A Microsoft Tunnel megfigyelése
A Microsoft Tunnel telepítése után a kiszolgáló konfigurációját és állapotát a Microsoft Intune Felügyeleti központban tekintheti meg.
A Felügyeleti központ felhasználói felületének használata
Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Bérlőfelügyelet>Microsoft Tunnel Gateway>állapota elemre.
Ezután válasszon ki egy kiszolgálót, majd nyissa meg az Állapotellenőrzés lapot a kiszolgálók állapotmetrikáinak megtekintéséhez. Alapértelmezés szerint minden metrika előre definiált küszöbértékeket használ, amelyek meghatározzák az állapotot. A következő metrikák támogatják a küszöbértékek testreszabását:
- CPU-használat
- Memóriahasználat
- Lemezterület-használat
- Késleltetés
A kiszolgáló állapotmetrikáinak alapértelmezett értékei:
Utolsó bejelentkezés – Amikor az Alagútátjáró-kiszolgáló utoljára jelentkezett be az Intune-nal.
- Kifogástalan – Az utolsó bejelentkezés az elmúlt öt percben történt.
- Nem kifogástalan – Az utolsó bejelentkezés több mint öt perccel ezelőtt történt.
Aktuális kapcsolatok – Azoknak az egyedi kapcsolatoknak a száma, amelyek az utolsó bejelentkezéskor voltak aktívak.
- Kifogástalan – 4990 vagy kevesebb kapcsolat volt
- Nem kifogástalan – Több mint 4990 aktív kapcsolat volt
Átviteli sebesség – Az alagútátjáró hálózati adapterén áthaladó forgalom másodpercenkénti megabit bitenkénti száma az utolsó kiszolgáló-bejelentkezéskor.
CPU-használat – Az alagútátjáró-kiszolgáló átlagos processzorhasználata öt percenként.
- Egészséges - 95% vagy kevesebb
- Figyelmeztetés – 96%–99%
- Nem kifogástalan – 100%-os használat
CPU-magok – A kiszolgálón elérhető CPU-magok száma.
- Kifogástalan – 4 vagy több mag
- Figyelmeztetés – 1, 2 vagy 3 mag
- Nem megfelelő állapotú -0 mag
Memóriahasználat – Az alagútátjáró-kiszolgáló átlagos memóriahasználata 5 percenként.
- Egészséges - 95% vagy kevesebb
- Figyelmeztetés – 96%–99%
- Nem kifogástalan – 100%-os használat
Lemezterület-használat – Az alagútátjáró-kiszolgáló által felhasznált lemezterület mennyisége.
- Kifogástalan – 5 GB felett
- Figyelmeztetés – 3–5 GB
- Nem kifogástalan – 3 GB alatt
Késés – Az IP-csomagok beérkezéséhez, majd a hálózati adapterből való kilépéshez szükséges átlagos idő.
- Egészséges – kevesebb, mint 10 ezredmásodperc
- Figyelmeztetés – 10 ezredmásodperc és 20 ezredmásodperc között
- Nem kifogástalan – Több mint 20 ezredmásodperc
Felügyeleti ügynök tanúsítványa – A felügyeleti ügynök tanúsítványát az Alagútátjáró használja az Intune-nal való hitelesítéshez, ezért fontos megújítani, mielőtt lejár. Ennek azonban automatikusan meg kell újulnia.
- Kifogástalan – A tanúsítvány lejárata több mint 30 nap.
- Figyelmeztetés – A tanúsítvány lejárata kevesebb, mint 30 nap.
- Nem kifogástalan – A tanúsítvány lejárt.
TLS-tanúsítvány – Az ügyfelek és az alagútátjáró-kiszolgáló közötti forgalmat biztonságossá tevő Transport Layer Security-(TLS-) tanúsítvány lejáratáig eltelt napok száma.
- Egészséges - Több mint 30 nap
- Figyelmeztetés – legfeljebb 30 nap
- Nem kifogástalan – A tanúsítvány lejárt
TLS-tanúsítvány visszavonása – Az alagútátjáró a TLS-tanúsítvány által meghatározott online tanúsítványállapot-protokoll (OCSP) vagy visszavont tanúsítványok listájának (CRL) címével kísérli meg ellenőrizni a Transport Layer Security -tanúsítvány (TLS) visszavonási állapotát. Ehhez az ellenőrzéshez a kiszolgálónak hozzá kell férnie a tanúsítványban meghatározott OCSP-végponthoz vagy CRL-címhez.
- Kifogástalan – A TLS-tanúsítvány nincs visszavonva.
- Figyelmeztetés – Nem lehet ellenőrizni, hogy visszavonták-e a TLS-tanúsítványt. Győződjön meg arról, hogy a tanúsítványban definiált végpontok elérhetők az Alagútkiszolgálóról.
- Nem kifogástalan – A TLS-tanúsítványt visszavonták.
Tervezze meg a visszavont TLS-tanúsítvány cseréjét.
Az Online Certificate Status Protocol (OCSP) szolgáltatással kapcsolatos további információkért lásd: Online tanúsítványállapot-protokoll a wikipedia.org.
Belső hálózati akadálymentesség – A belső URL-cím legutóbbi ellenőrzésének állapota. Az URL-címet egy alagúthely konfigurációjának részeként konfigurálhatja.
- Kifogástalan – A kiszolgáló hozzáférhet a webhely tulajdonságaiban megadott URL-címhez.
- Nem kifogástalan – A kiszolgáló nem fér hozzá a webhely tulajdonságaiban megadott URL-címhez.
- Ismeretlen – Ez az állapot akkor jelenik meg, ha nem állított be URL-címet a webhely tulajdonságai között. Ez az állapot nincs hatással a webhely általános állapotára.
Frissíthetőség – A kiszolgáló azon képessége, hogy kapcsolatba lépjen a Microsoft Tárolóadattárral, amely lehetővé teszi az Alagútátjáró frissítését a verziók elérhetővé válásakor.
- Kifogástalan – A kiszolgáló az elmúlt 5 percben nem lépett kapcsolatba a Microsoft Container Repository-ral.
- Nem megfelelő állapot – A kiszolgáló több mint 5 perce nem lépett kapcsolatba a Microsoft tárolóadattárával.
Kiszolgáló verziója – Az Alagútátjáró kiszolgáló szoftverének állapota a legújabb verzióhoz képest.
- Kifogástalan – Naprakész a legújabb szoftververzióval
- Figyelmeztetés – Egy verzió van hátra
- Nem megfelelő állapot – Két vagy több verzió van a háttérben, és nem támogatott
Ha a kiszolgáló verziója nem kifogástalan, tervezze meg a Microsoft Tunnel frissítéseinek telepítését.
Kiszolgálótároló – Meghatározza, hogy fut-e a Microsoft Tunnel-kiszolgálót üzemeltető tároló.
- Kifogástalan – A kiszolgálótároló állapota kifogástalan.
- Nem kifogástalan – A kiszolgálótároló állapota nem kifogástalan.
Kiszolgálókonfiguráció – Azt határozza meg, hogy a kiszolgáló konfigurációja sikeresen alkalmazva van-e az Alagútkiszolgálóra Microsoft Intune helybeállításokból.
- Kifogástalan – A kiszolgáló konfigurációjának alkalmazása sikerült.
- Nem kifogástalan – A kiszolgáló konfigurációja nem alkalmazható.
Kiszolgálónaplók – Meghatározza, hogy a naplók fel lettek-e töltve a kiszolgálóra az elmúlt 60 percben.
- Kifogástalan állapot – A kiszolgálónaplók feltöltése az elmúlt 60 percben megtörtént.
- Nem kifogástalan – A kiszolgálónaplók feltöltése az elmúlt 60 percben megtörtént.
Állapotküszöbök kezelése
Az alábbi Microsoft Tunnel állapotmetrikák testreszabásával módosíthatja az egyes használati küszöbértékeket az állapot jelentéséhez. A testreszabások bérlői szintűek, és minden alagút-kiszolgálóra érvényesek. A testre szabható állapot-ellenőrzési metrikák a következők:
- CPU-használat
- Memóriahasználat
- Lemezterület-használat
- Késleltetés
Metrikák küszöbértékének módosítása:
Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Bérlőfelügyelet>Microsoft Tunnel Gateway>állapota elemre.
Válassza a Küszöbértékek konfigurálása lehetőséget.
A Konfigurált küszöbértékek lapon állítson be új küszöbértékeket minden testre szabni kívánt állapot-ellenőrzési kategóriához.
- A küszöbértékek az összes helyen lévő összes kiszolgálóra vonatkoznak.
- A Visszaállítás alapértelmezettre lehetőséget választva visszaállíthatja az összes küszöbértéket az alapértelmezett értékekre.
Válassza a Mentés elemet.
Az Állapot panelen válassza a Frissítés lehetőséget az összes kiszolgáló állapotának a testre szabott küszöbértékek alapján történő frissítéséhez.
A küszöbértékek módosítása után a kiszolgálók Állapotellenőrzés lapján lévő értékek automatikusan frissülnek, hogy az aktuális küszöbértékek alapján tükrözzék az állapotát.
Az alagútkiszolgálók állapottrendjei
Az állapottrendek megtekintése a Microsoft Tunnel Gateway állapotmetrikáinak diagram formájában. A diagramok adatainak átlagolása háromórás blokkban történik, így akár három órát is késleltethet.
Az állapottrend-diagramok a következő metrikákhoz érhetők el:
- Connections
- CPU-használat
- Lemezterület-használat
- Memóriahasználat
- Átlagos késés
- Átmenő
Trenddiagramok megtekintése:
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Lépjen a Bérlőfelügyelet>Microsoft Tunnel Gateway>állapota>Kiszolgáló kiválasztása, majd a Trendek elemre.
A Metrika legördülő listában válassza ki a megtekinteni kívánt metrikadiagramot.
Az mst-cli parancssori eszköz használata
Az mst-cli parancssori eszközzel információkat kérhet le a Microsoft Tunnel-kiszolgálóról. Ezt a fájlt a Rendszer hozzáadja a Linux-kiszolgálóhoz a Microsoft Tunnel telepítésekor. Az eszköz helye: /usr/sbin/mst-cli.
További információt és parancssori példákat a Microsoft Tunnel mst-cli parancssori eszközében talál.
Microsoft Tunnel-naplók megtekintése
A Microsoft Tunnel syslog formátumban naplózza az adatokat a Linux-kiszolgáló naplóiba. A naplóbejegyzések megtekintéséhez használja a journalctl -t parancsot, amelyet egy vagy több, a Microsoft Tunnel bejegyzésére jellemző címke követ:
mstunnel-agent: Ügynöknaplók megjelenítése.
mstunnel_monitor: Figyelési feladatnaplók megjelenítése.
ocserv – Kiszolgálónaplók megjelenítése.
ocserv-access – Hozzáférési naplók megjelenítése.
Alapértelmezés szerint a hozzáférés naplózása le van tiltva. A hozzáférési naplók engedélyezése csökkentheti a teljesítményt a kiszolgálón található aktív kapcsolatok és használati minták számától függően. A DNS-kapcsolatok naplózása növeli a naplók részletességét, ami zajossá válhat.
Az Access-naplók formátuma például a következő:
<Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds>
- Feb 25 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10
Fontos
Az ocserv-accessben a deviceId érték azonosítja az eszközön futó Microsoft Defender egyedi telepítési példányát, és nem azonosítja sem az Intune-eszközazonosítót, sem az Microsoft Entra eszközazonosítót. Ha a Defendert eltávolítják, majd újratelepítik egy eszközön, létrejön a DeviceId* új példánya.
A hozzáférés naplózásának engedélyezése:
- set TRACE_SESSIONS=1 in /etc/mstunnel/env.sh
- TRACE_SESSIONS=2 beállítása a DNS-kapcsolatok naplózásának belefoglalására
- Futtassa a parancsot
mst-cli server restart
a kiszolgáló újraindításához.
Ha a hozzáférési naplók túl zajosak, kikapcsolhatja a DNS-kapcsolat naplózását a TRACE_SESSIONS=1 beállításával és a kiszolgáló újraindításával.
OCSERV_TELEMETRY – Az alagútkapcsolatok telemetriai adatainak megjelenítése.
A telemetriai naplók formátuma a következő: a bytes_in, bytes_out és időtartam értékeit csak kapcsolatbontási műveletekhez használják:
<operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration>
Például:- Okt 20 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3,3 169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102
Fontos
A OCSERV_TELEMETRYdeviceId értéke azonosítja az eszközön futó Microsoft Defender egyedi telepítési példányát, és nem azonosítja sem az Intune-eszközazonosítót, sem Microsoft Entra eszközazonosítót. Ha a Defendert eltávolítják, majd újratelepítik egy eszközön, létrejön a DeviceId* új példánya.
Parancssori példák a journalctl-hez:
- Ha csak az alagútkiszolgáló adatait szeretné megtekinteni, futtassa a parancsot
journalctl -t ocserv
. - A telemetriai napló megtekintéséhez futtassa a következőt:
journalctl -t ocserv | grep TELEMETRY
- Az összes naplóbeállítás adatainak megtekintéséhez futtassa a parancsot
journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor
. - Adja hozzá
-f
a parancshoz a naplófájl aktív és folyamatos nézetének megjelenítéséhez. Például a Microsoft Tunnel folyamatban lévő folyamatainak aktív figyeléséhez futtassa a parancsotjournalctl -t mstunnel_monitor -f
.
További lehetőségek a journalctl-hez:
journalctl -h
– A journalctl parancs súgójának megjelenítése.man journalctl
– További információk megjelenítése.man journalctl.conf
Információk megjelenítése a konfigurációról A journalctl-ről további információt a használt Linux-verzió dokumentációjában talál.
Alagútkiszolgálók diagnosztikai naplóinak egyszerű feltöltése
Diagnosztikai segítségként az Intune felügyeleti központjában egyetlen kattintással engedélyezheti, gyűjtheti és küldheti el a részletes naplókat az Alagútátjáró-kiszolgálóról közvetlenül a Microsoftnak. Ezek a részletes naplók akkor érhetők el közvetlenül a Microsoft számára, amikor a Microsofttal dolgozik az alagútkiszolgálóval kapcsolatos problémák azonosításán vagy megoldásán.
Támogatási incidens megnyitása előtt részletes naplókat gyűjthet és tölthet fel egy eseményből, vagy ha már dolgozik a Microsofttal egy alagútkiszolgáló-művelet vizsgálatán.
A funkció használatához:
Nyissa meg a Microsoft Intune Felügyeleti központot, lépjen a Bérlői felügyelet>Microsoft Tunnel Gateway> válasszon ki egy kiszolgálót>, majd válassza a Naplók lapot.
A Naplók lapon keresse meg a Részletes kiszolgálónaplók küldése szakaszt , és válassza a Naplók küldése lehetőséget.
Amikor a Naplók küldése alagútkiszolgálóhoz lehetőséget választja, a következő folyamat kezdődik:
- Az Intune először rögzíti az alagútkiszolgáló aktuális naplóit, és feltölti őket közvetlenül a Microsoftnak. Ezeket a naplókat a rendszer a kiszolgálók aktuális naplórészletességi szintjével gyűjti össze. Alapértelmezés szerint a kiszolgáló részletességi szintje nulla (0).
- Ezután az Intune négy (4) részletességi szintet tesz lehetővé az Alagútkiszolgáló naplóihoz. Ezt a részletességi szintet nyolc órán keresztül gyűjtjük össze.
- A részletes naplógyűjtés nyolc órája alatt a vizsgált problémát vagy műveletet reprodukálni kell a naplók részletes részleteinek rögzítéséhez.
- Nyolc óra elteltével az Intune összegyűjti a kiszolgálónaplók egy második készletét, amely tartalmazza a részletes adatokat, és feltölti őket a Microsoftnak. A feltöltés időpontjában az Intune alaphelyzetbe állítja az Alagútkiszolgáló naplóit is, hogy az alapértelmezett nulla részletességi szintet (0) használja. Ha korábban a kiszolgáló részletességi szintjét emelte, az Intune a részletesség nullára állítása után visszaállíthatja az egyéni részletességi szintet.
Az Intune által gyűjtött és feltöltött naplók mindegyike külön halmazként van azonosítva, és a következő részletek jelennek meg a felügyeleti központban a Naplók küldése gomb alatt:
- A naplógyűjtés kezdési és befejezési időpontja
- A feltöltés létrehozásakor
- A napló részletességi szintet állít be
- Incidensazonosító, amely az adott naplókészlet azonosítására használható
Miután rögzített egy problémát a részletes naplógyűjtés futtatásakor, megadhatja a naplókészlet incidensazonosítóját a Microsoft számára a vizsgálat elősegítése érdekében.
Tudnivalók a naplógyűjtésről
- Az Intune nem állítja le vagy indítja újra az Alagútkiszolgálót a részletes naplózás engedélyezéséhez vagy letiltásához.
- A nyolcórás részletes naplózási időszak nem hosszabbható meg vagy állítható le korán.
- A részletes naplózással kapcsolatos problémák rögzítéséhez szükség szerint használhatja a Naplók küldése folyamatot. A naplók részletességének növelése azonban megterheli az alagútkiszolgálót, ezért nem ajánlott normál konfigurációként.
- A részletes naplózás befejezése után a rendszer a korábban beállított részletességi szintektől függetlenül beállítja a nulla alapértelmezett részletességi szintjét az Alagútkiszolgáló naplóihoz.
- A következő naplók gyűjtése ezen a folyamaton keresztül történik:
- mstunnel-agent (ügynöknaplók)
- mstunnel_monitor (Tevékenységnaplók monitorozása)
- ocserv (kiszolgálónaplók)
A rendszer nem gyűjti és nem tölti fel az ocserv-access naplókat.
Ismert problémák
Az alábbiakban a Microsoft Tunnel ismert problémáit ismertetjük.
Kiszolgáló állapota
Az ügyfelek sikeresen használhatják az alagutat, ha a kiszolgáló állapota offline állapotúként jelenik meg
Probléma: Az Alagút állapota lapon a kiszolgáló állapotjelentései offline állapotot jeleznek, jelezve, hogy a kapcsolat megszakadt, annak ellenére, hogy a felhasználók elérhetik az alagútkiszolgálót, és csatlakozhatnak a szervezet erőforrásaihoz.
Megoldás: A probléma megoldásához újra kell telepítenie a Microsoft Tunnelt, amely újra regisztrálja az Alagútkiszolgáló-ügynököt az Intune-ban. A probléma elkerülése érdekében a kiadásuk után nem sokkal telepítse az Alagútügynök és -kiszolgáló frissítéseit. A kiszolgáló állapotának figyeléséhez használja az alagútkiszolgáló állapotmetrikáit a Microsoft Intune Felügyeleti központban.
A Podman esetében a "Hiba az ellenőrzés végrehajtásakor" üzenet jelenik meg a mstunnel_monitor naplóban
Probléma: A Podman nem tudja azonosítani vagy megtekinteni az aktív tárolók futását, és "Hiba történt az ellenőrzés végrehajtásakor" hibát jelent az alagútkiszolgáló mstunnel_monitor naplójában . Az alábbiakban példákat láthat a hibákra:
Ügynök:
Error executing Checkup Error details \tscript: 561 /usr/sbin/mst-cli \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger) \tstack: \t\t<> Checkup /usr/sbin/mst-cli Message: NA \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
Szerver:
Error executing Checkup Error details \tscript: 649 /usr/sbin/mst-cli \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger) \tstack: \t\t<> Checkup /usr/sbin/mst-cli Message: NA \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
Megoldás: A probléma megoldásához indítsa újra manuálisan a Podman-tárolókat. A Podmannek ezután képesnek kell lennie azonosítani a tárolókat. Ha a probléma továbbra is fennáll vagy visszatér, érdemes lehet cron használatával létrehozni egy olyan feladatot, amely automatikusan újraindítja a tárolókat, amikor ez a probléma jelentkezik.
A Podmanben System.DateTime hibák jelennek meg az mstunnel-agent naplójában
Probléma: A Podman használatakor az mstunnel-agent napló az alábbi bejegyzésekhez hasonló hibákat tartalmazhat:
Failed to parse version-info.json for version information.
System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime
Ez a probléma a Podman és az Alagútügynök közötti formázási dátumok eltérése miatt fordul elő. Ezek a hibák nem jeleznek végzetes problémát, és nem akadályozzák meg a kapcsolatot. A 2022 októbere után kiadott tárolókkal kezdődően a formázási problémákat meg kell oldani.
Megoldás: A problémák megoldásához frissítse az ügynöktárolót (Podman vagy Docker) a legújabb verzióra. A hibák új forrásainak felderítését követően a következő verziófrissítésekben továbbra is kijavítjuk őket.
Csatlakozás az alagúthoz
Az eszközök nem csatlakoznak az alagútkiszolgálóhoz
Probléma: Az eszközök nem csatlakoznak a kiszolgálóhoz, és az Alagútkiszolgáló ocserv naplófájlja az alábbi bejegyzéshez hasonló bejegyzést tartalmaz: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted
Az alagútnaplók megtekintésével kapcsolatos útmutatásért tekintse meg a jelen cikk Microsoft-alagútnaplók megtekintése című szakaszát.
Megoldás: Indítsa újra a kiszolgálót a linuxos mst-cli server restart
kiszolgáló újraindítása után.
Ha a probléma továbbra is fennáll, fontolja meg az újraindítási parancs automatizálását a cron scheduling segédprogrammal. Lásd : A cron használata Linuxon a opensource.com.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: