Мониторинг Microsoft Tunnel
После установки Microsoft Tunnel можно просмотреть конфигурацию сервера и работоспособность сервера в Центре администрирования Microsoft Intune.
Использование пользовательского интерфейса Центра администрирования
Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Состояниеработоспособностишлюза Microsoft Tunnel для>администрирования> клиентов.
Затем выберите сервер, а затем откройте вкладку Работоспособности проверка, чтобы просмотреть метрики состояния работоспособности серверов. По умолчанию каждая метрика использует стандартные пороговые значения, которые определяют состояние. Следующие метрики поддерживают настройку этих порогов:
- Использование процессора
- Использование памяти
- Использование дискового пространства
- Задержка
Значения по умолчанию для метрик работоспособности сервера:
Последняя синхронизация — время последнего обращения сервера шлюза Tunnel к Intune.
- Работоспособно — означает, что последняя синхронизация выполнялась не более пяти минут назад.
- Неработоспособно . Последний проверка вход был более пяти минут назад.
Текущие соединения — количество уникальных подключений, которые были активны в момент последней синхронизации сервера.
- Работоспособно — было не более 4990 подключений.
- Неработоспособно — было более 4990 подключений.
Пропускная способность — скорость передачи трафика (мегабит в секунду) через сетевой интерфейс шлюза Tunnel при последней синхронизации сервера.
Использование ЦП — средняя нагрузка на ЦП сервера шлюза Tunnel с разбивкой по пять минут.
- Работоспособно — не более 95 %.
- Предупреждение — от 96 % до 99 %.
- Неработоспособно — нагрузка 100 %.
Ядра ЦП — количество ядер ЦП, доступных на этом сервере.
- Работоспособное — 4 или более ядер
- Предупреждение : 1, 2 или 3 ядра
- Неработоспособно -0 ядер
Использование памяти — средний объем потребления памяти сервером шлюза Tunnel с разбивкой по пять минут.
- Работоспособно — не более 95 %.
- Предупреждение — от 96 % до 99 %.
- Неработоспособно — нагрузка 100 %.
Использование дискового пространства — объем дискового пространства, который использует сервер шлюза туннеля.
- Работоспособный — более 5 ГБ
- Предупреждение — 3–5 ГБ
- Неработоспособно — менее 3 ГБ
Задержка — среднее количество времени, которое требуется на поступление, обработку и отправку IP-пакетов в сетевом интерфейсе.
- Работоспособно — не более 10 миллисекунд.
- Предупреждение — от 10 до 20 миллисекунд.
- Неработоспособно — более 20 миллисекунд.
Сертификат агента управления. Сертификат агента управления используется шлюзом Tunnel для проверки подлинности с помощью Intune поэтому важно продлить его до истечения срока действия. Однако он должен автоматически обновляться.
- Работоспособно . Срок действия сертификата истекает более чем через 30 дней.
- Предупреждение . Срок действия сертификата не превышает 30 дней.
- Неработоспособно — срок действия сертификата истек.
Сертификат TLS — количество дней, в течение которых истекает срок действия сертификата TLS, который защищает трафик между клиентами и сервером шлюза туннеля.
- Работоспособно — более 30 дней.
- Предупреждение — 30 дней или менее.
- Неработоспособно — срок действия сертификата истек.
Отзыв сертификата TLS. Шлюз туннеля пытается проверка состояние отзыва сертификата TLS с помощью протокола OCSP или адреса списка отзыва сертификатов (CRL), определенного в сертификате TLS. Для этого проверка сервер должен иметь доступ к конечной точке OCSP или адресу списка отзыва сертификатов, как определено в сертификате.
- Работоспособно — сертификат TLS не отозван.
- Предупреждение. Не удается проверка, если сертификат TLS отозван. Убедитесь, что конечные точки, определенные в сертификате, доступны с сервера Tunnel.
- Неработоспособно — сертификат TLS отозван.
Запланируйте замену отозванного сертификата TLS.
Дополнительные сведения о протоколе состояния сертификатов в сети (OCSP) см. в статье Online Certificate Status Protocol на wikipedia.org.
Доступность внутренней сети — состояние по результатам последней проверки внутреннего URL-адреса. URL-адрес настраивается в рамках конфигурации сайта Tunnel.
- Работоспособно — сервер может получить доступ к URL-адресу, указанному в свойствах сайта.
- Неработоспособно — сервер не может получить доступ к URL-адресу, указанному в свойствах сайта.
- Неизвестно — это состояние отображается, если URL-адрес не задан в свойствах сайта. Это состояние не влияет на общее состояние сайта.
Возможность обновления — возможность сервера связаться с репозиторием контейнеров Майкрософт, что позволяет шлюзу Туннеля обновляться, когда версии становятся доступными.
- Работоспособно . Сервер не связался с репозиторием контейнеров Майкрософт в течение последних 5 минут.
- Неработоспособно . Сервер не связался с репозиторием контейнеров Майкрософт более 5 минут.
Версия сервера — состояние программного обеспечения сервера шлюза Tunnel относительно самой последней версии.
- Работоспособно — используется самая последняя версия программного обеспечения.
- Предупреждение — используется предыдущая версия.
- Неработоспособно — используется позапрошлая версия и еще более ранняя, которые не поддерживаются.
Если версия серверанеработоспособна, запланируйте установку обновлений для Microsoft Tunnel.
Контейнер сервера — определяет, запущен ли контейнер, на котором размещен сервер Microsoft Tunnel.
- Работоспособно — состояние контейнера сервера работоспособно.
- Неработоспособно — состояние контейнера сервера неработоспособно.
Конфигурация сервера — определяет, успешно ли применена конфигурация сервера к серверу tunnel из Microsoft Intune параметров сайта.
- Работоспособно — конфигурация сервера успешно применена.
- Неработоспособно — не удалось применить конфигурацию сервера.
Журналы сервера — определяет, были ли журналы отправлены на сервер в течение последних 60 минут.
- Работоспособно . Журналы сервера были отправлены в течение последних 60 минут.
- Неработоспособно . Журналы сервера не были отправлены за последние 60 минут.
Управление пороговыми значениями состояния работоспособности
Можно настроить следующие метрики состояния работоспособности Microsoft Tunnel, чтобы изменить пороговые значения, которые будут использоваться для сообщения о состоянии. Настройки применяются ко всем клиентам и всем серверам Tunnel. Ниже перечислены метрики проверки работоспособности, которые можно настроить.
- Использование процессора
- Использование памяти
- Использование дискового пространства
- Задержка
Порядок изменения порогового значения метрики:
Войдите в Центр администрирования Microsoft Intune и перейдитев раздел Состояние >работоспособностишлюза Microsoft Tunnel.>
Выберите Настроить пороговые значения.
На странице Настроенные пороговые значения задайте новые пороговые значения для каждой категории работоспособности проверка, которую требуется настроить.
- Пороговые значения применяются ко всем серверам на всех сайтах.
- Выберите Вернуть значения по умолчанию, чтобы восстановить все пороговые значения по умолчанию.
Нажмите Сохранить.
В области "Состояние работоспособности" нажмите Обновить, чтобы обновить сведения о состоянии всех серверов на основе настроенных пороговых значений.
После изменения пороговых значений данные на вкладкеПроверка работоспособности автоматически обновляются в соответствии с текущими пороговыми значениями.
Тренды состояния работоспособности серверов Tunnel
Просмотреть тренды состояния работоспособности для метрик работоспособности шлюзов Microsoft Tunnel можно в виде диаграммы. Данные для диаграмм усредняются за каждые три часа, поэтому их можно задержать до трех часов.
Диаграммы трендов состояния работоспособности доступны для следующих метрик:
- Connections
- Использование процессора
- Использование дискового пространства
- Использование памяти
- Средняя задержка
- Пропускная способность
Порядок просмотра диаграмм трендов
Войдите в Центр администрирования Microsoft Intune.
Выберите Администрирование клиента>Шлюз Microsoft Tunnel>Состояние работоспособности>выберите сервер, а затем выберите Тренды.
В раскрывающемся меню Метрика выберите требуемую диаграмму метрики.
Использование средства командной строки mst-cli
Используйте средство командной строки mst-cli, чтобы получить сведения о сервере Microsoft Tunnel. Этот файл добавляется на сервер Linux при установке Microsoft Tunnel. Это средство находится по адресу: /usr/sbin/mst-cli.
Дополнительные сведения и примеры командной строки см. в разделе Средство командной строки mst-cli для Microsoft Tunnel.
Просмотр журналов Microsoft Tunnel
Microsoft Tunnel регистрирует данные в журналах сервера Linux в формате syslog. Записи журнала можно просмотреть с помощью команды journalctl -t, сопровождаемой одним или несколькими тегами, которые относятся к записям Microsoft Tunnel:
mstunnel-agent — отображение журналов агента;
mstunnel_monitor — отображение журналов задач мониторинга.
ocserv — отображение журналов сервера.
ocserv-access — отображение журналов доступа.
По умолчанию ведение журнала доступа отключено. Активирование журналов доступа может снизить производительность в зависимости от количества активных подключений и шаблонов использования на сервере. Ведение журнала DNS-подключений увеличивает детализацию журналов, которые могут стать зашумленными.
Журналы доступа имеют следующий формат:
<Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds>
Например:- 25 февраля 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10
Важно!
В ocserv-access значение deviceId определяет уникальный экземпляр установки Microsoft Defender, который выполняется на устройстве, и не определяет идентификатор устройства Intune или идентификатор Microsoft Entra устройства. Если Defender удален, а затем переустановлен на устройстве, создается новый экземпляр для DeviceId*.
Чтобы включить ведение журнала доступа:
- Задать TRACE_SESSIONS=1 в /etc/mstunnel/env.sh
- Задать TRACE_SESSIONS=2, чтобы включить ведение журнала DNS-подключений
- Выполните
mst-cli server restart
, чтобы перезапустить сервер.
Если журналы доступа слишком шумные, отключите ведение журнала DNS-подключений, задав TRACE_SESSIONS=1 и перезапустив сервер.
OCSERV_TELEMETRY — отображение сведений телеметрии для подключений к Tunnel.
Журналы телеметрии имеют следующий формат, при этом значения для bytes_in, bytes_out и длительности используются только для операций отключения:
<operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration>
например:- Октябрь 20 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3,169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102
Важно!
В OCSERV_TELEMETRY значение deviceId определяет уникальный экземпляр установки Microsoft Defender, который выполняется на устройстве, и не определяет идентификатор устройства Intune или идентификатор Microsoft Entra устройства. Если Defender удален, а затем переустановлен на устройстве, создается новый экземпляр для DeviceId*.
Примеры командной строки для journalctl:
- Чтобы просмотреть сведения только для туннельного сервера, выполните команду
journalctl -t ocserv
. - Чтобы просмотреть журнал телеметрии, выполните команду
journalctl -t ocserv | grep TELEMETRY
- Чтобы просмотреть все журналы, выполните команду
journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor
. - Добавьте
-f
в команду, чтобы отобразить активное и непрерывное представление файла журнала. Например, для мониторинга текущих процессов Microsoft Tunnel выполните командуjournalctl -t mstunnel_monitor -f
.
Дополнительные параметры для journalctl:
-
journalctl -h
— вывод справки по команде journalctl; -
man journalctl
— вывод дополнительных сведений; -
man journalctl.conf
— вывод сведений о конфигурации. Дополнительные сведения о команде journalctl см. в документации к используемой вами версии Linux.
Простая отправка журналов диагностики для серверов Tunnel
В качестве диагностического средства можно одним щелчком мыши в Центре администрирования Intune, чтобы Intune включить, собирать и отправлять подробные журналы с сервера шлюза tunnel непосредственно в корпорацию Майкрософт. Эти подробные журналы затем будут доступны непосредственно корпорации Майкрософт, когда вы работаете с корпорацией Майкрософт для выявления или устранения проблем с сервером Tunnel.
Вы можете собирать и отправлять подробные журналы из события перед открытием инцидента в службе поддержки или по запросу, если вы уже работаете с корпорацией Майкрософт для изучения операций серверов Туннелирования.
Чтобы использовать эту возможность, выполните следующие действия:
Откройте Центр администрирования Microsoft Intuneперейдите в раздел Администрирование> клиентовMicrosoft Tunnel Gateway> выберите сервер>, а затем перейдите на вкладку Журналы.
На вкладке Журналы найдите раздел Отправка подробных журналов сервера и выберите Отправить журналы.
При выборе параметра Отправить журналы для сервера tunnel начинается следующий процесс:
- Во-первых, Intune записывает текущий набор журналов сервера Tunnel и передает их непосредственно в корпорацию Майкрософт. Эти журналы собираются с использованием текущего уровня детализации журналов серверов. По умолчанию уровень детализации сервера равен нулю (0).
- Затем Intune включает уровень детализации в четыре (4) для журналов сервера Tunnel. Этот уровень детализации собирается в течение восьми часов.
- В течение восьми часов подробного сбора журналов необходимо воспроизвести исследуемую проблему или операцию, чтобы захватить подробные сведения в журналах.
- Через восемь часов Intune собирает второй набор журналов сервера, включающих подробные сведения, и отправляет их в корпорацию Майкрософт. Во время отправки Intune также сбрасывает журналы сервера Tunnel, чтобы использовать уровень детализации по умолчанию нулевой (0). Если вы ранее повысили уровень детализации сервера, после того, как Intune сбросит уровень детализации до нуля, вы можете восстановить пользовательский уровень детализации.
Каждый набор журналов, который Intune собирает и отправляет, определяется как отдельный набор со следующими сведениями, отображаемыми в Центре администрирования под кнопкой Отправить журналы:
- Время начала и окончания сбора журналов
- При создании отправки
- Журнал задает уровень детализации
- Идентификатор инцидента, который можно использовать для идентификации этого конкретного набора журналов.
После записи проблемы при выполнении подробного сбора журналов вы можете указать идентификатор инцидента этого набора журналов корпорации Майкрософт, чтобы помочь в расследовании.
Сведения о сборе журналов
- Intune не останавливает и не перезапускает сервер туннелей, чтобы включить или отключить подробное ведение журнала.
- Восьмичасовой период подробного ведения журнала не может быть продлен или остановлен раньше.
- Вы можете использовать процесс отправки журналов так часто, как это необходимо, чтобы зафиксировать проблему с подробным ведением журнала. Однако повышенная детализация журналов повышает нагрузку на туннельный сервер и не рекомендуется использовать в качестве обычной конфигурации.
- После завершения подробного ведения журнала для журналов сервера Tunnel устанавливается нулевой уровень детализации по умолчанию, независимо от заданных ранее уровней детализации.
- В этом процессе собираются следующие журналы:
- mstunnel-agent (журналы агента)
- mstunnel_monitor (журналы задач мониторинга)
- ocserv (журналы сервера)
Журналы ocserv-access не собираются и не передаются.
Известные проблемы
Ниже приведены известные проблемы с Microsoft Tunnel.
Работоспособность сервера
Клиенты могут успешно использовать туннель, если состояние работоспособности сервера отображается как автономный
Проблема. На вкладке Состояние работоспособности туннеля состояние работоспособности сервера сообщается как автономное, указывая, что он отключен, даже если пользователи могут связаться с сервером туннеля и подключиться к ресурсам организации.
Решение. Чтобы устранить эту проблему, необходимо переустановить Microsoft Tunnel, который повторно регистрирует агент сервера Tunnel с Intune. Чтобы избежать этой проблемы, установите обновления для агента Tunnel и сервера вскоре после их выпуска. Используйте метрики работоспособности сервера Tunnel в Центре администрирования Microsoft Intune для мониторинга работоспособности сервера.
При использовании Podman в журнале mstunnel_monitor отображается сообщение "Ошибка при выполнении проверки".
Проблема. Podman не может определить или увидеть, какие активные контейнеры запущены, и сообщает об ошибке при выполнении проверки в журнале mstunnel_monitor сервера Tunnel. Ниже приведены примеры ошибок.
Агент:
Error executing Checkup Error details \tscript: 561 /usr/sbin/mst-cli \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger) \tstack: \t\t<> Checkup /usr/sbin/mst-cli Message: NA \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
Сервер:
Error executing Checkup Error details \tscript: 649 /usr/sbin/mst-cli \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger) \tstack: \t\t<> Checkup /usr/sbin/mst-cli Message: NA \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
Решение. Чтобы устранить эту проблему, вручную перезапустите контейнеры Podman. Затем Podman должен идентифицировать контейнеры. Если проблема сохраняется или возвращается, рекомендуется использовать cron для создания задания, которое автоматически перезапускает контейнеры при возникновении этой проблемы.
При использовании Podman в журнале mstunnel-agent отображаются ошибки System.DateTime.
Проблема. При использовании Podman журнал агента mstunnel может содержать ошибки, аналогичные следующим записям:
Failed to parse version-info.json for version information.
System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime
Эта проблема возникает из-за различий в форматировании дат между Podman и агентом tunnel. Эти ошибки не указывают на неустранимую проблему или не препятствуют подключению. Начиная с контейнеров, выпущенных после октября 2022 г., необходимо устранить проблемы с форматированием.
Решение. Чтобы устранить эти проблемы, обновите контейнер агента (Podman или Docker) до последней версии. По мере обнаружения новых источников этих ошибок мы будем продолжать исправлять их в последующих обновлениях версий.
Подключение к туннелю
Устройства не могут подключиться к серверу Tunnel
Проблема. Устройства не могут подключиться к серверу, и файл журнала ocserv сервера Tunnel содержит запись, аналогичную следующей записи: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted
Инструкции по просмотру журналов Tunnel см. в разделе Просмотр журналов Microsoft Tunnel в этой статье.
Решение. Перезапустите сервер после mst-cli server restart
перезагрузки сервера Linux.
Если эта проблема сохраняется, рассмотрите возможность автоматизации команды перезапуска с помощью служебной программы планирования cron. См. раздел Как использовать cron в Linux на сайте opensource.com.