Monitorare Microsoft Tunnel

  • Articolo

Dopo l'installazione di Microsoft Tunnel, è possibile visualizzare la configurazione del server e l'integrità del server nell'interfaccia di amministrazione Microsoft Intune.

Usare l'interfaccia utente dell'interfaccia di amministrazione

Accedere a Microsoft Intune'interfaccia di amministrazione e passare a Amministrazione> tenant Stato integritàgateway> di Microsoft Tunnel.

Selezionare quindi un server e quindi aprire la scheda Controllo integrità per visualizzare le metriche dello stato di integrità dei server. Per impostazione predefinita, ogni metrica usa valori soglia predefiniti che determinano lo stato. Le metriche seguenti supportano la personalizzazione di queste soglie:

  • Utilizzo CPU
  • Utilizzo memoria
  • Utilizzo dello spazio su disco
  • Latenza

Valori predefiniti per le metriche di integrità del server:

  • Ultimo check-in : quando il server del gateway di tunnel è stato archiviato per l'ultima volta con Intune.

    • Integro : l'ultimo check-in è stato eseguito negli ultimi cinque minuti.
    • Non integro : l'ultimo check-in è stato eseguito più di cinque minuti fa.

  • Connessioni correnti : numero di connessioni univoche attive all'ultimo check-in del server.

    • Integro : sono state rilevate almeno 4.990 connessioni
    • Non integro : sono presenti più di 4.990 connessioni attive

  • Velocità effettiva : i megabit bit al secondo del traffico che passa attraverso la scheda di interfaccia di rete del gateway di tunnel all'ultimo check-in del server.

  • Utilizzo della CPU : utilizzo medio della CPU da parte del server del gateway tunnel ogni cinque minuti.

    • Integro - 95% o meno
    • Avviso : dal 96% al 99%
    • Non integro - Utilizzo al 100%

  • Core CPU : numero di core CPU disponibili nel server.

    • Integro - 4 o più core
    • Avviso : 1, 2 o 3 core
    • Core -0 non integri

  • Utilizzo della memoria : utilizzo medio della memoria da parte del server del gateway tunnel ogni 5 minuti.

    • Integro - 95% o meno
    • Avviso : dal 96% al 99%
    • Non integro - Utilizzo al 100%

  • Utilizzo dello spazio su disco : quantità di spazio su disco usata dal server del gateway tunnel.

    • Integro - Oltre 5 GB
    • Avviso - 3-5 GB
    • Non integro : inferiore a 3 GB

  • Latenza : la quantità media di tempo necessaria per l'arrivo dei pacchetti IP e quindi l'uscita dall'interfaccia di rete.

    • Integro - Meno di 10 millisecondi
    • Avviso : da 10 millisecondi a 20 millisecondi
    • Non integro - Più di 20 millisecondi

  • Certificato dell'agente di gestione: il certificato dell'agente di gestione viene usato dal gateway tunnel per eseguire l'autenticazione con Intune, quindi è importante rinnovarlo prima della scadenza. Tuttavia, deve rinnovarsi automaticamente.

    • Integro : la scadenza del certificato è di più di 30 giorni.
    • Avviso : la scadenza del certificato è inferiore a 30 giorni.
    • Non integro : il certificato è scaduto.

  • Certificato TLS : numero di giorni fino alla scadenza del certificato Transport Layer Security (TLS) che protegge il traffico tra i client e il server del gateway tunnel.

    • Integro - Più di 30 giorni
    • Avviso - 30 giorni o meno
    • Non integro : il certificato è scaduto

  • Revoca del certificato TLS : il gateway tunnel tenta di controllare lo stato di revoca del certificato TLS (Transport Layer Security) usando un indirizzo OCSP (Online Certificate Status Protocol) o un elenco di revoche di certificati (CRL) come definito dal certificato TLS. Questo controllo richiede che il server abbia accesso all'endpoint OCSP o all'indirizzo CRL come definito nel certificato.

    • Integro : il certificato TLS non viene revocato.
    • Avviso : non è possibile controllare se il certificato TLS viene revocato. Verificare che gli endpoint definiti nel certificato siano accessibili dal server tunnel.
    • Non integro : il certificato TLS viene revocato.

    Pianificare la sostituzione di un certificato TLS revocato.

    Per altre informazioni su OCSP (Online Certificate Status Protocol), vedere Online Certificate Status Protocol all'indirizzo wikipedia.org.

  • Accessibilità della rete interna : stato del controllo più recente dell'URL interno. L'URL viene configurato come parte di una configurazione del sito di tunneling.

    • Integro : il server può accedere all'URL specificato nelle proprietà del sito.
    • Non integro : il server non può accedere all'URL specificato nelle proprietà del sito.
    • Sconosciuto : questo stato viene visualizzato quando non è stato impostato un URL nelle proprietà del sito. Questo stato non influisce sullo stato complessivo del sito.

  • Aggiornabilità : possibilità del server di contattare il repository di contenitori Microsoft, che consente l'aggiornamento del gateway tunnel quando le versioni diventano disponibili.

    • Integro : il server non ha contattato il repository contenitori Microsoft negli ultimi 5 minuti.
    • Non integro : il server non ha contattato il repository contenitori Microsoft per più di 5 minuti.

  • Versione server : stato del software del server gateway tunnel, in relazione alla versione più recente.

    • Integro : aggiornato con la versione software più recente
    • Avviso : una versione precedente
    • Non integro : due o più versioni precedenti e non supportate

    Quando la versione del server non è integra, pianificare l'installazione degli aggiornamenti per Microsoft Tunnel.

  • Contenitore server : determina se il contenitore che ospita il server Microsoft Tunnel è in esecuzione.

    • Integro : lo stato del contenitore del server è integro.
    • Non integro : lo stato del contenitore del server non è integro.

  • Configurazione del server: determina se la configurazione del server viene applicata correttamente al server tunnel da Microsoft Intune impostazioni del sito.

    • Integro : la configurazione del server è stata applicata correttamente.
    • Non integro : non è stato possibile applicare la configurazione del server.

  • Log del server: determina se i log sono stati caricati nel server negli ultimi 60 minuti.

    • Integro : i log del server sono stati caricati negli ultimi 60 minuti.
    • Non integro : i log del server sono stati caricati negli ultimi 60 minuti.

Gestire le soglie dello stato di integrità

È possibile personalizzare le metriche di stato di integrità di Microsoft Tunnel seguenti per modificare le soglie usate da ogni utente per segnalarne lo stato. Le personalizzazioni sono a livello di tenant e si applicano a tutti i set di tunnel. Le metriche di controllo dell'integrità che è possibile personalizzare includono:

  • Utilizzo CPU
  • Utilizzo memoria
  • Utilizzo dello spazio su disco
  • Latenza

Per modificare un valore soglia delle metriche:

Screenshot di come selezionare e configurare le soglie di stato di integrità.

  1. Accedere a Microsoft Intune'interfaccia di amministrazione e passare a Amministrazione> tenant Stato integritàgateway> di Microsoft Tunnel.

  2. Selezionare Configura soglie.

  3. Nella pagina Soglie configurate impostare nuove soglie per ogni categoria di controllo dell'integrità che si vuole personalizzare.

    • I valori soglia si applicano a tutti i server in tutti i siti.
    • Selezionare Ripristina impostazione predefinita per ripristinare i valori predefiniti di tutte le soglie.

  4. Seleziona Salva.

  5. Nel riquadro Stato integrità selezionare Aggiorna per aggiornare lo stato di tutti i server in base ai valori soglia personalizzati.

Dopo aver modificato le soglie, i valori in una scheda Controllo integrità server vengono aggiornati automaticamente in modo da riflettere il relativo stato, in base alle soglie correnti.

Acquisizione dello schermo di una visualizzazione Controllo integrità server.

Visualizzare le tendenze dello stato di integrità delle metriche di integrità del gateway di Microsoft Tunnel sotto forma di grafico. I dati per i grafici vengono mediamente in un blocco di tre ore e di conseguenza possono essere posticipati fino a tre ore.

I grafici di tendenza dello stato di integrità sono disponibili per le metriche seguenti:

  • Connections
  • Utilizzo CPU
  • Utilizzo dello spazio su disco
  • Utilizzo memoria
  • Latenza media
  • Velocità effettiva

Per visualizzare i grafici di tendenza:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Passare a Amministrazione> tenant Statointegrità> gateway >Di Microsoft TunnelSelezionare un server e quindi selezionare Tendenze

  3. Usare l'elenco a discesa Metrica per selezionare il grafico delle metriche che si vuole visualizzare.

Usare lo strumento da riga di comando mst-cli

Usare lo strumento da riga di comando mst-cli per ottenere informazioni sul server Microsoft Tunnel. Questo file viene aggiunto al server Linux quando viene installato Microsoft Tunnel. Lo strumento si trova in: /usr/sbin/mst-cli.

Per altre informazioni ed esempi della riga di comando, vedere strumento da riga di comando mst-cli per Microsoft Tunnel.

Visualizzare i log di Microsoft Tunnel

Microsoft Tunnel registra le informazioni nei log del server Linux nel formato syslog . Per visualizzare le voci di log, usare il comando journalctl -t seguito da uno o più tag specifici delle voci di Microsoft Tunnel:

  • mstunnel-agent: visualizzare i log dell'agente.

  • mstunnel_monitor: visualizzare i log attività di monitoraggio.

  • ocserv : visualizza i log del server.

  • ocserv-access - Visualizzare i log di accesso.

    Per impostazione predefinita, la registrazione degli accessi è disabilitata. L'abilitazione dei log di accesso può ridurre le prestazioni, a seconda del numero di connessioni attive e dei modelli di utilizzo nel server. La registrazione per le connessioni DNS aumenta il livello di dettaglio dei log, che può diventare rumoroso.

    I log di accesso hanno il formato seguente: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> Ad esempio:

    • 25 febbraio 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

    Importante

    In ocserv-access il valore deviceId identifica l'istanza di installazione univoca di Microsoft Defender in esecuzione in un dispositivo e non identifica né l'ID dispositivo di Intune né Microsoft Entra ID dispositivo. Se Defender viene disinstallato e quindi reinstallato in un dispositivo, viene generata una nuova istanza per DeviceId*.

    Per abilitare la registrazione degli accessi:

    1. impostare TRACE_SESSIONS=1 in /etc/mstunnel/env.sh
    2. impostare TRACE_SESSIONS=2 per includere la registrazione per le connessioni DNS
    3. Eseguire mst-cli server restart per riavviare il server.

    Se i log di accesso sono troppo rumorosi, è possibile disattivare la registrazione connessione DNS impostando TRACE_SESSIONS=1 e riavviando il server.

  • OCSERV_TELEMETRY - Visualizzare i dettagli di telemetria per le connessioni al tunnel.

    I log di telemetria hanno il formato seguente, con i valori per bytes_in, bytes_out e durata usati solo per le operazioni di disconnessione: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration> ad esempio:

    • 20 ottobre 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3,169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

    Importante

    In OCSERV_TELEMETRY, il valore deviceId identifica l'istanza di installazione univoca di Microsoft Defender in esecuzione in un dispositivo e non identifica né l'ID dispositivo di Intune né Microsoft Entra ID dispositivo. Se Defender viene disinstallato e quindi reinstallato in un dispositivo, viene generata una nuova istanza per DeviceId*.

Esempi della riga di comando per journalctl:

  • Per visualizzare le informazioni solo per il server di tunneling, eseguire journalctl -t ocserv.
  • Per visualizzare il log di telemetria, eseguire journalctl -t ocserv | grep TELEMETRY
  • Per visualizzare le informazioni per tutte le opzioni di log, è possibile eseguire journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
  • Aggiungere -f al comando per visualizzare una visualizzazione attiva e continua del file di log. Ad esempio, per monitorare attivamente i processi in corso per Microsoft Tunnel, eseguire journalctl -t mstunnel_monitor -f.

Altre opzioni per journalctl:

  • journalctl -h : visualizza la Guida dei comandi per journalctl.
  • man journalctl : visualizza informazioni aggiuntive.
  • man journalctl.conf Visualizzare informazioni sulla configurazione Per altre informazioni su journalctl, vedere la documentazione relativa alla versione di Linux in uso.

Caricamento semplice dei log di diagnostica per i server tunnel

Come supporto diagnostico, è possibile usare un singolo clic all'interno dell'interfaccia di amministrazione di Intune per abilitare, raccogliere e inviare log dettagliati da un server gateway tunnel direttamente a Microsoft. Questi log dettagliati sono quindi disponibili direttamente a Microsoft quando si lavora con Microsoft per identificare o risolvere i problemi relativi a un server tunnel.

È possibile raccogliere e caricare log dettagliati da un evento prima di aprire un evento imprevisto di supporto oppure, su richiesta, se si sta già lavorando con Microsoft per esaminare un'operazione di tunnel server.

Per usare questa funzionalità:

  1. Aprire l'interfaccia di amministrazione Microsoft Intune passare a Amministrazione> tenantMicrosoft Tunnel Gateway> selezionare un server> e quindi selezionare la scheda Log.

  2. Nella scheda Log individuare la sezione Invia log dettagliati del server e selezionare Invia log.

Quando si seleziona Invia log per un server tunnel, viene avviato il processo seguente:

  • In primo luogo, Intune acquisisce il set corrente di log del server tunnel e li carica direttamente in Microsoft. Questi log vengono raccolti usando il livello di dettaglio del log corrente dei server. Per impostazione predefinita, il livello di dettaglio del server è zero (0).
  • Intune abilita quindi un livello di dettaglio di quattro (4) per i log del server di tunneling. Questo livello di dettaglio dettagliato viene raccolto per otto ore.
  • Durante le otto ore di raccolta dettagliata dei log, il problema o l'operazione da analizzare deve essere riprodotto per acquisire i dettagli dettagliati nei log.
  • Dopo otto ore, Intune raccoglie un secondo set di log del server che include i dettagli dettagliati e li carica in Microsoft. Al momento del caricamento, Intune reimposta anche i log del server di tunnel per usare il livello di dettaglio predefinito pari a zero (0). Se in precedenza è stato aumentato il livello di dettaglio del server, dopo che Intune ha reimpostato il livello di dettaglio su zero, è possibile ripristinare il livello di dettaglio personalizzato.

Ogni set di log raccolti e caricati da Intune viene identificato come set separato con i dettagli seguenti visualizzati nell'interfaccia di amministrazione sotto il pulsante Invia log :

  • Ora di inizio e fine della raccolta di log
  • Quando il caricamento è stato generato
  • Il livello di dettaglio del log viene impostato
  • ID evento imprevisto che può essere usato per identificare tale set di log specifico

Screenshot che mostra l'interfaccia Invia log server dettagliati.

Dopo aver acquisito un problema durante l'esecuzione della raccolta di log dettagliata, è possibile specificare l'ID evento imprevisto di tale log impostato su Microsoft per facilitare l'analisi.

Informazioni sulla raccolta di log

  • Intune non arresta o riavvia il server tunnel per abilitare o disabilitare la registrazione dettagliata.
  • Il periodo di registrazione dettagliato di otto ore non può essere esteso o arrestato in anticipo.
  • È possibile usare il processo Invia log con la frequenza necessaria per acquisire un problema con la registrazione dettagliata. Tuttavia, l'aumento del livello di dettaglio dei log aumenta l'affaticamento del server di tunneling e non è consigliabile come configurazione normale.
  • Al termine della registrazione dettagliata, il livello di dettaglio predefinito zero viene impostato per i log del server di tunneling, indipendentemente dai livelli di dettaglio impostati in precedenza.
  • I log seguenti vengono raccolti tramite questo processo:
    • mstunnel-agent (log dell'agente)
    • mstunnel_monitor (monitoraggio dei log attività)
    • ocserv (log del server)

I log di accesso ocserv non vengono raccolti o caricati.

Problemi noti

Di seguito sono riportati i problemi noti relativi a Microsoft Tunnel.

Integrità server

I client possono usare correttamente il tunnel quando lo stato di integrità del server viene visualizzato come offline

Problema: nella scheda Stato integrità tunnel, lo stato di integrità di un server indica che è disconnesso, anche se gli utenti possono raggiungere il server di tunnel e connettersi alle risorse dell'organizzazione.

Soluzione: per risolvere questo problema, è necessario reinstallare Microsoft Tunnel, che registra nuovamente l'agente del server tunnel con Intune. Per evitare questo problema, installare gli aggiornamenti per l'agente tunnel e il server subito dopo il rilascio. Usare le metriche di integrità del server tunnel nell'interfaccia di amministrazione Microsoft Intune per monitorare l'integrità del server.

Con Podman viene visualizzato "Errore durante l'esecuzione del checkup" nel log mstunnel_monitor

Problema: Podman non riesce a identificare o visualizzare l'esecuzione dei contenitori attivi e segnala "Errore durante l'esecuzione del checkup" nel log mstunnel_monitor del server tunnel. Di seguito sono riportati alcuni esempi degli errori:

  • Agente:

    Error executing Checkup
Error details
\tscript: 561 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

  • Server:

    Error executing Checkup
Error details
\tscript: 649 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

Soluzione: per risolvere questo problema, riavviare manualmente i contenitori Podman. Podman dovrebbe quindi essere in grado di identificare i contenitori. Se il problema persiste o restituisce, provare a usare cron per creare un processo che riavvia automaticamente i contenitori quando viene rilevato questo problema.

Con Podman vengono visualizzati errori System.DateTime nel log mstunnel-agent

Problema: quando si usa Podman, il log mstunnel-agent potrebbe contenere errori simili alle voci seguenti:

  • Failed to parse version-info.json for version information.
  • System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

Questo problema si verifica a causa di differenze nella formattazione delle date tra Podman e Tunnel Agent. Questi errori non indicano un problema irreversibile o impediscono la connettività. A partire dai contenitori rilasciati dopo ottobre 2022, i problemi di formattazione devono essere risolti.

Soluzione: per risolvere questi problemi, aggiornare il contenitore dell'agente (Podman o Docker) alla versione più recente. Man mano che vengono individuate nuove origini di questi errori, continueremo a correggerli negli aggiornamenti della versione successivi.

Connettività al tunneling

I dispositivi non riescono a connettersi al server tunnel

Problema: i dispositivi non riescono a connettersi al server e il file di log ocserv del server tunnel contiene una voce simile alla voce seguente: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Per indicazioni sulla visualizzazione dei log del tunnel, vedere Visualizzare i log di Microsoft Tunnel in questo articolo.

Soluzione: riavviare il server usando mst-cli server restart dopo il riavvio del server Linux.

Se questo problema persiste, è consigliabile automatizzare il comando di riavvio usando l'utilità di pianificazione cron. Vedere Come usare cron in Linuxall'indirizzo opensource.com.

Passaggi successivi

Informazioni di riferimento per Microsoft Tunnel