Troubleshoot Azure VPN Gateway using diagnostic logs
Ez a cikk segít megérteni a VPN Gateway-diagnosztikához elérhető különböző naplókat, és azt, hogyan használhatja őket a VPN-átjáróval kapcsolatos problémák hatékony elhárításához.
Ha az Azure-beli probléma nem jelenik meg ebben a cikkben, látogasson el a Microsoft Q &A és a Stack Overflow Azure-fórumaira. Közzéteheti a problémát ezeken a fórumokon, vagy közzéteheti @AzureSupport a Twitteren. Azure-támogatás kérést is elküldhet. Támogatási kérelem elküldéséhez a Azure-támogatás lapon válassza a Támogatás kérése lehetőséget.
A következő naplók* érhetők el* az Azure-ban:
Név | Ismertetés |
---|---|
GatewayDiagnosticLog | Diagnosztikai naplókat tartalmaz az átjárókonfigurációs eseményekhez, az elsődleges módosításokhoz és a karbantartási eseményekhez. |
TunnelDiagnosticLog | Alagútállapot-változási eseményeket tartalmaz. Az alagútcsatlakozási/leválasztási eseményeknek adott esetben összesített oka van az állapotváltozásnak. |
RouteDiagnosticLog | Naplózza az átjárón előforduló statikus útvonalak és BGP-események változásait. |
IKEDiagnosticLog | Naplózza az IKE-vezérlő üzeneteket és eseményeket az átjárón. |
P2SDiagnosticLog | Naplózza a pont–hely vezérlő üzeneteket és eseményeket az átjárón. |
*Szabályzatalapú átjárók esetén csak a GatewayDiagnosticLog és a RouteDiagnosticLog érhető el.
Figyelje meg, hogy ezekben a táblákban több oszlop is elérhető. Ebben a cikkben csak a legfontosabbakat mutatjuk be a könnyebb naplóhasználat érdekében.
Naplózás beállítása
Ezt az eljárást követve megtudhatja, hogyan állíthat be diagnosztikai naplóeseményeket az Azure VPN Gatewayről az Azure Log Analytics használatával:
Hozzon létre egy Log Analytics-munkaterületet ezzel a cikkel.
Keresse meg a VPN-átjárót a Monitor > diagnostics settings panelen.
- Válassza ki az átjárót, és kattintson a "Diagnosztikai beállítás hozzáadása" elemre.
- Adja meg a diagnosztikai beállítás nevét, jelölje ki az összes naplókategóriát, és válassza ki a Log Analytics-munkaterületet.
Megjegyzés:
Az adatok kezdeti megjelenítése eltarthat néhány óráig.
GatewayDiagnosticLog
A konfigurációmódosítások naplózása a GatewayDiagnosticLog táblában van. Eltarthat néhány percig, amíg a végrehajtott módosítások megjelennek a naplókban.
Itt hivatkozásként egy minta lekérdezést talál.
AzureDiagnostics
| where Category == "GatewayDiagnosticLog"
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup
| sort by TimeGenerated asc
A GatewayDiagnosticLog lekérdezése több oszlopot jelenít meg.
Név | Ismertetés |
---|---|
TimeGenerated | az egyes események időbélyege UTC időzónában. |
OperationName | a történt eseményt. Ez lehet a SetGatewayConfiguration, Set Csatlakozás ionConfiguration, HostMaintenanceEvent, GatewayTenantPrimaryChanged, MigrateCustomerSubscription, GatewayResourceMove, ValidateGatewayConfiguration. |
Üzenet | a művelet végrehajtásának részleteit, és felsorolja a sikeres/sikertelen eredményeket. |
Az alábbi példa egy új konfiguráció alkalmazásakor naplózott tevékenységet mutatja be:
Figyelje meg, hogy a SetGatewayConfiguration minden alkalommal naplózva lesz, amikor egy konfigurációt módosít egy VPN-átjárón vagy egy helyi hálózati átjárón. A GatewayDiagnosticLog tábla eredményeinek és a TunnelDiagnosticLog tábla eredményeinek kereszthivatkozásával megállapíthatjuk, hogy az alagút csatlakozási hibája a konfiguráció módosításával vagy karbantartással egy időben kezdődött-e. Ha igen, van egy nagy mutató felé a lehetséges kiváltó ok.
TunnelDiagnosticLog
A TunnelDiagnosticLog tábla nagyon hasznos az alagút korábbi kapcsolati állapotainak vizsgálatához.
Itt hivatkozásként egy minta lekérdezést talál.
AzureDiagnostics
| where Category == "TunnelDiagnosticLog"
//| where remoteIP_s == "<REMOTE IP OF TUNNEL>"
| project TimeGenerated, OperationName, remoteIP_s, instance_s, Resource, ResourceGroup
| sort by TimeGenerated asc
A TunnelDiagnosticLog lekérdezése több oszlopot jelenít meg.
Név | Ismertetés |
---|---|
TimeGenerated | az egyes események időbélyege UTC időzónában. |
OperationName | a történt eseményt. Lehet alagút Csatlakozás vagy TunnelDisconnected. |
remoteIP_s | a helyszíni VPN-eszköz IP-címe. Valós helyzetekben hasznos, ha a releváns helyszíni eszköz IP-címe alapján szűrünk, ha több is van. |
Instance_s | az eseményt aktiváló átjárószerepkör-példány. Lehet GatewayTenantWorker_IN_0 vagy GatewayTenantWorker_IN_1, amelyek az átjáró két példányának nevei. |
Erőforrás | A VPN-átjáró nevét jelzi. |
ResourceGroup | azt az erőforráscsoportot jelzi, ahol az átjáró található. |
Example output:
A TunnelDiagnosticLog nagyon hasznos a vpn váratlan megszakadásával kapcsolatos múltbeli események hibaelhárításához. Könnyű jellege lehetővé teszi a nagy időtartományok elemzését több napon keresztül, kevés erőfeszítéssel. Csak miután azonosította a leválasztás időbélyegét, átválthat az IKEdiagnosticLog tábla részletesebb elemzésére, hogy mélyebben megismerje a leválasztások érvelését, amennyiben azok IPsec-hez kapcsolódnak.
Néhány hibaelhárítási tipp:
- Ha leválasztási eseményt lát egy átjárópéldányon, majd néhány másodpercen belül egy kapcsolati eseményt a másik átjárópéldányon, akkor egy átjáró feladatátvételét látja. Ez általában egy átjárópéldány karbantartása miatt várható viselkedés. Erről a viselkedésről további információt az Azure VPN Gateway redundanciáról szóló cikkben talál.
- Ugyanez a viselkedés figyelhető meg, ha szándékosan futtat átjáró-visszaállítást az Azure-oldalon , ami az aktív átjárópéldány újraindítását okozza. Erről a viselkedésről további információt a VPN Gateway alaphelyzetbe állítása című témakörben talál.
- Ha leválasztási eseményt lát egy átjárópéldányon, majd néhány másodpercen belül egy kapcsolati eseményt ugyanazon az átjárópéldányon, előfordulhat, hogy egy hálózati hiba okozza a DPD időtúllépését, vagy a helyszíni eszköz által tévesen küldött leválasztást.
RouteDiagnosticLog
A RouteDiagnosticLog tábla a BGP-n keresztül fogadott statikusan módosított útvonalak vagy útvonalak tevékenységét nyomon követheti.
Itt hivatkozásként egy minta lekérdezést talál.
AzureDiagnostics
| where Category == "RouteDiagnosticLog"
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup
A RouteDiagnosticLog lekérdezése több oszlopot jelenít meg.
Név | Ismertetés |
---|---|
TimeGenerated | az egyes események időbélyege UTC időzónában. |
OperationName | a történt eseményt. Lehet staticRouteUpdate, BgpRouteUpdate, Bgp Csatlakozás edEvent, BgpDisconnectedEvent. |
Üzenet | a művelet részletei. |
A kimenet hasznos információkat jelenít meg a csatlakoztatott/leválasztott BGP-társokkal és az útvonalak cseréjével kapcsolatban.
Példa:
IKEDiagnosticLog
Az IKEDiagnosticLog tábla részletes hibakeresési naplózást kínál az IKE/IPsec számára. Ez nagyon hasznos a leválasztások hibaelhárítása vagy a VPN-forgatókönyvek csatlakoztatásának sikertelensége esetén.
Itt hivatkozásként egy minta lekérdezést talál.
AzureDiagnostics
| where Category == "IKEDiagnosticLog"
| extend Message1=Message
| parse Message with * "Remote " RemoteIP ":" * "500: Local " LocalIP ":" * "500: " Message2
| extend Event = iif(Message has "SESSION_ID",Message2,Message1)
| project TimeGenerated, RemoteIP, LocalIP, Event, Level
| sort by TimeGenerated asc
Az IKEDiagnosticLog lekérdezése több oszlopot jelenít meg.
Név | Ismertetés |
---|---|
TimeGenerated | az egyes események időbélyege UTC időzónában. |
RemoteIP | a helyszíni VPN-eszköz IP-címe. Valós helyzetekben hasznos, ha a releváns helyszíni eszköz IP-címe alapján szűrünk, ha több is van. |
LocalIP | a hibaelhárítás alatt álló VPN Gateway IP-címe. Valós helyzetekben hasznos, ha az adott VPN-átjáró IP-címe alapján szűr, ha az előfizetésben egynél több van. |
Esemény | a hibaelhárításhoz hasznos diagnosztikai üzenetet tartalmaz. Általában egy kulcsszóval kezdődnek, és az Azure Gateway által végrehajtott műveletekre hivatkoznak: a [Standard kiadás ND] az Azure Gateway által küldött IPSec-csomag által okozott eseményt jelzi. [FOGADVA] eseményt jelez a helyszíni eszközről kapott csomag miatt. [HELYI] Az Azure Gateway által helyileg végrehajtott műveletet jelzi. |
Figyelje meg, hogy a RemoteIP, a LocalIP és az Event oszlopok nem szerepelnek az AzureDiagnostics-adatbázis eredeti oszloplistájában, de az elemzés egyszerűsítése érdekében az "Üzenet" oszlop kimenetének elemzésével hozzáadódik a lekérdezéshez.
Hibaelhárítási tippek:
Az IPSec-egyeztetés megkezdésének azonosításához meg kell keresnie a kezdeti SA_INIT üzenetet. Az ilyen üzenetet az alagút mindkét oldalán el lehet küldeni. Aki az első csomagot küldi, az IPsec terminológiájában "kezdeményezőnek" nevezik, míg a másik oldal a "válaszadó". Az első SA_INIT üzenet mindig az, ahol rCookie = 0.
Ha az IPsec-alagút létrehozása sikertelen, az Azure néhány másodpercenként újra próbálkozik. Ezért az IKEdiagnosticLog esetében nagyon kényelmes a "VPN leállása" problémák elhárítása, mert nem kell várnia egy adott időre a probléma reprodukálásához. Emellett a hiba elméletileg mindig ugyanaz lesz minden alkalommal, amikor megpróbáljuk, így bármikor csak nagyíthat egy "minta" sikertelen tárgyalásra.
A SA_INIT tartalmazza azokat az IPSec-paramétereket, amelyeket a társ használni szeretne ehhez az IPsec-egyeztetéshez. A hivatalos dokumentum
Az alapértelmezett IPsec/IKE-paraméterek az Azure Gateway által támogatott IPsec-paramétereket sorolják fel alapértelmezett beállításokkal.
P2SDiagnosticLog
A VPN-diagnosztika utolsó elérhető táblázata a P2SDiagnosticLog. Ez a táblázat a pont–hely (csak IKEv2- és OpenVPN-protokollok) tevékenységeit követi nyomon.
Itt hivatkozásként egy minta lekérdezést talál.
AzureDiagnostics
| where Category == "P2SDiagnosticLog"
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup
A P2SDiagnosticLog lekérdezése több oszlopot jelenít meg.
Név | Ismertetés |
---|---|
TimeGenerated | az egyes események időbélyege UTC időzónában. |
OperationName | a történt eseményt. P2SLogEvent lesz. |
Üzenet | a művelet részletei. |
A kimenet megjeleníti az átjáró által alkalmazott pont–hely beállításokat, valamint a érvényben lévő IPsec-szabályzatokat.
Továbbá, amikor egy ügyfél IKEv2 vagy OpenVPN pont–hely kapcsolaton keresztül csatlakozik, a tábla naplózza a csomagtevékenységet, az EAP-/RADIUS-beszélgetéseket és a felhasználó által elért sikeres/sikertelen eredményeket.
Következő lépések
Az alagúterőforrás-naplók riasztásainak konfigurálásához tekintse meg a VPN Gateway-erőforrásnaplók riasztásainak beállítását.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: