Citrix Application Delivery Management

排除 Gateway Insight 问题

如果 Gateway Insight 解决方案无法按预期工作,则问题可能与以下原因之一有关。请参阅相应部分中的清单以进行故障排除。

  • Gateway Insight 配置。
  • Citrix ADC 和 Citrix ADM 之间的连接问题。
  • 在 Citrix ADC 中生成记录。
  • 在 Citrix ADM 中进行验证。

Gateway Insight 配置清单

  • 确保 Citrix ADC 设备中启用了 AppFlow 功能。有关详细信息,请参阅 启用 AppFlow

  • 检查 Citrix ADC 运行配置中的 Gateway Insight 配置。

    运行 show running | grep -i <appflow_policy> 命令以检查 Gateway Insight 配置。确保绑定类型为请求。例如;

     bind vpn vserver afsanity -policy afp -priority 100 -type REQUEST
     <!--NeedCopy-->
    

    Gateway Insight 也需要绑定类型 OTHERTCP_REQUEST。

     bind vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
     <!--NeedCopy-->
    
  • 对于单跳、接入网关或 Unified Gateway 部署,请确保 Gateway Insight AppFlow 策略绑定到 VPN 虚拟服务器,其中 VPN 流量正在流动。有关详细信息,请参阅 启用 HDX Insight 数据收集
  • 对于双跳,必须在两个跳上配置 Gateway Insight。
  • 在 Citrix 网关 /VPN 虚拟服务器中检查 appflowlog 参数。有关详细信息,请参阅 为虚拟服务器启用 AppFlow

Citrix ADC 与 Citrix ADM 之间的连接检查表

  • 检查 Citrix ADC 中的 AppFlow 收集器状态。有关详细信息,请参阅 如何检查 Citrix ADC 和 AppFlow Collector 之间的连接状态

  • 检查 Gateway Insight AppFlow 策略命中。

    运行命令 show appflow policy <policy_name> 以检查 AppFlow 策略命中情况。

    您还可以导航到 GUI 中的 “系统” > “AppFlow” > “策 略”,以检查 AppFlow 策略命中。

  • 验证任何阻止 AppFlow 端口 4739 或 5557 的防火墙。

Citrix ADC 核对清单中的记录生成

  • 运行 nsconmsg -d stats -g ai_tot 命令并检查 Citrix ADC 中的统计数据增量。
  • 捕获 nstrace logs 并检查 CFLOW 数据包以确认 Citrix ADC 导出 AppFlow 记录。

    注意:

    只有 IPFIX 才需要使用 nstrace logs。对于 Logstream,nstrace 日志不确认 ADC 设备是否导出了 AppFlow 记录。

在 Citrix ADM 中验证记录

  • 运行 tail -f /var/mps/log/mps_afdecoder.log | grep -i "Data Record: vpn_" 命令以检查日志以确认 Citrix ADM 正在接收 AppFlow 记录。
  • 确保 Citrix ADC 实例已添加到 Citrix ADM。
  • 确保 Citrix Gateway/VPN 虚拟服务器已在 Citrix ADM 中获得许可。

在 Citrix ADM 中验证 Logstream 日志

可以使用以下方法验证 Citrix ADM 接收的 Logstream 数据:

  • 在 Citrix ADM 中启用数据记录记录

    启用后,可以在 /var/mps/log/mps_afdecoder.log 中看到日志

  • 启用 ULFD 库日志记录

    运行以下命令 /mps/decoder_enable_debug

    这些日志在 /var/ulflog/libulfd.log 中捕获

    您可以使用 /mps/decoder_disable_debug 命令禁用日志记录

Gateway Insight 计数器

以下 Gateway Insight 计数器可用。

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_ot_appflow_pol_eval_in_gwinsight
  • ai_ot_app_launch_成功

Citrix ADC 日志中的 AppFlow 记录

从版本 13.0 版本开始,您可以检查 Citrix ADC 日志以确认 AppFlow 记录是否导出。默认日志级别 syslogparams 捕获所有错误和信息日志。如果找不到有关错误的线索,请启用包括 DEBUG 在 syslogparams 内的所有日志级别以捕获甚至 DEBUG 日志。

示例日志

<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 147 0 : "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username=<name> Clientip=<ip>:<port> Destip=0:80 SessSeq=0 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<vpnfqdn> Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent=<auth_server_ip> Groupname= Policyname=<name> CurfactorPolname=<name> NextfactorPolname= CSecExpr= Devicetype=16777219 Deviceid=0 email="
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 143 0 : "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero"
<local0.err> … GMT 0-PPE-0 : default SSLVPN Message 148 0 : "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 165 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=1 Sessid=<sessid> Gwip=<ip>:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store
Web BackendServername= SSOurl= email="
SSO logs:
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 463 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 582 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 513 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:80 SessSeq=2 Sessid=<sessid> Gwip=<ip>:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->
<local0.info> … GMT 0-PPE-0 : default SSLVPN Message 29796 0 : "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username=<name> Clientip=<ip>:<port> Destip=<ip>:443 SessSeq=c Sessid=<sessid> Gwip=<ip>:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn=<fqdn> SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email="
<!--NeedCopy-->

联系 Citrix 技术支持

为了快速解决问题,请确保在联系 Citrix 技术支持之前具有以下信息:

  • 部署和网络拓扑的详细信息。
  • Citrix ADC 和 Citrix ADM 版本。
  • 适用于 Citrix ADC 和 Citrix ADM 的技术支持包。
  • nstrace 在问题期间捕获。

已知问题

有关 Gateway Insight 的已知问题,请参阅 Citrix ADC 发行说明。