 地图视图

您可以查看:

  • 使您能够根据用户名筛选结果的搜索栏。导航到 Analytics > Gateway Insight > 用户以查看用户活跃用户的搜索栏。将鼠标指针放在搜索栏上,选择 用户名,然后键入用户名以筛选结果。

    搜索栏

  • 基于用户地理位置显示用户信息的地理地图。作为管理员,使用此地理地图,您可以查看特定位置的用户总数、应用程序总数和会话总数的摘要。

    1. 导航到 Analytics > Gateway Insight 以查看地理地图

    2. 单击国家/地区。例如,美国

      地理地图显示所选国家/地区的用户列表、活动会话、已终止的会话、应用程序等详细信息。

应用程序

可以查看启动的应用程序数、总会话数和活动会话数、应用程序使用的总字节数和带宽。可以查看应用程序的用户、会话、带宽和启动错误的详细信息。

查看应用程序详情

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 应用程序
  2. 选择要查看应用程序详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

现在可以查看启动的应用程序数、总会话数和活动会话数、应用程序使用的总字节数和带宽。

应用报告

向下滚动可查看 ICA 和其他应用程序使用的会话数、带宽及总字节数。

其他应用

其他应用程序选项卡上,您可以单击名称列中的应用程序以显示该应用程序的详细信息。

网关

您可以在任何给定时间查看与 ADC Gateway 设备关联的所有网关使用的网关数、活动会话数、总字节数和带宽。可以查看某个网关的 EPA、身份验证、单点登录及应用程序启动失败。还可以查看与某个网关关联的所有用户及其登录活动的详细信息。

查看 Gateway 详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 网关
  2. 选择要查看网关详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

现在,您可以查看与 ADC Gateway 设备关联的所有网关在任何给定时间使用的网关数、活动会话数、总字节数和带宽。

网关详情

向下滚动以查看 Gateway 详细信息,如网关域名、虚拟服务器名称、ADC IP 地址、会话模式和总字节数。

网关域

您可以单击 Gateway 域名列中的 Gateway ,以显示网关的 EPA、身份验证、单点登录和应用程序启动失败以及其他详细信息。

您还可以查看网关的地理地图,使您能够根据特定位置筛选用户。

  1. 导航到 Analytics > Gateway Insight > 网关

  2. 选择网关域名以查看地理地图

  3. 单击国家/地区。例如,美国

    地理地图显示所选国家/地区的用户列表、活动会话、已终止的会话、应用程序等详细信息。

导出报告

您可以在本地计算机上以 PDF、JPEG、PNG 或 CSV 格式将 GUI 中显示的所有详细信息保存网关智能分析报告。您还可以计划以各种时间间隔将报告导出到指定的电子邮件地址。

注意

  • 具有只读访问权限的用户不能导出报告。
  • 仅当 ADM 具有互联网连接时,才会导出地理地图报表。

导出报告

  1. 控制板选项卡上的右窗格中,单击导出按钮。

  2. 立即导出” 下,选择所需的格式,然后单击 导出”。

要安排导出:

  1. 控制板选项卡上的右窗格中,单击导出按钮。

  2. 计划导出下,指定详细信息,然后单击计划

要编辑导出计划,请执行以下操作:

  1. 在“配置”选项卡上,导航到配置 > NetScaler Insight Center > 导出计划

  2. 从可用列表中选择一个报表,然后单击编辑

  3. 编辑后,单击保存

注意:

导航到系统 > 通知 > 电子邮件,然后单击添加,在计划报告之前配置电子邮件服务器设置。

要添加电子邮件服务器或电子邮件通讯组列表,请执行以下操作:

  1. 配置选项卡上,导航到系统 > 通知 > 电子邮件

  2. 在右窗格中,选择电子邮件服务器以添加电子邮件服务器,或选择电子邮件通讯组列表以创建电子邮件通讯组列表。

  3. 指定详细信息,然后单击创建

要导出整个网关智能分析控制板:

  1. 控制板选项卡上的右窗格中,单击导出按钮。

  2. 立即导出下,选择 PDF 格式,然后单击导出

Gateway Insight 用例

以下使用案例展示了如何使用网关智能分析来了解 ADC 网关设备上的用户访问详细信息、应用程序和网关。

1. 用户无法登录 ADC Gateway 设备或内部 Web 服务器

您是通过 ADM 监控 ADC Gateway 设备的 ADC Gateway 管理员,您希望了解为什么用户无法登录,或者失败发生在登录过程的哪个阶段。

ADM 允许您在登录过程的以下阶段查看用户登录错误详细信息:

  • 身份验证
  • 端点分析 (EPA)
  • 单点登录

在 ADM 中,您可以搜索特定用户,然后查看该用户的所有详细信息。

要搜索用户,请执行以下操作:

在 Citrix ADM 中,导航到分析 > Gateway Insight,然后在搜索用户文本框中指定要搜索的用户。

身份验证失败

可以查看身份验证错误,例如,凭据错误或身份验证服务器没有响应。如果设置了两个阶段的身份验证,可以查看是身份验证的主阶段、次阶段还是两个阶段失败。

查看身份验证失败详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 概述部分中,选择要查看身份验证错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

身份验证

  1. 单击身份验证选项卡。您可以在失败图表中查看任何给定时间的身份验证错误数。

身份验证失败图

在同一选项卡上的表中向下滚动可查看每个身份验证错误的详细信息,例如,Username(用户名)、Client IP Address(客户端 IP 地址)、Error Time(错误时间)、Authentication Type(身份验证类型)、Authentication Server IP Address(身份验证服务器 IP 地址)及其他信息。表中的错误描述列显示登录失败的原因,状态列显示在两阶段身份验证的哪个阶段发生失败。

验证错误

您可以单击 “用户 ” 列中的用户以显示该用户的身份验证错误和其他详细信息。

您可以使用列表箭头自定义表以添加或删除列,如下图所示。

认证失败

EPA 失败

您可以查看身份验证前或身份验证后阶段的 EPA 故障。

查看 EPA 故障详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 在“Overview”(概览)部分中,选择要查看 EPA 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

    EPA

  3. 单击 EPA(终点分析)选项卡。您可以在故障图中查看任何给定时间的 EPA 错误数。

    EPA 示意图

在同一选项卡上的表中向下滚动可查看每个 EPA 错误的详细信息,例如,用户名、ADC IP 地址、网关 IP 地址、VPN、错误时间、策略名称、网关域名及其他信息。表中 Error Description(错误说明)列显示 EPA 失败的原因,Policy Name(策略名称)列显示导致失败的策略。

EPA 错误

您可以单击 “用户 ” 列中的用户以显示该用户的 EPA 错误和其他详细信息。

您可以使用列表箭头自定义表以添加或删除列,如下图所示。

EPA 示意图

注意

当 clientSecurity 表达式配置为 VPN 会话策略规则时,ADC Gateway 不会报告 EPA 故障。

SSO 失败

您可以在任何阶段查看用户通过 ADC 网关设备访问任何应用程序的所有 SSO 故障。

查看 SSO 失败详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 在“Overview”(概览)部分中,选择要查看 SSO 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

    SSO 失败

  3. 单击 SSO(单次登录) 选项卡。可以在“Failures”(失败)图中查看任何给定时间的 SSO 错误数。

SSO 图

向下滚动以查看每个 SSO 错误的详细信息,如 用户名、ADC IP 地址、错误时间、错误描述、资源名称 等,从同一选项卡上的表格。

SSO 失败 1

您可以单击 “用户 ” 列中的用户以显示该用户的 SSO 错误和其他详细信息。

您可以使用列表箭头自定义表以添加或删除列,如下图所示。

SSO 失败 2

2. 成功登录 ADC 网关后,用户无法启动任何虚拟应用程序

对于应用程序启动失败,您可以了解原因,例如无法访问的安全票证颁发机构 (STA) 或 Citrix 虚拟应用程序服务器或 STA 票证无效。可以查看错误发生的时间、错误的详细信息以及 STA 验证失败的资源。

查看应用程序启动失败详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. Overview(概览)部分中,选择要查看 SSO 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

    启动失败

  3. 单击应用程序启动选项卡。您可以在失败图表中查看任何给定时间的应用程序启动失败次数。

    启动失败条形图

向下滚动可从同一选项卡上的表中查看每个应用程序启动错误的详细信息,如 ADC IP 地址、错误时间、错误描述、资源名称、网关域名等。表中的 Error Description(错误说明)列显示 STA 服务器的 IP 地址,Resource Name(资源名称)列显示 STA 验证失败的资源的详细信息。

启动失败 3

您可以单击 “用户 ” 列中的用户以显示该用户的应用程序启动错误和其他详细信息。

您可以使用列表箭头自定义表以添加或删除列,如下图所示。

启动失败 4

3. 成功启动新应用程序后,用户希望查看该应用程序占用的总字节和带宽

成功启动新应用程序后,可以在 Citrix ADM 中查看该应用程序占用的总字节和带宽。

查看应用程序占用的总字节和带宽

在 Citrix ADM 中,导航到分析 > Gateway Insight > 应用程序,向下滚动,然后在其他应用程序选项卡上单击要查看详细信息的应用程序。

带宽

可以查看该应用程序使用的会话数和总字节数。

消耗的带宽

还可以查看该应用程序使用的带宽。

带宽控制 1

4. 用户已成功登录 ADC 网关,但无法访问内部网络中的某些网络资源

通过 Gateway Insight,可以确定用户是否有权访问网络资源。还可以查看导致失败的策略的名称。

查看资源的用户访问权限

  1. 在 Citrix ADM 中, 导航到 “分析” > “网关洞察” > “应用程序”

  2. 在显示的屏幕上,向下滚动,在 Other Applications(其他应用程序)选项卡上,选择用户无法登录的应用程序。

资源访问

在出现的屏幕上向下滚动,并在 “ 用户 ” 表中显示有权访问该应用程序的所有用户。

资源访问 1

5. 不同的用户可能使用不同的 ADC Gateway 部署,或可能通过不同的访问模式登录 ADC Gateway。管理员必须能够查看有关部署类型和访问模式的详细信息

通过 Gateway Insight,可以查看用户用于登录的不同会话模式、客户端类型及每小时登录用户数的摘要。您还可以确定用户的部署是统一 Gateway 还是经典 ADC 网关部署。对于 Unified Gateway 部署,可以查看内容交换虚拟服务器名称和 IP 地址及 VPN 虚拟服务器名称。

查看会话模式、客户端类型和登录用户数的摘要

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 概述部分中,向下滚动以查看会话模式、操作系统、浏览器用户登录活动图表显示用户用于登录的不同会话模式、客户端类型以及每小时登录的用户数。

会话

Session1