产品文档
Citrix应用程序交付管理
当前版本 13.0 12.1
查看PDF

排除Gateway Insight问题

2022年2月11日
投稿者:
C

如果Gateway Insight解决方案无法按预期工作,则问题可能与以下原因之一有关。请参阅相应部分中的清单以进行故障排除。

  • Gateway Insight配置。
  • Citrix ADC和Citrix ADM之间的连接问题。
  • 在Citrix ADC中生成记录。
  • 在Citrix ADM中进行验证。

Gateway Insight配置清单

  • 确保Citrix ADC设备中启用了AppFlow功能。有关详细信息,请参阅启用AppFlow

  • 检查Citrix ADC运行配置中的Gateway Insight配置。

    运行显示运行| grep -i 命令以检查网关洞察配置.确保绑定类型为请求.例如;

    绑定vpn vserver afsanity -policy afp -priority 100 -type REQUEST

    网关洞察也需要绑定类型OTHERTCP_REQUEST。

    绑定vpn vserver afsanity -policy afp -priority 100 -type OTHERTCP_REQUEST
  • 对于单跳,接入网关或统一网关部署,请确保网关洞察力演示applow策略绑定到VPN虚拟服务器,其中VPN流量正在流动。有关详细信息,请参阅启用HDX Insight数据收集
  • 对于双跳,必须在两个跳上配置Gateway Insight。
  • 在Citrix网关/VPN虚拟服务器中检查appflowlog参数。有关详细信息,请参阅为虚拟服务器启用AppFlow

Citrix ADC与Citrix ADM之间的连接检查表

  • 检查Citrix ADC中的AppFlow收集器状态。有关详细信息,请参阅如何检查Citrix ADC和AppFlow Collector之间的连接状态

  • 检查Gateway Insight AppFlow策略命中。

    运行命令显示appflow policy 以检查AppFlow策略命中情况。

    您还可以导航到GUI中的”设置" > " AppFlow " > "策略以查看AppFlow策略命中。

  • 验证任何阻止AppFlow端口4739或5557的防火墙。

Citrix ADC核对清单中的记录生成

  • 运行nsconfig -d stats -g ai_tot命令并检查Citrix ADC中的统计数据增量。
  • 捕获nstrace日志并检查CFLOW数据包以确认Citrix ADC导出AppFlow记录。

    注意:

    只有ipfix才需要使用nstrace日志。对于Logstream, nstrace日志不确认ADC设备是否导出了演示applow记录。

在Citrix ADM中验证记录

  • 运行-f /var/ mp3 /log/mps_afdecoder.log | grep -i Data Record: vpn_"命令以检查日志以确认Citrix ADM正在接收AppFlow记录。
  • 确保Citrix ADC实例已添加到Citrix ADM。
  • 确保Citrix网关/VPN虚拟服务器已在Citrix ADM中获得许可。

在Citrix ADM中验证Logstream日志

可以使用以下方法验证Citrix ADM接收的Logstream数据:

  • 在Citrix ADM中启用数据记录记录

    启用后,可以在/var/mps/log/mps_afdecoder.log中看到日志

  • 启用ulfd库日志记录

    运行以下命令议员/ decoder_enable_debug

    这些日志在/var/ulflog/libulfd.log中捕获

    您可以使用议员/ decoder_disable_debug命令禁用日志记录

Gateway Insight计数器

以下Gateway Insight计数器可用。

  • ai_tot_preauth_epa_export
  • ai_tot_auth_export
  • ai_tot_auth_session_id_update_export
  • ai_tot_postauth_epa_export
  • ai_tot_vpn_update_export
  • ai_tot_ica_fileinfo_export
  • ai_tot_app_launch_failure
  • ai_tot_logout_export
  • ai_tot_skip_appflow_export
  • ai_tot_sso_appflow_export
  • ai_tot_authz_appflow_export
  • ai_tot_appflow_pol_eval_failure
  • ai_tot_vpn_export_state_mismatch
  • ai_tot_appflow_disabled
  • ai_ot_appflow_pol_eval_in_gwinsight
  • ai_ot_app_launch_成功

Citrix ADC日志中的AppFlow记录

从版本13.0版本开始,您可以检查Citrix ADC日志以确认演示applow记录是否导出。默认日志级别syslogparams捕获所有错误和信息日志。如果找不到有关错误的线索,请启用包括调试在syslogparams内的所有日志级别以捕获甚至调试日志。

示例日志

…GMT 0- ppp -0: default SSLVPN Message 147 0: "GwInsight: Sent auth record Func=ns_sslvpn_export_auth_data Username= Clientip=: Destip=0:80 SessSeq=0 Sessid=< Sessid > Gwip=:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn=< VPNfqdn > Authtype=3 EPAid=(null) AuthStage=1 AuthDuration=309 AuthAgent= Groupname= Policyname= CurfactorPolname= NextfactorPolname= CSecExpr= 16777219 Deviceid=0 email="  NextfactorPolname= CSecExpr= 16777219 Deviceid=0 email="err>…GMT 0- ppp -0: default SSLVPN Message 143 0: "GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero" …GMT 0- ppp -0: default SSLVPN Message 165 0: "GwInsight: Func=update_session_appflow_collector pcb or session is NULL"已发送会话更新记录Func=ns_sslvpn_send_update_record Username=<> Clientip=: Destip=:80 SessSeq=1 Sessid=< Sessid > Gwip=:443 StatusCode=0 CSappid=0 CSAppname=(null) VPNfqdn= SSOAuthMethod=0 SessState=2 SessMode=2 IIP=0 AppByteCount=0 ReqURL=/Citrix/Store Web BackendServername= SSOurl= email=" SSO logs: 
…GMT 0- ppp -0: default SSLVPN Message 463 0: "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username= Clientip=: Destip=:80 SessSeq=2 Sessid=< Sessid > Gwip=:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn= SSOAuthMethod=1 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email=" 
…GMT 0- ppp -0: default SSLVPN Message 582 0: "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username= Clientip=: Destip=:80 SessSeq=2 Sessid=< Sessid > Gwip=:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn= SSOAuthMethod=3 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email=" 
…GMT 0- ppp -0: default SSLVPN Message 513 0: "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username= Clientip=: Destip=:80 SessSeq=2 Sessid=< Sessid > Gwip=:443 StatusCode=150 CSappid=0 CSAppname=(null) VPNfqdn= SSOAuthMethod=2 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> SSOurl= email=" 
…GMT 0- ppp -0: default SSLVPN Message 29796 0: "GwInsight: Sent session update record Func=ns_sslvpn_send_update_record Username= Clientip=: Destip=:443 SessSeq=c Sessid=< Sessid > Gwip=:443 StatusCode=155 CSappid=0 CSAppname=(null) VPNfqdn= SSOAuthMethod=6 SessState=4 SessMode=3 IIP=0 AppByteCount=0 ReqURL= BackendServername=<> email="

联系Citrix技术支持

为了快速解决问题,请确保在联系Citrix技术支持之前具有以下信息:

  • 部署和网络拓扑的详细信息。
  • Citrix ADC和Citrix ADM版本。
  • 适用于Citrix ADC和Citrix ADM的技术支持包。
  • nstrace在问题期间捕获。

已知问题

有关Gateway Insight的已知问题,请参阅Citrix ADC发行说明。

排除Gateway Insight问题
2022年2月11日
投稿者:
C
2022年2月11日
投稿者:
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统公司版权所有。