次の方法で共有

Microsoft Tunnel を監視する

  • [アーティクル]

Microsoft Tunnel のインストール後、Microsoft Intune管理センターでサーバーの構成とサーバーの正常性を表示できます。

admin center の UI を使用する

管理センター Microsoft Intuneサインインし、[テナント管理>Microsoft Tunnel Gateway>Health 状態] に移動します。

次に、サーバーを選択し、[正常性チェック] タブを開いて、サーバーの正常性状態メトリックを表示します。 既定では、各メトリックでは状態を決定する事前定義済みのしきい値が使用されます。 次のメトリックでは、このようなしきい値のカスタマイズがサポートされています

  • CPU 使用率
  • メモリ使用量
  • ディスク領域の使用量
  • 遅延

サーバーの正常性メトリックの既定値は次のとおりです。

  • 最後のチェックイン - Tunnel ゲートウェイ サーバーが Intune で最後にチェックインされた日時。

    • 正常 – 最後チェックインが 5 分以内でした。
    • 異常 – 最後のチェックは5分以上前でした。

  • 現在の接続 - 前回のサーバー チェックイン時にアクティブだった一意の接続の数。

    • 正常 - 4,990 以下の接続がありました
    • 異常 – 4,990 を超えるアクティブな接続がありました

  • スループット – 最後のサーバー チェックイン時に Tunnel ゲートウェイ NIC を通過していたトラフィックの 1 秒あたりのメガビット数。

  • CPU 使用率 - Tunnel ゲートウェイ サーバーによる 5 分ごとの平均 CPU 使用率。

    • 正常 - 95% 以下
    • 警告 - 96% から 99%
    • 異常 - 100% 使用

  • CPU コア – このサーバーで使用可能な CPU コアの数。

    • 正常 - 4 つ以上のコア
    • 警告 - 1、2、または 3 コア
    • 異常 な -0 コア

  • メモリ使用量 - Tunnel ゲートウェイ サーバーによる 5 分ごとの平均メモリ使用量。

    • 正常 - 95% 以下
    • 警告 - 96% から 99%
    • 異常 - 100% 使用

  • ディスク領域の使用量 – Tunnel Gateway サーバーが使用するディスク領域の量。

    • 正常 - 5 GB を超えています
    • 警告 - 3 から 5 GB
    • 異常 - 3 GB 未満

  • 待機時間 – IP パケットが到着してからネットワーク インターフェイスを出るのにかかる平均時間。

    • 正常 - 10 ミリ秒未満
    • 警告 - 10 ミリ秒から 20 ミリ秒
    • 異常 - 20 ミリ秒を超えています

  • 管理エージェント証明書 – 管理エージェント証明書は Tunnel Gateway によって使用され、Intuneで認証されるため、有効期限が切れる前に更新することが重要です。 ただし、自動的に更新されます。

    • 正常 - 証明書の有効期限は 30 日を超えています。
    • 警告 - 証明書の有効期限は 30 日未満です。
    • 異常 - 証明書の有効期限が切れています。

  • TLS 証明書 - クライアントと Tunnel Gateway サーバー間のトラフィックをセキュリティで保護するトランスポート層セキュリティ (TLS) 証明書の有効期限が切れるまでの日数。

    • 正常 - 30 日を超えています
    • 警告 - 30 日以下
    • 異常 - 証明書の有効期限が切れています

  • TLS 証明書失効 – Tunnel Gateway は、TLS 証明書によって定義されているオンライン証明書状態プロトコル (OCSP) アドレスまたは証明書失効リスト (CRL) アドレスを使用して、トランスポート層セキュリティ (TLS) 証明書の失効状態をチェックしようとします。 このチェックでは、証明書で定義されている OCSP エンドポイントまたは CRL アドレスにサーバーがアクセスできる必要があります。

    • 正常 - TLS 証明書は取り消されません。
    • 警告 - TLS 証明書が失効した場合、チェックできません。 証明書で定義されているエンドポイントに Tunnel サーバーからアクセスできることを確認します。
    • 異常 - TLS 証明書が失効しています。

    失効した TLS 証明書を置き換えることを計画します。

    オンライン証明書状態プロトコル (OCSP) の詳細については、「wikipedia.org でのオンライン証明書の状態プロトコル 」を参照してください。

  • 内部ネットワークのアクセス可能性 – 内部 URL の最新チェックにおける状態。 URL は、Tunnel サイト構成の一部として構成します。

    • 正常 - サーバーからサイトのプロパティで指定された URL にアクセスできます。
    • 異常 - サーバーからサイトのプロパティで指定された URL にアクセスできません。
    • 不明 - この状態は、サイトのプロパティで URL を設定していない場合に表示されます。 この状態は、サイトの全体的な状態には影響しません。

  • アップグレード可能性 – Microsoft Container Repository に接続するサーバーの機能。これにより、バージョンが使用可能になったときに Tunnel Gateway をアップグレードできます。

    • 正常 - サーバーは、過去 5 分以内に Microsoft Container Repository に接続していません。
    • 異常 - サーバーが Microsoft Container Repository に 5 分以上接続していません。

  • サーバーのバージョン - 最新のバージョンに関連する、Tunnel ゲートウェイ サーバー ソフトウェアの状態。

    • 正常 - 最新のソフトウェア バージョンでの最新の状態
    • 警告 - 1 つ前のバージョン
    • 異常 - 2 つ以上前のバージョン、およびサポート対象外

    "サーバーのバージョン" が "正常" でない場合は、Microsoft Tunnel のアップグレードのインストールを計画してください。

  • サーバー コンテナー – Microsoft Tunnel サーバーをホストするコンテナーが実行されているかどうかを判断します。

    • 正常 - サーバー コンテナーの状態は正常です。
    • 異常 - サーバー コンテナーの状態が正常ではありません。

  • サーバー構成 – サイト設定から Tunnel サーバーにサーバー構成が正常に適用されるかどうかをMicrosoft Intune決定します。

    • 正常 - サーバー構成が正常に適用されました。
    • 異常 - サーバー構成を適用できませんでした。

  • サーバー ログ – 過去 60 分以内にログがサーバーにアップロードされたかどうかを判断します。

    • 正常 - サーバー ログは過去 60 分以内にアップロードされました。
    • 異常 - 過去 60 分間にサーバー ログがアップロードされていません。

正常性状態のしきい値を管理する

次の Microsoft Tunnel 正常性状態メトリックをカスタマイズして、それぞれが状態を報告するために使用するしきい値を変更できます。 カスタマイズはテナント全体に及び、すべての Tunnel サーバーに適用されます。 カスタマイズできる正常性チェックのメトリックは次のとおりです。

  • CPU 使用率
  • メモリ使用量
  • ディスク領域の使用量
  • 遅延

メトリックのしきい値を変更するには:

正常性状態のしきい値を選択して構成する方法のスクリーン キャプチャ。

  1. 管理センター Microsoft Intuneサインインし、[テナント管理>Microsoft Tunnel Gateway>Health 状態] に移動します。

  2. [Configure thresholds]\(しきい値の構成\) を選択します。

  3. [構成済みのしきい値] ページで、カスタマイズする正常性チェックカテゴリごとに新しいしきい値を設定します。

    • しきい値は、すべてのサイトのすべてのサーバーに適用されます。
    • "すべての" しきい値を既定値に戻すには、[既定値に戻す] を選択します。

  4. [保存] を選択します。

  5. [正常性状態] ウィンドウで、[更新] を選択し、カスタマイズしたしきい値に基づいてすべてのサーバーの状態を更新します。

しきい値を変更すると、サーバーの [正常性チェック] タブの値は、現在のしきい値に基づいて、その状態を反映するように自動的に更新されます。

サーバーの [正常性チェック] ビューのスクリーン キャプチャ。

Microsoft Tunnel ゲートウェイの正常性状態の傾向正常性メトリックをグラフの形式で表示します。 グラフのデータは 3 時間のブロックの平均であるため、最大 3 時間の遅延が生じます。

正常性状態の傾向グラフは、次のメトリックで使用できます。

  • 接続
  • CPU 使用率
  • ディスク領域の使用量
  • メモリ使用量
  • 平均遅延時間
  • スループット

傾向グラフを表示するには:

  1. Microsoft Intune 管理センターにサインインします。

  2. [テナント管理]>[Microsoft Tunnel Gateway]\(Microsoft Tunnel ゲートウェイ\)>[正常性状態] に移動し、"サーバーを選択" した後、[傾向] を選択します

  3. [メトリック] ドロップダウンを使用して、表示するメトリックのグラフを選択します。

mst-cli コマンド ライン ツールを使用する

mst-cli コマンド ライン ツールを使用して、Microsoft Tunnel サーバーに関する情報を取得します。 このファイルは、Microsoft Tunnel のインストール時に Linux サーバーに追加されます。 このツールは /usr/sbin/mst-cli にあります。

詳細とコマンド ラインの例については、Microsoft Tunnel 用 mst-cli コマンド ライン ツールに関する記事をご覧ください。

Microsoft Tunnel のログを表示する

Microsoft Tunnel では、syslog 形式で Linux サーバー ログへ情報が記録されます。 ログ エントリを表示するには、journalctl -t コマンドの後で、Microsoft Tunnel エントリに固有の 1 つまたは複数のタグを使用します。

  • mstunnel-agent: エージェント ログを表示します。

  • mstunnel_monitor: 監視タスク ログを表示します。

  • ocserv - サーバー ログを表示します。

  • ocserv-access - アクセス ログを表示します。

    既定では、アクセス ログは無効になっています。 アクセス ログを有効にすると、サーバー上のアクティブな接続数と使用パターンに応じて、パフォーマンスが低下する可能性があります。 DNS 接続のログ記録はログの詳細度を高め、ノイズが多くなる可能性があります。

    アクセス ログの形式は次のとおりです。<Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> 次に例を示します。

    • Feb 25 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

    重要

    ocserv-access では、deviceId 値は、デバイス上で実行されるMicrosoft Defenderの一意のインストール インスタンスを識別し、Intuneデバイス ID またはデバイス ID Microsoft Entra識別しません。 Defender をアンインストールしてからデバイスに再インストールすると、 DeviceId* の新しいインスタンスが生成されます。

    アクセス ログを有効にするには:

    1. TRACE_SESSIONS=1 in /etc/mstunnel/env.sh を設定します
    2. DNS 接続のログ記録を含めるには、TRACE_SESSIONS =2 を設定します
    3. mst-cli server restart を実行して、サーバーを再起動します。

    アクセス ログでノイズが多すぎる場合は、TRACE_SESSIONS =1 を設定してサーバーを再起動することで、DNS 接続ログをオフにすることができます。

  • OCSERV_TELEMETRY - Tunnel への接続に関するテレメトリの詳細を表示します。

    テレメトリ ログの形式は次のとおりです。bytes_inbytes_out、期間の値は切断操作にのみ使用されます。 <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration>例:

    • 10 月 20 日 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY、connect、31258、73.20.85.75、172.17.0.3、169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

    重要

    OCSERV_TELEMETRYでは、deviceId 値は、デバイス上で実行されるMicrosoft Defenderの一意のインストール インスタンスを識別し、Intuneデバイス ID またはデバイス ID Microsoft Entra識別しません。 Defender をアンインストールしてからデバイスに再インストールすると、 DeviceId* の新しいインスタンスが生成されます。

journalctl のコマンド ラインの例:

  • たとえば、トンネル サーバーのみに関する情報を表示するには、journalctl -t ocserv を実行します。
  • テレメトリ ログを表示するには、 journalctl -t ocserv | grep TELEMETRY
  • すべてのログ オプションの情報を表示するには、journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitorを実行します。
  • コマンドに -f を追加すると、ログ ファイルのアクティブで継続的なビューを表示することができます。 たとえば、Microsoft Tunnel の進行中のプロセスをアクティブに監視するには、journalctl -t mstunnel_monitor -f を実行します。

journalctl のその他のオプション。

  • journalctl -hjournalctl のコマンド ヘルプを表示します。
  • man journalctl – 追加情報を表示します。
  • man journalctl.conf 構成に関する情報を表示します。journalctl の詳細については、使用している Linux のバージョンに関するドキュメントを参照してください。

トンネル サーバーの診断ログの簡単なアップロード

診断支援として、Intune管理センター内の 1 回のクリックを使用して、Tunnel Gateway Server から Microsoft に直接詳細ログを有効、収集、送信Intuneできます。 これらの詳細ログは、Microsoft と連携して Tunnel サーバーの問題を特定または解決するときに、Microsoft が直接使用できます。

サポート インシデントを開く前に、イベントから詳細ログを収集してアップロードできます。または、既に Microsoft と連携して Tunnel サーバーの操作を確認している場合は、要求に応じてログを収集してアップロードできます。

この機能を使用するには:

  1. Microsoft Intune管理センターを開き、[テナント管理>Microsoft Tunnel Gateway] に移動し>サーバーを選択し> [ログ] タブを選択します。

  2. [ ログ ] タブで、[ 詳細なサーバー ログの送信 ] セクションを見つけて、[ ログの送信] を選択します。

[トンネル サーバーの ログの送信 ] を選択すると、次のプロセスが開始されます。

  • まず、Intuneは現在の Tunnel サーバー ログのセットをキャプチャし、Microsoft に直接アップロードします。 これらのログは、サーバーの現在のログ詳細レベルを使用して収集されます。 既定では、サーバーの詳細レベルは 0 (0) です。
  • 次に、Intuneでは、Tunnel サーバー ログに対して詳細レベル 4 (4) を有効にします。 この詳細レベルの詳細は、8 時間収集されます。
  • 詳細ログ収集の 8 時間の間に、調査中の問題または操作を再現して、ログの詳細な詳細をキャプチャする必要があります。
  • 8 時間後、Intuneは詳細な詳細を含むサーバー ログの 2 番目のセットを収集し、Microsoft にアップロードします。 アップロード時に、Intuneでは Tunnel サーバー ログもリセットされ、既定の詳細レベル 0 (0) が使用されます。 以前にサーバーの詳細レベルを上げた場合は、Intune後に詳細度を 0 にリセットした後、カスタムの詳細レベルを復元できます。

収集およびアップロードIntuneログの各セットは個別のセットとして識別され、[ログの送信] ボタンの下の管理センターに次の詳細が表示されます。

  • ログ コレクションの 開始時刻終了 時刻
  • アップロードが生成されたとき
  • ログは詳細レベルを設定します
  • 特定のログ セットを識別するために使用できるインシデント ID

[詳細なサーバー ログの送信] インターフェイスを示す画面キャプチャ。

詳細ログ収集の実行中に問題をキャプチャした後、そのログの インシデント ID を Microsoft に設定して、調査に役立てることができます。

ログ収集について

  • Intuneは、詳細ログ記録を有効または無効にするために Tunnel サーバーを停止または再起動しません。
  • 8 時間の詳細ログ期間は、早い段階で延長または停止することはできません。
  • ログの 送信 プロセスは、必要に応じてできるだけ頻繁に使用して、詳細ログに関する問題をキャプチャできます。 ただし、ログの詳細度が向上すると Tunnel Server に負担が加わるので、通常の構成としてはお勧めしません。
  • 詳細ログが終了すると、以前に設定した詳細レベルに関係なく、Tunnel サーバー ログに対して既定の詳細レベル 0 が設定されます。
  • このプロセスでは、次のログが収集されます。
    • mstunnel-agent (エージェント ログ)
    • mstunnel_monitor (監視タスク ログ)
    • ocserv (サーバー ログ)

ocserv アクセス ログは収集もアップロードもされません。

既知の問題

Microsoft Tunnel の既知の問題を次に示します。

サーバーの正常性

サーバーの正常性状態がオフラインと表示された場合、クライアントはトンネルを正常に使用できます

問題: [Tunnel Health status]\(トンネルの正常性状態\) タブで、ユーザーがトンネル サーバーにアクセスしてorganizationのリソースに接続できる場合でも、サーバーの正常性状態がオフラインとして報告されます。

解決策: この問題を解決するには、Microsoft Tunnel を再インストールする必要があります。これにより、Tunnel サーバー エージェントがIntuneに再登録されます。 この問題を回避するには、Tunnel エージェントとサーバーの更新プログラムがリリースされた直後にインストールします。 Microsoft Intune管理センターの Tunnel サーバー正常性メトリックを使用して、サーバーの正常性を監視します。

Podman では、mstunnel_monitor ログに "checkup の実行中にエラーが発生しました" と表示されます

問題: Podman がアクティブなコンテナーが実行されていることを識別できないか確認できず、Tunnel サーバーの mstunnel_monitor ログ に "Checkup の実行中にエラーが発生しました" と報告されます。 エラーの例を次に示します。

  • エージェント:

    Error executing Checkup
Error details
\tscript: 561 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

  • サーバー:

    Error executing Checkup
Error details
\tscript: 649 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

解決策: この問題を解決するには、 Podman コンテナーを手動で再起動します。 ポッドマンはコンテナーを識別できる必要があります。 問題が解決しない場合、またはが返される場合は、 cron を使用して、この問題が発生したときにコンテナーを自動的に再起動するジョブを作成することを検討してください。

Podman では、mstunnel-agent ログに System.DateTime エラーが表示されます

問題: Podman を使用すると、mstunnel-agent ログに次のようなエラーが含まれる場合があります。

  • Failed to parse version-info.json for version information.
  • System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

この問題は、Podman と Tunnel Agent の間で日付の書式設定が異なるために発生します。 これらのエラーは、致命的な問題を示したり、接続を妨げるわけではありません。 2022 年 10 月以降にリリースされたコンテナー以降、書式設定の問題を解決する必要があります。

解決策: これらの問題を解決するには、エージェント コンテナー (Podman または Docker) を最新バージョンに更新します。 これらのエラーの新しいソースが検出されると、以降のバージョンの更新で引き続き修正されます。

Tunnel への接続

デバイスがトンネル サーバーに接続できない

問題: デバイスがサーバーへの接続に失敗し、Tunnel サーバー ocserv ログ ファイルに次のようなエントリが含まれています。 main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

トンネル ログの表示に関するガイダンスについては、この記事の「Microsoft Tunnel ログの表示」を参照してください。

解決策: Linux サーバーの再起動後、 mst-cli server restart を使用してサーバーを再起動します。

この問題が解決しない場合は、cron スケジューリング ユーティリティを使用して再起動コマンドを自動化することを検討してください。 opensource.com で「Linux で cron を使用する方法」を参照してください。

次の手順

Microsoft Tunnel のリファレンス