Megosztás a következőn keresztül:

Troubleshoot Azure VPN Gateway using diagnostic logs

  • Cikk

Ez a cikk segít megérteni a VPN Gateway-diagnosztikához elérhető különböző naplókat, és azt, hogyan használhatja őket a VPN-átjáróval kapcsolatos problémák hatékony elhárításához.

Ha az Azure-beli probléma nem jelenik meg ebben a cikkben, látogasson el a Microsoft Q &A és a Stack Overflow Azure-fórumaira. Közzéteheti a problémát ezeken a fórumokon, vagy közzéteheti @AzureSupport a Twitteren. Azure-támogatás kérést is elküldhet. Támogatási kérelem elküldéséhez a Azure-támogatás lapon válassza a Támogatás kérése lehetőséget.

A következő naplók* érhetők el* az Azure-ban:

Név Ismertetés
GatewayDiagnosticLog Diagnosztikai naplókat tartalmaz az átjárókonfigurációs eseményekhez, az elsődleges módosításokhoz és a karbantartási eseményekhez.
TunnelDiagnosticLog Alagútállapot-változási eseményeket tartalmaz. Az alagútcsatlakozási/leválasztási eseményeknek adott esetben összesített oka van az állapotváltozásnak.
RouteDiagnosticLog Naplózza az átjárón előforduló statikus útvonalak és BGP-események változásait.
IKEDiagnosticLog Naplózza az IKE-vezérlő üzeneteket és eseményeket az átjárón.
P2SDiagnosticLog Naplózza a pont–hely vezérlő üzeneteket és eseményeket az átjárón.

*Szabályzatalapú átjárók esetén csak a GatewayDiagnosticLog és a RouteDiagnosticLog érhető el.

Figyelje meg, hogy ezekben a táblákban több oszlop is elérhető. Ebben a cikkben csak a legfontosabbakat mutatjuk be a könnyebb naplóhasználat érdekében.

Naplózás beállítása

Ezt az eljárást követve megtudhatja, hogyan állíthat be diagnosztikai naplóeseményeket az Azure VPN Gatewayről az Azure Log Analytics használatával:

  1. Hozzon létre egy Log Analytics-munkaterületet ezzel a cikkel.

  2. Keresse meg a VPN-átjárót a Monitor > diagnostics settings panelen.

Screenshot of the Diagnostic settings blade.

  1. Válassza ki az átjárót, és kattintson a "Diagnosztikai beállítás hozzáadása" elemre.

Screenshot of the Add diagnostic setting interface.

  1. Adja meg a diagnosztikai beállítás nevét, jelölje ki az összes naplókategóriát, és válassza ki a Log Analytics-munkaterületet.

Detailed screenshot of the Add diagnostic setting properties.

Megjegyzés:

Az adatok kezdeti megjelenítése eltarthat néhány óráig.

GatewayDiagnosticLog

A konfigurációmódosítások naplózása a GatewayDiagnosticLog táblában van. Eltarthat néhány percig, amíg a végrehajtott módosítások megjelennek a naplókban.

Itt hivatkozásként egy minta lekérdezést talál.

AzureDiagnostics  
| where Category == "GatewayDiagnosticLog"  
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup  
| sort by TimeGenerated asc

A GatewayDiagnosticLog lekérdezése több oszlopot jelenít meg.

Név Ismertetés
TimeGenerated az egyes események időbélyege UTC időzónában.
OperationName a történt eseményt. Ez lehet a SetGatewayConfiguration, Set Csatlakozás ionConfiguration, HostMaintenanceEvent, GatewayTenantPrimaryChanged, MigrateCustomerSubscription, GatewayResourceMove, ValidateGatewayConfiguration.
Üzenet a művelet végrehajtásának részleteit, és felsorolja a sikeres/sikertelen eredményeket.

Az alábbi példa egy új konfiguráció alkalmazásakor naplózott tevékenységet mutatja be:

Example of a Set Gateway Operation seen in GatewayDiagnosticLog.

Figyelje meg, hogy a SetGatewayConfiguration minden alkalommal naplózva lesz, amikor egy konfigurációt módosít egy VPN-átjárón vagy egy helyi hálózati átjárón. A GatewayDiagnosticLog tábla eredményeinek és a TunnelDiagnosticLog tábla eredményeinek kereszthivatkozásával megállapíthatjuk, hogy az alagút csatlakozási hibája a konfiguráció módosításával vagy karbantartással egy időben kezdődött-e. Ha igen, van egy nagy mutató felé a lehetséges kiváltó ok.

TunnelDiagnosticLog

A TunnelDiagnosticLog tábla nagyon hasznos az alagút korábbi kapcsolati állapotainak vizsgálatához.

Itt hivatkozásként egy minta lekérdezést talál.

AzureDiagnostics
| where Category == "TunnelDiagnosticLog"
//| where remoteIP_s == "<REMOTE IP OF TUNNEL>"
| project TimeGenerated, OperationName, remoteIP_s, instance_s, Resource, ResourceGroup
| sort by TimeGenerated asc

A TunnelDiagnosticLog lekérdezése több oszlopot jelenít meg.

Név Ismertetés
TimeGenerated az egyes események időbélyege UTC időzónában.
OperationName a történt eseményt. Lehet alagút Csatlakozás vagy TunnelDisconnected.
remoteIP_s a helyszíni VPN-eszköz IP-címe. Valós helyzetekben hasznos, ha a releváns helyszíni eszköz IP-címe alapján szűrünk, ha több is van.
Instance_s az eseményt aktiváló átjárószerepkör-példány. Lehet GatewayTenantWorker_IN_0 vagy GatewayTenantWorker_IN_1, amelyek az átjáró két példányának nevei.
Erőforrás A VPN-átjáró nevét jelzi.
ResourceGroup azt az erőforráscsoportot jelzi, ahol az átjáró található.

Example output:

Example of a Tunnel Connected Event seen in TunnelDiagnosticLog.

A TunnelDiagnosticLog nagyon hasznos a vpn váratlan megszakadásával kapcsolatos múltbeli események hibaelhárításához. Könnyű jellege lehetővé teszi a nagy időtartományok elemzését több napon keresztül, kevés erőfeszítéssel. Csak miután azonosította a leválasztás időbélyegét, átválthat az IKEdiagnosticLog tábla részletesebb elemzésére, hogy mélyebben megismerje a leválasztások érvelését, amennyiben azok IPsec-hez kapcsolódnak.

Néhány hibaelhárítási tipp:

  • Ha leválasztási eseményt lát egy átjárópéldányon, majd néhány másodpercen belül egy kapcsolati eseményt a másik átjárópéldányon, akkor egy átjáró feladatátvételét látja. Ez általában egy átjárópéldány karbantartása miatt várható viselkedés. Erről a viselkedésről további információt az Azure VPN Gateway redundanciáról szóló cikkben talál.
  • Ugyanez a viselkedés figyelhető meg, ha szándékosan futtat átjáró-visszaállítást az Azure-oldalon , ami az aktív átjárópéldány újraindítását okozza. Erről a viselkedésről további információt a VPN Gateway alaphelyzetbe állítása című témakörben talál.
  • Ha leválasztási eseményt lát egy átjárópéldányon, majd néhány másodpercen belül egy kapcsolati eseményt ugyanazon az átjárópéldányon, előfordulhat, hogy egy hálózati hiba okozza a DPD időtúllépését, vagy a helyszíni eszköz által tévesen küldött leválasztást.

RouteDiagnosticLog

A RouteDiagnosticLog tábla a BGP-n keresztül fogadott statikusan módosított útvonalak vagy útvonalak tevékenységét nyomon követheti.

Itt hivatkozásként egy minta lekérdezést talál.

AzureDiagnostics
| where Category == "RouteDiagnosticLog"
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup

A RouteDiagnosticLog lekérdezése több oszlopot jelenít meg.

Név Ismertetés
TimeGenerated az egyes események időbélyege UTC időzónában.
OperationName a történt eseményt. Lehet staticRouteUpdate, BgpRouteUpdate, Bgp Csatlakozás edEvent, BgpDisconnectedEvent.
Üzenet a művelet részletei.

A kimenet hasznos információkat jelenít meg a csatlakoztatott/leválasztott BGP-társokkal és az útvonalak cseréjével kapcsolatban.

Példa:

Example of BGP route exchange activity seen in RouteDiagnosticLog.

IKEDiagnosticLog

Az IKEDiagnosticLog tábla részletes hibakeresési naplózást kínál az IKE/IPsec számára. Ez nagyon hasznos a leválasztások hibaelhárítása vagy a VPN-forgatókönyvek csatlakoztatásának sikertelensége esetén.

Itt hivatkozásként egy minta lekérdezést talál.

AzureDiagnostics  
| where Category == "IKEDiagnosticLog" 
| extend Message1=Message
| parse Message with * "Remote " RemoteIP ":" * "500: Local " LocalIP ":" * "500: " Message2
| extend Event = iif(Message has "SESSION_ID",Message2,Message1)
| project TimeGenerated, RemoteIP, LocalIP, Event, Level 
| sort by TimeGenerated asc

Az IKEDiagnosticLog lekérdezése több oszlopot jelenít meg.

Név Ismertetés
TimeGenerated az egyes események időbélyege UTC időzónában.
RemoteIP a helyszíni VPN-eszköz IP-címe. Valós helyzetekben hasznos, ha a releváns helyszíni eszköz IP-címe alapján szűrünk, ha több is van.
LocalIP a hibaelhárítás alatt álló VPN Gateway IP-címe. Valós helyzetekben hasznos, ha az adott VPN-átjáró IP-címe alapján szűr, ha az előfizetésben egynél több van.
Esemény a hibaelhárításhoz hasznos diagnosztikai üzenetet tartalmaz. Általában egy kulcsszóval kezdődnek, és az Azure Gateway által végrehajtott műveletekre hivatkoznak: a [Standard kiadás ND] az Azure Gateway által küldött IPSec-csomag által okozott eseményt jelzi. [FOGADVA] eseményt jelez a helyszíni eszközről kapott csomag miatt. [HELYI] Az Azure Gateway által helyileg végrehajtott műveletet jelzi.

Figyelje meg, hogy a RemoteIP, a LocalIP és az Event oszlopok nem szerepelnek az AzureDiagnostics-adatbázis eredeti oszloplistájában, de az elemzés egyszerűsítése érdekében az "Üzenet" oszlop kimenetének elemzésével hozzáadódik a lekérdezéshez.

Hibaelhárítási tippek:

  • Az IPSec-egyeztetés megkezdésének azonosításához meg kell keresnie a kezdeti SA_INIT üzenetet. Az ilyen üzenetet az alagút mindkét oldalán el lehet küldeni. Aki az első csomagot küldi, az IPsec terminológiájában "kezdeményezőnek" nevezik, míg a másik oldal a "válaszadó". Az első SA_INIT üzenet mindig az, ahol rCookie = 0.

  • Ha az IPsec-alagút létrehozása sikertelen, az Azure néhány másodpercenként újra próbálkozik. Ezért az IKEdiagnosticLog esetében nagyon kényelmes a "VPN leállása" problémák elhárítása, mert nem kell várnia egy adott időre a probléma reprodukálásához. Emellett a hiba elméletileg mindig ugyanaz lesz minden alkalommal, amikor megpróbáljuk, így bármikor csak nagyíthat egy "minta" sikertelen tárgyalásra.

  • A SA_INIT tartalmazza azokat az IPSec-paramétereket, amelyeket a társ használni szeretne ehhez az IPsec-egyeztetéshez. A hivatalos dokumentum
    Az alapértelmezett IPsec/IKE-paraméterek az Azure Gateway által támogatott IPsec-paramétereket sorolják fel alapértelmezett beállításokkal.

P2SDiagnosticLog

A VPN-diagnosztika utolsó elérhető táblázata a P2SDiagnosticLog. Ez a táblázat a pont–hely (csak IKEv2- és OpenVPN-protokollok) tevékenységeit követi nyomon.

Itt hivatkozásként egy minta lekérdezést talál.

AzureDiagnostics  
| where Category == "P2SDiagnosticLog"  
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup

A P2SDiagnosticLog lekérdezése több oszlopot jelenít meg.

Név Ismertetés
TimeGenerated az egyes események időbélyege UTC időzónában.
OperationName a történt eseményt. P2SLogEvent lesz.
Üzenet a művelet részletei.

A kimenet megjeleníti az átjáró által alkalmazott pont–hely beállításokat, valamint a érvényben lévő IPsec-szabályzatokat.

Example of Point to Site connection seen in P2SDiagnosticLog.

Továbbá, amikor egy ügyfél IKEv2 vagy OpenVPN pont–hely kapcsolaton keresztül csatlakozik, a tábla naplózza a csomagtevékenységet, az EAP-/RADIUS-beszélgetéseket és a felhasználó által elért sikeres/sikertelen eredményeket.

Example of EAP authentication seen in P2SDiagnosticLog.

Következő lépések

Az alagúterőforrás-naplók riasztásainak konfigurálásához tekintse meg a VPN Gateway-erőforrásnaplók riasztásainak beállítását.