Delen via

Problemen oplossen met Azure VPN Gateway met behulp van diagnostische logboeken

  • Artikel

In dit artikel vindt u meer informatie over de verschillende logboeken die beschikbaar zijn voor diagnostische gegevens van VPN Gateway en hoe u deze kunt gebruiken om problemen met vpn-gateways effectief op te lossen.

Als uw Azure-probleem niet wordt opgelost in dit artikel, gaat u naar de Azure-forums op Microsoft Q & A en Stack Overflow. U kunt uw probleem posten in deze forums of posten op @AzureSupport op Twitter. U kunt ook een Azure-ondersteuningsaanvraag indienen. Als u een ondersteuningsaanvraag wilt indienen, selecteert u op de pagina Azure-ondersteuningOndersteuning krijgen.

De volgende logboeken zijn beschikbaar* in Azure:

Naam Beschrijving
GatewayDiagnosticLog Bevat diagnostische logboeken voor gatewayconfiguratie-gebeurtenissen, primaire wijzigingen en onderhoudsevenementen.
TunnelDiagnosticLog Bevat gebeurtenissen voor wijziging van tunnelstatus. Tunnel connect/disconnect events hebben een samengevatte reden voor de statuswijziging, indien van toepassing.
RouteDiagnosticLog Registreert wijzigingen in statische routes en BGP-gebeurtenissen die op de gateway plaatsvinden.
IKEDiagnosticLog Registreert IKE-controleberichten en -gebeurtenissen op de gateway.
P2SDiagnosticLog Registreert punt-naar-site-controleberichten en -gebeurtenissen op de gateway.

*voor op beleid gebaseerde gateways zijn alleen GatewayDiagnosticLog en RouteDiagnosticLog beschikbaar.

U ziet dat er verschillende kolommen beschikbaar zijn in deze tabellen. In dit artikel presenteren we alleen de meest relevante items voor eenvoudiger logboekverbruik.

Logboekregistratie instellen

Volg deze procedure voor meer informatie over het instellen van diagnostische logboeken vanuit Azure VPN Gateway met behulp van Azure Log Analytics:

  1. Maak een Log Analytics-werkruimte met behulp van dit artikel.

  2. Zoek uw VPN-gateway op de blade Diagnostische instellingen controleren > .

Screenshot of the Diagnostic settings blade.

  1. Selecteer de gateway en klik op Diagnostische instelling toevoegen.

Screenshot of the Add diagnostic setting interface.

  1. Vul de naam van de diagnostische instelling in, selecteer alle logboekcategorieën en kies de Log Analytics-werkruimte.

Detailed screenshot of the Add diagnostic setting properties.

Notitie

Het kan enkele uren duren voordat de gegevens in eerste instantie worden weergegeven.

GatewayDiagnosticLog

Configuratiewijzigingen worden gecontroleerd in de tabel GatewayDiagnosticLog . Het kan enkele minuten duren voordat wijzigingen die u uitvoert, worden doorgevoerd in de logboeken.

Hier hebt u een voorbeeldquery als referentie.

AzureDiagnostics  
| where Category == "GatewayDiagnosticLog"  
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup  
| sort by TimeGenerated asc

Deze query in GatewayDiagnosticLog toont u meerdere kolommen.

Naam Beschrijving
TimeGenerated de tijdstempel van elke gebeurtenis, in UTC-tijdzone.
OperationName de gebeurtenis die is gebeurd. Dit kan een van de opties SetGatewayConfiguration, Set Verbinding maken ionConfiguration, HostMaintenanceEvent, GatewayTenantPrimaryChanged, MigrateCustomerSubscription, GatewayResourceMove, ValidateGatewayConfiguration zijn.
Bericht de details van de bewerking en een lijst met geslaagde/mislukte resultaten.

In het onderstaande voorbeeld ziet u de activiteit die is geregistreerd wanneer een nieuwe configuratie is toegepast:

Example of a Set Gateway Operation seen in GatewayDiagnosticLog.

U ziet dat een SetGatewayConfiguration wordt geregistreerd telkens wanneer een bepaalde configuratie wordt gewijzigd op een VPN-gateway of een lokale netwerkgateway. Kruisverwijzing naar de resultaten van de tabel GatewayDiagnosticLog met die van de tabel TunnelDiagnosticLog kan ons helpen bepalen of er een verbindingsfout in de tunnel op hetzelfde moment is gestart als een configuratie is gewijzigd, of dat er onderhoud is uitgevoerd. Zo ja, dan hebben we een goede aanwijzing voor de mogelijke hoofdoorzaak.

TunnelDiagnosticLog

De tabel TunnelDiagnosticLog is erg handig om de historische connectiviteitsstatussen van de tunnel te inspecteren.

Hier hebt u een voorbeeldquery als referentie.

AzureDiagnostics
| where Category == "TunnelDiagnosticLog"
//| where remoteIP_s == "<REMOTE IP OF TUNNEL>"
| project TimeGenerated, OperationName, remoteIP_s, instance_s, Resource, ResourceGroup
| sort by TimeGenerated asc

In deze query op TunnelDiagnosticLog worden meerdere kolommen weergegeven.

Naam Beschrijving
TimeGenerated de tijdstempel van elke gebeurtenis, in UTC-tijdzone.
OperationName de gebeurtenis die is gebeurd. Het kan Tunnel Verbinding maken ed of TunnelDisconnected zijn.
remoteIP_s het IP-adres van het on-premises VPN-apparaat. In praktijkscenario's is het handig om te filteren op het IP-adres van het relevante on-premises apparaat.
Instance_s het exemplaar van de gatewayrol dat de gebeurtenis heeft geactiveerd. Dit kan GatewayTenantWorker_IN_0 of GatewayTenantWorker_IN_1 zijn. Dit zijn de namen van de twee exemplaren van de gateway.
Resource geeft de naam van de VPN-gateway aan.
ResourceGroup geeft de resourcegroep aan waar de gateway zich bevindt.

Voorbeelduitvoer:

Example of a Tunnel Connected Event seen in TunnelDiagnosticLog.

TunnelDiagnosticLog is erg handig om eerdere gebeurtenissen over onverwachte VPN-verbindingen op te lossen. De lichtgewicht aard biedt de mogelijkheid om grote tijdsbereiken over meerdere dagen te analyseren met weinig inspanning. Pas nadat u de tijdstempel van een verbroken verbinding hebt geïdentificeerd, kunt u overschakelen naar de gedetailleerdere analyse van de tabel IKEdiagnosticLog om dieper in te gaan op de redenering van de verbroken verbindingen. Deze zijn gerelateerd aan IPsec.

Enkele tips voor probleemoplossing:

  • Als u een verbinding verbreken ziet op één gateway-exemplaar, gevolgd door een verbindings gebeurtenis in de verschillende gatewayinstantie in een paar seconden, bekijkt u een gatewayfailover. Dit is meestal een verwacht gedrag vanwege onderhoud op een gateway-exemplaar. Zie Over redundantie van Azure VPN-gateways voor meer informatie over dit gedrag.
  • Hetzelfde gedrag wordt waargenomen als u opzettelijk een gateway opnieuw instellen uitvoert aan de Azure-zijde, waardoor het actieve gatewayexemplaren opnieuw worden opgestart. Zie Een VPN Gateway opnieuw instellen voor meer informatie over dit gedrag.
  • Als u een gebeurtenis voor het verbreken van de verbinding ziet op één gateway-exemplaar, gevolgd door een verbindingsgebeurtenis op hetzelfde gatewayexemplaren, kunt u een netwerkfout bekijken die een DPD-time-out veroorzaakt, of een verbroken verbinding die per ongeluk door het on-premises apparaat wordt verzonden.

RouteDiagnosticLog

De tabel RouteDiagnosticLog traceert de activiteit voor statisch gewijzigde routes of routes die via BGP worden ontvangen.

Hier hebt u een voorbeeldquery als referentie.

AzureDiagnostics
| where Category == "RouteDiagnosticLog"
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup

In deze query op RouteDiagnosticLog worden meerdere kolommen weergegeven.

Naam Beschrijving
TimeGenerated de tijdstempel van elke gebeurtenis, in UTC-tijdzone.
OperationName de gebeurtenis die is gebeurd. Kan een van de staticRouteUpdates, BgpRouteUpdate, Bgp Verbinding maken edEvent, BgpDisconnectedEvent zijn.
Bericht de details van de bewerking.

De uitvoer toont nuttige informatie over BGP-peers die zijn verbonden/verbroken en routes die zijn uitgewisseld.

Voorbeeld:

Example of BGP route exchange activity seen in RouteDiagnosticLog.

IKEDiagnosticLog

De tabel IKEDiagnosticLog biedt uitgebreide logboekregistratie voor foutopsporing voor IKE/IPsec. Dit is erg handig om te controleren bij het oplossen van problemen met verbroken verbindingen of het niet verbinden van VPN-scenario's.

Hier hebt u een voorbeeldquery als referentie.

AzureDiagnostics  
| where Category == "IKEDiagnosticLog" 
| extend Message1=Message
| parse Message with * "Remote " RemoteIP ":" * "500: Local " LocalIP ":" * "500: " Message2
| extend Event = iif(Message has "SESSION_ID",Message2,Message1)
| project TimeGenerated, RemoteIP, LocalIP, Event, Level 
| sort by TimeGenerated asc

In deze query op IKEDiagnosticLog worden meerdere kolommen weergegeven.

Naam Beschrijving
TimeGenerated de tijdstempel van elke gebeurtenis, in UTC-tijdzone.
RemoteIP het IP-adres van het on-premises VPN-apparaat. In praktijkscenario's is het handig om te filteren op het IP-adres van het relevante on-premises apparaat.
LocalIP het IP-adres van de VPN-gateway die we oplossen. In praktijkscenario's is het handig om te filteren op het IP-adres van de relevante VPN-gateway, is er meer dan één in uw abonnement.
Gebeurtenis bevat een diagnostisch bericht dat nuttig is voor het oplossen van problemen. Ze beginnen meestal met een trefwoord en verwijzen naar de acties die door de Azure Gateway worden uitgevoerd: [SEND] geeft een gebeurtenis aan die wordt veroorzaakt door een IPSec-pakket dat door de Azure Gateway wordt verzonden. [ONTVANGEN] geeft een gebeurtenis aan als gevolg van een pakket dat is ontvangen van een on-premises apparaat. [LOKAAL] geeft een lokaal uitgevoerde actie aan door de Azure Gateway.

U ziet dat de kolommen RemoteIP, LocalIP en Gebeurtenis niet aanwezig zijn in de oorspronkelijke kolomlijst in de AzureDiagnostics-database, maar worden toegevoegd aan de query door de uitvoer van de kolom Bericht te parseren om de analyse te vereenvoudigen.

Tips voor probleemoplossing:

  • Als u het begin van een IPSec-onderhandeling wilt identificeren, moet u het eerste SA_INIT bericht vinden. Een dergelijk bericht kan aan beide zijden van de tunnel worden verzonden. Wie het eerste pakket wordt 'initiator' genoemd in IPsec-terminologie, terwijl de andere kant de 'responder' wordt. Het eerste SA_INIT bericht is altijd het bericht waarbij rCookie = 0.

  • Als de IPsec-tunnel niet tot stand kan worden gebracht, blijft Azure elke paar seconden opnieuw proberen. Om deze reden is het oplossen van problemen met 'VPN down' erg handig in IKEdiagnosticLog, omdat u niet hoeft te wachten op een specifiek tijdstip om het probleem te reproduceren. Bovendien zal de fout in theorie altijd hetzelfde zijn telkens wanneer we proberen, zodat u op elk gewenst moment kunt inzoomen op één 'voorbeeld'-mislukte onderhandeling.

  • De SA_INIT bevat de IPSec-parameters die de peer wil gebruiken voor deze IPsec-onderhandeling. Het officiële document
    Met standaard-IPsec-/IKE-parameters worden de IPsec-parameters vermeld die door de Azure Gateway worden ondersteund met standaardinstellingen.

P2SDiagnosticLog

De laatst beschikbare tabel voor diagnostische gegevens van VPN is P2SDiagnosticLog. Deze tabel traceert de activiteit voor punt-naar-site (alleen IKEv2- en OpenVPN-protocollen).

Hier hebt u een voorbeeldquery als referentie.

AzureDiagnostics  
| where Category == "P2SDiagnosticLog"  
| project TimeGenerated, OperationName, Message, Resource, ResourceGroup

Deze query op P2SDiagnosticLog toont u meerdere kolommen.

Naam Beschrijving
TimeGenerated de tijdstempel van elke gebeurtenis, in UTC-tijdzone.
OperationName de gebeurtenis die is gebeurd. Is P2SLogEvent.
Bericht de details van de bewerking.

In de uitvoer worden alle punt-naar-site-instellingen weergegeven die door de gateway zijn toegepast, evenals het IPsec-beleid.

Example of Point to Site connection seen in P2SDiagnosticLog.

Wanneer een client verbinding maakt via IKEv2 of OpenVPN-punt-naar-site, worden pakketactiviteiten, EAP/RADIUS-gesprekken en geslaagde/mislukte resultaten door de gebruiker vastgelegd in de tabel.

Example of EAP authentication seen in P2SDiagnosticLog.

Volgende stappen

Zie Waarschuwingen instellen voor VPN Gateway-resourcelogboeken om waarschuwingen voor tunnelresourcelogboeken te configureren.