Citrix Application Delivery Management 服务

Gateway Insight

在 Citrix Gateway 部署中,查看用户的访问详细信息对于解决访问失败问题至关重要。作为网络管理员,您希望知道用户何时无法登录到 Citrix Gateway,并希望了解用户活动以及登录失败的原因,但除非用户发送解决请求,否则该信息通常不可用。

Gateway Insight 提供了所有用户在登录 Citrix Gateway 关时遇到的故障的可见性(无论访问模式如何)。可以查看所有可用用户列表,以及任何给定时间的活动用户数、活动会话数及所有用户使用的字节数和许可证数。可以查看某个用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 及应用程序启动失败。还可以查看某个用户的活动会话和已终止会话的详细信息。

通过 Gateway Insight 还可以查看虚拟应用程序的应用程序启动失败的原因。这可提高您对任何登录或应用程序启动失败问题进行故障排除的能力。可以查看启动的应用程序数、总会话数和活动会话数、应用程序使用的总字节数和带宽。可以查看应用程序的用户、会话、带宽和启动错误的详细信息。

可以查看任何给定时间的网关数、活动会话数、与 ADC Gateway 设备关联的所有网关所使用的总字节数和带宽。可以查看某个网关的 EPA、身份验证、单点登录及应用程序启动失败。还可以查看与某个网关关联的所有用户及其登录活动的详细信息。

所有日志消息都存储在 Citrix Application Delivery Management (ADM) 数据库中,因此您可以查看任何时间段的错误详细信息。还可以查看登录失败摘要,并确定在登录过程的什么阶段发生了失败。

注意事项:

  • 以下部署支持 Gateway Insight:
    • Access Gateway
    • Unified Gateway
  • ADM 版本和内部版本必须与 Citrix Gateway 设备相同或更晚。
  • 对于具有高级许可证的 ADC 实例,可以查看一小时的 Gateway Insight 报告。需要高级版许可证才能查看超过一小时的 Gateway Insight 报告。

限制:

  • 当身份验证方法配置为基于证书的身份验证时,Citrix Gateway 网关不支持 Gateway Insight。
  • 在 HDX Insight“Users”(用户)控制板上只能看到虚拟 ICA 应用程序和桌面的成功用户登录、延迟及应用程序级别详细信息。
  • 在双跃点模式下,无法查看第二个 DMZ 中的 ADC Gateway 设备是否出现故障。
  • 远程桌面协议 (RDP) 桌面访问问题不会报告。
  • 系统不会报告用于 SAML 身份验证的 Gateway Insight 记录。
  • 以下身份验证类型支持 Gateway Insight。如果使用除这些身份验证类型以外的其他身份验证类型,您可能会在 Gateway Insight 中看到一些不一样的地方。
    • 本地
    • LDAP
    • RADIUS
    • TACACS
    • SAML
    • 本机 OTP

启用 Gateway Insight

要为 Citrix Gateway 设备启用 Gateway Insight,必须首先将 ADC Gateway 设备添加到 ADM。然后必须为表示 VPN 应用程序的虚拟服务器启用 AppFlow。有关将设备添加到 ADM 的信息,请参阅 添加实例

注意

要在 Citrix ADM 中查看端点分析 (EPA) 失败,必须在 ADC Gateway 设备上启用 AppFlow AAA 用户名日志记录。

在 ADM 中为虚拟服务器启用 AppFlow

  1. 登录到 Citrix ADM。

  2. 导航到网络 > 实例,然后选择要启用 AppFlow 的实例。

  3. 选择操作下拉列表中,选择配置分析

  4. 配置见解页面的应用程序列表下的视图列表中,选择 Citrix Gateway

  5. 选择要为其启用 AppFlow 的虚拟服务器,然后在操作列表中单击启用 AppFlow

  6. 启用 AppFlow 屏幕上的选择表达式列表中,单击“真”。

  7. 导出选项旁边,选中 HTTP 复选框。

    本地化后的图片

  8. 单击确定。

使用 GUI 在 ADC Gateway 设备上启用 AppFlow AAA 用户名日志记录

  1. 导航到配置 > 系统 > AppFlow > 设置,然后单击更改 AppFlow 设置

  2. 配置 AppFlow 设置屏幕中,选择 AAA 用户名 ,然后单击确定

查看 Gateway Insight 报告

在 Citix ADM 中,您可以查看与 ADC Gateway 装置相关联的所有用户、应用程序和网关的报告,还可以查看特定用户、应用程序或网关的详细信息。在“Overview”(概览)部分,可以查看 EPA、SSO、身份验证及应用程序启动失败。还可以查看用户用于登录的不同会话模式、客户端类型及每小时登录用户数的摘要。

注意

创建组时,您可以为组分配角色、提供对组的应用程序级别访问权限以及将用户分配给组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和向组分配用户的详细信息,请参阅 在 Citrix ADM 上配置组

查看 EPA、SSO、身份验证、授权和应用程序启动失败

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 选择要查看用户详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

  3. 单击“EPA (End Point Analysis)”(EPA(端点分析))、“Authentication”(身份验证)、“Authorization”(授权)、“SSO (Single Sign On)”(SSO(单点登录))或“Application Launch”(应用程序启动)选项卡以显示失败详细信息。

    本地化后的图片

查看会话模式、客户端和用户数的摘要

在 Citrix ADM 中,导航到分析 > Gateway Insight,向下滚动以查看报告。

本地化后的图片

本地化后的图片

用户

您可以查看与 ADC Gateway 设备关联的所有用户的报告。可以查看某个用户的 EPA、身份验证、SSO 及应用程序启动失败。还可以查看某个用户的活动会话和已终止会话的详细信息。

查看用户详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 用户

  2. 选择要查看用户详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

  3. 现在可以查看时间段内活动用户数、活动会话数、所有用户使用的字节数和许可证数。

    本地化后的图片

向下滚动可查看可用用户和活动用户列表。

本地化后的图片

用户活动用户选项卡上,您可以单击用户名列中的某个用户,以显示该用户的 EPA、身份验证、SSO 和应用程序启动失败以及其他详细信息。

应用程序

可以查看启动的应用程序数、总会话数和活动会话数、应用程序使用的总字节数和带宽。可以查看应用程序的用户、会话、带宽和启动错误的详细信息。

查看应用程序详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 应用程序
  2. 选择要查看应用程序详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

现在可以查看启动的应用程序数、总会话数和活动会话数、应用程序使用的总字节数和带宽。

本地化后的图片

向下滚动可查看 ICA 和其他应用程序使用的会话数、带宽及总字节数。

本地化后的图片

其他应用程序选项卡上,您可以单击名称列中的应用程序以显示该应用程序的详细信息。

网关

可以查看任何给定时间的网关数、活动会话数、与 ADC Gateway 设备关联的所有网关所使用的总字节数和带宽。可以查看某个网关的 EPA、身份验证、单点登录及应用程序启动失败。还可以查看与某个网关关联的所有用户及其登录活动的详细信息。

查看 Gateway 详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 网关
  2. 选择要查看网关详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

现在可以查看任何给定时间的网关数、活动会话数、与 ADC Gateway 设备关联的所有网关所使用的总字节数和带宽。

本地化后的图片

向下滚动查看 Gateway 详细信息,如网关域名、虚拟服务器名称、ADC IP 地址、会话模式和总字节数。

本地化后的图片

可以单击 Gateway Domain Name(网关域名)列中的网关以显示网关的 EPA、身份验证、单点登录、应用程序启动失败及其他详细信息。

导出报告

您可以在您的本地计算机上以 PDF、JPEG、PNG 或 CSV 格式保存 GUI 上显示的 Gateway Insight 报告和所有详细信息。您还可以计划以各种时间间隔将报告导出到指定的电子邮件地址。

注意

  • 具有只读访问权限的用户不能导出报告。
  • 仅当 ADM 具有互联网连接时,才会导出地理地图报告。

导出报告

  1. 控制板选项卡上的右窗格中,单击导出按钮。

  2. 立即导出” 下,选择所需的格式,然后单击 导出”。

要计划导出:

  1. 控制板选项卡上的右窗格中,单击导出按钮。

  2. 计划导出下,指定详细信息,然后单击计划

要编辑导出计划,请执行以下操作:

  1. 在“配置”选项卡上,导航到配置 > NetScaler Insight Center > 导出计划

  2. 从可用列表中选择一个报表,然后单击编辑

  3. 编辑后,单击保存

注意:

导航到系统 > 通知 > 电子邮件,然后单击添加,在计划报告之前配置电子邮件服务器设置。

要添加电子邮件服务器或电子邮件通讯组列表,请执行以下操作:

  1. 配置选项卡上,导航到系统 > 通知 > 电子邮件

  2. 在右窗格中,选择电子邮件服务器以添加电子邮件服务器,或选择电子邮件通讯组列表以创建电子邮件通讯组列表。

  3. 指定详细信息,然后单击创建

要导出整个 Gateway Insight 控制板,请执行以下操作:

  1. 控制板选项卡上的右窗格中,单击导出按钮。

  2. 立即导出下,选择 PDF 格式,然后单击导出

Gateway Insight 用例

以下用例显示了如何使用 Gateway Insight 查看 ADC Gateway 设备上的用户访问详细信息、应用程序和网关。

1. 用户无法登录 ADC Gateway 设备或内部 Web 服务器

您是通过 ADM 监视 ADC Gateway 设备的 ADC Gateway 管理员,并且希望了解用户无法登录的原因,或在登录过程的哪个阶段发生了故障。

ADM 使您能够在登录过程的以下阶段查看用户登录错误详细信息:

  • 身份验证
  • 端点分析 (EPA)
  • 单点登录

在 ADM 中,您可以搜索特定用户,然后查看该用户的所有详细信息。

要搜索用户,请执行以下操作:

在 Citrix ADM 中,导航到分析 > Gateway Insight,然后在搜索用户文本框中指定要搜索的用户。

身份验证失败

可以查看身份验证错误,例如,凭据错误或身份验证服务器没有响应。如果设置了两个阶段的身份验证,可以查看是身份验证的主阶段、次阶段还是两个阶段失败。

查看验证失败详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 概述部分中,选择要查看身份验证错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

本地化后的图片

  1. 单击身份验证选项卡。您可以在失败图表中查看任何给定时间的身份验证错误数。

本地化后的图片

在同一选项卡上的表中向下滚动可查看每个身份验证错误的详细信息,例如,Username(用户名)、Client IP Address(客户端 IP 地址)、Error Time(错误时间)、Authentication Type(身份验证类型)、Authentication Server IP Address(身份验证服务器 IP 地址)及其他信息。表中的错误描述列显示登录失败的原因,状态列显示在两阶段身份验证的哪个阶段发生失败。

本地化后的图片

您可以单击用户名列中的某个用户,以显示该用户的身份验证错误和其他详细信息。

可以使用下拉箭头自定义表以添加或删除列,如下面的屏幕截图中所示。

本地化后的图片

EPA 失败

您可以在身份验证前或身份验证后阶段查看 EPA 失败。

查看 EPA 故障详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 在“Overview”(概览)部分中,选择要查看 EPA 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

    本地化后的图片

  3. 单击 EPA(终点分析)选项卡。您可以在故障图中查看任何给定时间的 EPA 错误数。

    本地化后的图片

在同一选项卡上的表中向下滚动可查看每个 EPA 错误的详细信息,例如,用户名、ADC IP 地址、网关 IP 地址、VPN、错误时间、策略名称、网关域名及其他信息。表中 Error Description(错误说明)列显示 EPA 失败的原因,Policy Name(策略名称)列显示导致失败的策略。

本地化后的图片

您可以单击 “用户 ” 列中的用户以显示该用户的 EPA 错误和其他详细信息。

可以使用下拉箭头自定义表以添加或删除列,如下面的屏幕截图中所示。

本地化后的图片

注意

当 clientSecurity 表达式配置为 VPN 会话策略规则时,ADC Gateway 不会报告 EPA 故障。

SSO 失败

可以查看通过 ADC Gateway 设备访问任何应用程序的用户在任何阶段的所有 SSO 失败。

查看 SSO 故障详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 在“Overview”(概览)部分中,选择要查看 SSO 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

    本地化后的图片

  3. 单击 SSO(单次登录) 选项卡。可以在“Failures”(失败)图中查看任何给定时间的 SSO 错误数。

本地化后的图片

向下滚动以查看每个 SSO 错误的详细信息 ,如用户名、ADC IP 地址、错误时间、错误描述、资源名称 等。

本地化后的图片

您可以单击用户名列中的某个用户,以显示该用户的 SSO 错误和其他详细信息。

可以使用下拉箭头自定义表以添加或删除列,如下面的屏幕截图中所示。

本地化后的图片

2. 成功登录到 ADC Gateway 后,用户无法启动任何虚拟应用程序

对于应用程序启动失败,您可以了解原因,例如无法访问的安全票证颁发机构 (STA) 或 Citrix 虚拟应用程序服务器或 STA 票证无效。可以查看错误发生的时间、错误的详细信息以及 STA 验证失败的资源。

查看应用程序启动失败详细信息

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 在 “ 概览 ” 部分中,选择要查看 SSO 错误的时间段。可以使用时间滑块来进一步自定义所选时间段。单击转到

    本地化后的图片

  3. 单击应用程序启动选项卡。您可以在失败图表中查看任何给定时间的应用程序启动失败次数。

    本地化后的图片

向下滚动可从同一选项卡上的表中查看每个应用程序启动错误的详细信息,如 ADC IP 地址、错误时间、错误描述、资源名称、网关域名等。表中的 Error Description(错误说明)列显示 STA 服务器的 IP 地址,Resource Name(资源名称)列显示 STA 验证失败的资源的详细信息。

本地化后的图片

您可以单击用户名列中的某个用户,以显示该用户的应用程序启动错误和其他详细信息。

可以使用下拉箭头自定义表以添加或删除列,如下面的屏幕截图中所示。

本地化后的图片

3. 成功启动新应用程序后,用户希望查看该应用程序占用的总字节和带宽

成功启动新应用程序后,可以在 Citrix ADM 中查看该应用程序占用的总字节和带宽。

查看应用程序占用的总字节和带宽

在 Citrix ADM 中,导航到分析 > Gateway Insight > 应用程序,向下滚动,然后在其他应用程序选项卡上单击要查看详细信息的应用程序。

本地化后的图片

可以查看该应用程序使用的会话数和总字节数。

本地化后的图片

还可以查看该应用程序使用的带宽。

本地化后的图片

4. 用户已成功登录到 ADC Gateway,但无法访问内部网络中的某些网络资源

通过 Gateway Insight,可以确定用户是否有权访问网络资源。还可以查看导致失败的策略的名称。

查看资源的用户访问权限

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight > 应用程序

  2. 在显示的屏幕上,向下滚动,在 Other Applications(其他应用程序)选项卡上,选择用户无法登录的应用程序。

本地化后的图片

在出现的屏幕上向下滚动,并在 “ 用户 ” 表中显示有权访问该应用程序的所有用户。

本地化后的图片

5. 不同的用户可能使用不同的 ADC Gateway 部署,或可能通过不同的访问模式登录 ADC Gateway。管理员应该能够查看有关部署类型和访问模式的详细信息

通过 Gateway Insight,可以查看用户用于登录的不同会话模式、客户端类型及每小时登录用户数的摘要。您还可以确定用户的部署是统一 Gateway 还是经典的 ADC 网关部署。对于 Unified Gateway 部署,可以查看内容交换虚拟服务器名称和 IP 地址及 VPN 虚拟服务器名称。

查看会话模式、客户端类型和登录用户数的摘要

  1. 在 Citrix ADM 中,导航到分析 > Gateway Insight

  2. 概述部分中,向下滚动以查看会话模式、操作系统、浏览器用户登录活动图表显示用户用于登录的不同会话模式、客户端类型以及每小时登录的用户数。

本地化后的图片

本地化后的图片