Para sacar trazas en los netscalers y averiguar lo que pasa a nivel de red (ya que los logs dejan bastante que desear) necesitas … armarte de paciencia y el Wireshark.
Sacar las capturas no tiene mucho misterio. Cada fabricante (como siempre) cambia la sintaxis para que te vuelvas loco lo antes posible (al final acaba llamando a tcpdump).
nstrace -filter «SOURCEIP == xx.xx.xx.xx» -time 60 -name nombre_traza -id 1
nstrace -filter «SOURCEIP == xx.xx.xx.xx || DESTIP == xx.xx.xx.xx.» -time 60 -name nombre_traza -id 1
Para los despistados || es O y && es Y
Así te genera un fichero en formato .cap en /var/nstrace con el nombre que le hayas puesto (con time 60 le dices que genere un nuevo fichero cada 60 segundos).
Ctrl+c para parar las capturas.
Hay bastantes mas opciones, se pueden consultar en el siguiente enlace:
http://support.citrix.com/article/CTX120941
Y no te olvides de coger el certificado (con su clave privada) si es que estas haciendo algo que lleve ssl.