Aracılığıyla paylaş

Microsoft Tunnel’i İzleme

  • Makale

Microsoft Tunnel'ı yükledikten sonra sunucu yapılandırmasını ve sunucu durumunu Microsoft Intune yönetim merkezinde görüntüleyebilirsiniz.

Yönetim merkezi kullanıcı arabirimini kullanma

Microsoft Intune yönetim merkezinde oturum açın ve Kiracı yönetimi>Microsoft Tunnel Gateway>Sistem Durumu'na gidin.

Ardından, bir sunucu seçin ve ardından bu sunucuların sistem durumu ölçümlerini görüntülemek için Sistem durumu denetimi sekmesini açın. Varsayılan olarak, her ölçüm durumu belirleyen önceden tanımlanmış eşik değerlerini kullanır. Aşağıdaki ölçümler bu eşiklerin özelleştirilmesini destekler:

  • CPU kullanımı
  • Bellek kullanımı
  • Disk alanı kullanımı
  • Gecikme

Sunucu durumu ölçümleri için varsayılan değerler:

  • Son iade – Tunnel Gateway sunucusu Intune ile son iade edildiğinde.

    • Sağlıklı – Son check-in işlemi son beş dakika içinde yapıldı.
    • İyi durumda değil – Son check-in işlemi beş dakika önce yapıldı.

  • Geçerli bağlantılar – Son sunucu iadesinde etkin olan benzersiz bağlantı sayısı.

    • Sağlıklı – 4.990 veya daha az bağlantı vardı
    • İyi durumda değil – 4.990'dan fazla etkin bağlantı vardı

  • Aktarım hızı : Son sunucu iadesinde Tunnel Gateway NIC'den geçen trafiğin saniyedeki megabit bitleri.

  • CPU kullanımı : Tunnel Gateway sunucusu tarafından her beş dakikada bir ortalama CPU kullanımı.

    • Sağlıklı - %95 veya daha az
    • Uyarı - %96 ile %99 arası
    • İyi durumda değil - %100 kullanım

  • CPU çekirdekleri – Bu sunucuda kullanılabilen CPU çekirdeklerinin sayısı.

    • Sağlıklı - 4 veya daha fazla çekirdek
    • Uyarı - 1, 2 veya 3 çekirdek
    • İyi durumda olmayan -0 çekirdek

  • Bellek kullanımı – Tunnel Gateway sunucusu tarafından her 5 dakikada bir ortalama bellek kullanımı.

    • Sağlıklı - %95 veya daha az
    • Uyarı - %96 ile %99 arası
    • İyi durumda değil - %100 kullanım

  • Disk alanı kullanımı – Tunnel Gateway sunucusunun kullandığı disk alanı miktarı.

    • Sağlıklı - 5 GB'ın üzerinde
    • Uyarı - 3-5 GB
    • İyi durumda değil - 3 GB'ın altında

  • Gecikme süresi : IP paketlerinin gelmesi ve ardından ağ arabiriminden çıkması için geçen ortalama süre.

    • Sağlıklı - 10 milisaniyeden az
    • Uyarı - 10 milisaniye ile 20 milisaniye arası
    • İyi durumda değil - 20 milisaniyeden fazla

  • Yönetim aracısı sertifikası – Yönetim aracısı sertifikası Tunnel Gateway tarafından Intune ile kimlik doğrulaması yapmak için kullanılır, bu nedenle süresi dolmadan önce yenilenmesi önemlidir. Ancak, otomatik olarak yenilenmelidir.

    • Sağlıklı - Sertifika süre sonu 30 günden uzun sürer.
    • Uyarı - Sertifika süresinin dolması 30 günden kısa sürer.
    • İyi durumda değil - Sertifikanın süresi doldu.

  • TLS sertifikası - İstemciler ile Tünel Ağ Geçidi sunucusu arasındaki trafiğin güvenliğini sağlayan Aktarım Katmanı Güvenliği (TLS) sertifikasının süresinin dolmasına kadar olan gün sayısı.

    • Sağlıklı - 30 günden fazla
    • Uyarı - 30 gün veya daha az
    • İyi durumda değil - Sertifikanın süresi doldu

  • TLS sertifika iptali – Tünel Ağ Geçidi, TLS sertifikası tarafından tanımlanan Çevrimiçi Sertifika Durum Protokolü (OCSP) veya sertifika iptal listesi (CRL) adresini kullanarak Aktarım Katmanı Güvenliği (TLS) sertifikasının iptal durumunu denetlemeye çalışır. Bu denetim, sunucunun sertifikada tanımlandığı gibi OCSP uç noktasına veya CRL adresine erişmesini gerektirir.

    • Sağlıklı - TLS sertifikası iptal edilmemiştir.
    • Uyarı - TLS sertifikasının iptal edilip iptal edilemediği denetlenemiyor. Sertifikada tanımlanan uç noktaların Tünel sunucusundan erişilebildiğinden emin olun.
    • İyi durumda değil - TLS sertifikası iptal edilir.

    İptal edilen BIR TLS sertifikasını değiştirmeyi planlayın.

    Çevrimiçi Sertifika Durumu Protokolü (OCSP) hakkında daha fazla bilgi edinmek için wikipedia.org'daki Çevrimiçi Sertifika Durumu Protokolü'ne bakın.

  • İç ağ erişilebilirliği – İç URL'nin en son denetiminden gelen durum. URL'yi Tünel Sitesi yapılandırmasının bir parçası olarak yapılandırabilirsiniz.

    • Sağlıklı - Sunucu, site özelliklerinde belirtilen URL'ye erişebilir.
    • İyi durumda değil - Sunucu, site özelliklerinde belirtilen URL'ye erişemiyor.
    • Bilinmiyor - Bu durum, site özelliklerinde bir URL ayarlamadığınızda görüntülenir. Bu durum sitenin genel durumunu etkilemez.

  • Yükseltilebilirlik – Sunucunun Microsoft Container Repository ile iletişim kurabilmesi, sürümler kullanılabilir olduğunda Tunnel Gateway'in yükseltmesine izin verir.

    • Sağlıklı - Sunucu son 5 dakika içinde Microsoft Container Repository ile iletişim kurmadı.
    • İyi durumda değil - Sunucu, Microsoft Container Repository ile 5 dakikadan uzun süredir iletişim kurmadı.

  • Sunucu sürümü - Tunnel Gateway Sunucusu yazılımının en son sürüme göre durumu.

    • Sağlıklı - En son yazılım sürümüyle güncel
    • Uyarı - Bir sürüm geride
    • İyi durumda değil - İki veya daha fazla sürüm geride ve destek dışı

    Sunucu sürümüSağlıklı olmadığında, Microsoft Tunnel için yükseltmeleri yüklemeyi planlayın.

  • Sunucu kapsayıcısı – Microsoft Tunnel sunucusunu barındıran kapsayıcının çalışır durumda olup olmadığını belirler.

    • Sağlıklı - Sunucu kapsayıcısı durumu iyi durumda.
    • İyi durumda değil - Sunucu kapsayıcısı durumu iyi durumda değil.

  • Sunucu yapılandırması – Sunucu yapılandırmasının Microsoft Intune site ayarlarından Tünel sunucusuna başarıyla uygulanılıp uygulanmadığını belirler.

    • Sağlıklı - Sunucu yapılandırması başarıyla uygulandı.
    • İyi durumda değil - Sunucu yapılandırması uygulanamadı.

  • Sunucu günlükleri – Günlüklerin son 60 dakika içinde sunucuya yüklenip yüklenmediğini belirler.

    • Sağlıklı - Sunucu günlükleri son 60 dakika içinde karşıya yüklendi.
    • İyi durumda değil - Sunucu günlükleri son 60 dakika içinde karşıya yüklenmedi.

Sistem durumu eşiklerini yönetme

Her biri durumunu bildirmek için kullandığı eşikleri değiştirmek için aşağıdaki Microsoft Tunnel sistem durumu ölçümlerini özelleştirebilirsiniz. Özelleştirmeler kiracı genelindedir ve tüm Tünel sunucularına uygulanır. Özelleştirebileceğiniz sistem durumu denetimi ölçümleri şunlardır:

  • CPU kullanımı
  • Bellek kullanımı
  • Disk alanı kullanımı
  • Gecikme

Ölçüm eşiği değerini değiştirmek için:

Sistem durumu eşiklerini seçme ve yapılandırma ekran görüntüsü.

  1. Microsoft Intune yönetim merkezinde oturum açın ve Kiracı yönetimi>Microsoft Tunnel Gateway>Sistem Durumu'na gidin.

  2. Eşikleri yapılandır'ı seçin.

  3. Yapılandırılan eşikler sayfasında, özelleştirmek istediğiniz her sistem durumu denetimi kategorisi için yeni eşikler ayarlayın.

    • Eşik değerleri tüm sitelerdeki tüm sunuculara uygulanır.
    • Tüm eşikleri varsayılan değerlerine geri yüklemek için Varsayılana geri dön'ü seçin.

  4. Kaydet'i seçin.

  5. Sistem durumu bölmesinde Yenile'yi seçerek tüm sunucuların durumunu özelleştirilmiş eşik değerlerine göre güncelleştirin.

Eşikleri değiştirdikten sonra, bir sunucu Sistem Durumu denetimi sekmesindeki değerler, geçerli eşiklere göre durumunu yansıtacak şekilde otomatik olarak güncelleştirilir.

Sunucuların ekran görüntüsü Sistem durumu denetimi görünümü.

Sistem durumu eğilimlerini görüntüleme Microsoft Tunnel Gateway sistem durumu ölçümlerini grafik biçiminde görüntüleyin. Grafiklerin verileri üç saatlik bir blok üzerinde ortalama alınır ve bu nedenle üç saate kadar geciktirilebilir.

Sistem durumu eğilim grafikleri aşağıdaki ölçümler için kullanılabilir:

  • Connections
  • CPU kullanımı
  • Disk alanı kullanımı
  • Bellek kullanımı
  • Ortalama gecikme süresi
  • Verim

Eğilim grafiklerini görüntülemek için:

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Kiracı yönetimi>Microsoft Tunnel Gateway>Sistem Durumu'na> gidinBir sunucu seçin ve ardından Eğilimler'i seçin

  3. Görüntülemek istediğiniz ölçüm grafiğini seçmek için Ölçüm açılan listesini kullanın.

mst-cli komut satırı aracını kullanma

Microsoft Tunnel sunucusu hakkında bilgi almak için mst-cli komut satırı aracını kullanın. Bu dosya, Microsoft Tunnel yüklendiğinde Linux sunucusuna eklenir. Araç şu konumda bulunur: /usr/sbin/mst-cli.

Daha fazla bilgi ve komut satırı örnekleri için bkz. Microsoft Tunnel için mst-cli komut satırı aracı.

Microsoft Tunnel günlüklerini görüntüleme

Microsoft Tunnel bilgileri Linux sunucu günlüklerine syslog biçiminde kaydeder. Günlük girdilerini görüntülemek için journalctl -t komutunu ve ardından Microsoft Tunnel girişlerine özgü bir veya daha fazla etiketi kullanın:

  • mstunnel-agent: Aracı günlüklerini görüntüleyin.

  • mstunnel_monitor: İzleme görev günlüklerini görüntüleyin.

  • ocserv - Sunucu günlüklerini görüntüleme.

  • ocserv-access - Erişim günlüklerini görüntüleme.

    Varsayılan olarak, erişim günlüğü devre dışıdır. Erişim günlüklerinin etkinleştirilmesi, sunucudaki etkin bağlantı sayısına ve kullanım desenlerine bağlı olarak performansı düşürebilir. DNS bağlantıları için günlüğe kaydetme günlüklerin ayrıntı düzeyini artırır ve bu da gürültülü olabilir.

    Erişim günlükleri şu biçime sahiptir: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> Örneğin:

    • 25 Şubat 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f51324 55-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

    Önemli

    ocserv-access'tedeviceId değeri, bir cihazda çalışan Microsoft Defender benzersiz yükleme örneğini tanımlar ve Intune cihaz kimliğini veya Microsoft Entra cihaz kimliğini tanımlamaz. Defender kaldırılır ve bir cihaza yeniden yüklenirse DeviceId* için yeni bir örnek oluşturulur.

    Erişim günlüğünü etkinleştirmek için:

    1. set TRACE_SESSIONS=1 in /etc/mstunnel/env.sh
    2. TRACE_SESSIONS=2'yi DNS bağlantıları için günlüğe kaydetmeyi içerecek şekilde ayarlayın
    3. Sunucuyu yeniden başlatmak için komutunu çalıştırın mst-cli server restart .

    Erişim günlükleri çok gürültülüyse, TRACE_SESSIONS=1'i ayarlayarak ve sunucuyu yeniden başlatarak DNS bağlantı günlüğünü kapatabilirsiniz.

  • OCSERV_TELEMETRY - Tünel bağlantıları için telemetri ayrıntılarını görüntüleyin.

    Telemetri günlükleri, yalnızca bağlantı kesme işlemleri için kullanılan bytes_in, bytes_out ve süre değerleriyle birlikte aşağıdaki biçime sahiptir: Örneğin: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration>

    • 20 Ekim 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3,169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

    Önemli

    OCSERV_TELEMETRY'de deviceId değeri, bir cihazda çalışan Microsoft Defender benzersiz yükleme örneğini tanımlar ve Intune cihaz kimliğini veya Microsoft Entra cihaz kimliğini tanımlamaz. Defender kaldırılır ve bir cihaza yeniden yüklenirse DeviceId* için yeni bir örnek oluşturulur.

journalctl için komut satırı örnekleri:

  • Yalnızca tünel sunucusunun bilgilerini görüntülemek için komutunu çalıştırın journalctl -t ocserv.
  • Telemetri günlüğünü görüntülemek için journalctl -t ocserv | grep TELEMETRY
  • Tüm günlük seçeneklerinin bilgilerini görüntülemek için komutunu çalıştırabilirsiniz journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
  • Günlük dosyasının etkin ve devam eden bir görünümünü görüntülemek için komutuna ekleyin -f . Örneğin, Microsoft Tunnel için devam eden işlemleri etkin bir şekilde izlemek için komutunu çalıştırın journalctl -t mstunnel_monitor -f.

Journalctl için diğer seçenekler:

  • journalctl -hJournalctl için komut yardımlarını görüntüleyin.
  • man journalctl – Ek bilgileri görüntüleyin.
  • man journalctl.conf Yapılandırma hakkında bilgi görüntüleme Journalctl hakkında daha fazla bilgi için kullandığınız Linux sürümünün belgelerine bakın.

Tünel sunucuları için tanılama günlüklerinin kolay karşıya yüklenmesi

Tanılama yardımı olarak, Intune yönetim merkezinde tek tıklamayla Intune tunnel gateway sunucusundan doğrudan Microsoft'a ayrıntılı günlükleri etkinleştirebilir, toplayabilir ve gönderebilirsiniz. Bu ayrıntılı günlükler daha sonra Bir Tünel sunucusuyla ilgili sorunları belirlemek veya çözmek için Microsoft ile çalışırken doğrudan Microsoft'un kullanımına sunulur.

Destek olayı açmadan önce veya bir Tünel sunucuları işlemini incelemek için Microsoft ile çalışıyor olmanız durumunda istek üzerine olaydan ayrıntılı günlükleri toplayıp karşıya yükleyebilirsiniz.

Bu özelliği kullanmak için:

  1. Microsoft Intune yönetim merkezini açın, Kiracı yönetimi>Microsoft Tunnel Gateway'e> gidin bir sunucu> seçin ve ardından Günlükler sekmesini seçin.

  2. Günlükler sekmesinde Ayrıntılı sunucu günlüklerini gönder bölümünü bulun ve Günlükleri gönder'i seçin.

Bir Tünel sunucusu için günlükleri gönder'i seçtiğinizde aşağıdaki işlem başlar:

  • İlk olarak, Intune geçerli Tunnel sunucu günlükleri kümesini yakalar ve bunları doğrudan Microsoft'a yükler. Bu günlükler, sunucuların geçerli günlük ayrıntı düzeyi kullanılarak toplanır. Varsayılan olarak, sunucu ayrıntı düzeyi sıfırdır (0).
  • Ardından, Intune Tünel sunucusu günlükleri için dört (4) ayrıntı düzeyini etkinleştirir. Bu ayrıntı düzeyi sekiz saat boyunca toplanır.
  • Sekiz saatlik ayrıntılı günlük toplama işlemi sırasında, günlüklerdeki ayrıntılı ayrıntıları yakalamak için araştırılan sorun veya işlem yeniden oluşturulmalıdır.
  • sekiz saat sonra Intune ayrıntılı ayrıntıları içeren ikinci bir sunucu günlükleri kümesi toplar ve bunları Microsoft'a yükler. Karşıya yükleme sırasında Intune ayrıca Tunnel sunucusu günlüklerini sıfır (0) varsayılan ayrıntı düzeyini kullanacak şekilde sıfırlar. Daha önce Sunucunun ayrıntı düzeyini yükselttiyseniz, Intune ayrıntı düzeyini sıfırladıktan sonra özel ayrıntı düzeyinizi geri yükleyebilirsiniz.

Intune toplayıp karşıya yükleyen her günlük kümesi, günlükleri gönder düğmesinin altındaki yönetim merkezinde aşağıdaki ayrıntıların gösterildiği ayrı bir küme olarak tanımlanır:

  • Günlük koleksiyonunun başlangıç ve bitiş saati
  • Karşıya yüklemenin oluşturulduğu zaman
  • Günlük ayrıntı düzeyini ayarlar
  • Belirli bir günlük kümesini tanımlamak için kullanılabilecek bir Olay Kimliği

Ayrıntılı sunucu günlükleri gönder arabirimini gösteren ekran görüntüsü.

Ayrıntılı günlük toplamayı çalıştırırken bir sorunu yakaladıktan sonra, araştırmaya yardımcı olması için söz konusu günlük kümesinin Olay kimliğini Microsoft'a sağlayabilirsiniz.

Günlük toplama hakkında

  • Intune, ayrıntılı günlük kaydını etkinleştirmek veya devre dışı bırakmak için Tünel sunucusunu durdurmaz veya yeniden başlatmaz.
  • Sekiz saatlik ayrıntılı günlük süresi erken uzatılamaz veya durdurulamaz.
  • Ayrıntılı günlük kaydıyla ilgili bir sorunu yakalamak için Günlükleri gönder işlemini gerektiği sıklıkta kullanabilirsiniz. Ancak artan günlük ayrıntı düzeyi Tünel Sunucusu'na yük ekler ve normal bir yapılandırma olarak önerilmez.
  • Ayrıntılı günlük kaydı sona erdikten sonra, önceden ayarlanmış ayrıntı düzeylerinden bağımsız olarak Tünel sunucusu günlükleri için varsayılan sıfır ayrıntı düzeyi ayarlanır.
  • Bu işlem aracılığıyla aşağıdaki günlükler toplanır:
    • mstunnel-agent (Aracı günlükleri)
    • mstunnel_monitor (Görev günlüklerini izleme)
    • ocserv (Sunucu günlükleri)

Ocserv-access günlükleri toplanmaz veya karşıya yüklenmez.

Bilinen sorunlar

Microsoft Tunnel ile ilgili bilinen sorunlar aşağıdadır.

Sunucu durumu

Sunucu sistem durumu çevrimdışı olarak göründüğünde istemciler Tünel'i başarıyla kullanabilir

Sorun: Tünel Durumu sekmesinde, kullanıcıların tünel sunucusuna ulaşıp kuruluşun kaynaklarına bağlanabilmesine rağmen sunucunun sistem durumu çevrimdışı olarak bildirilir.

Çözüm: Bu sorunu çözmek için Tünel sunucusu aracısını Intune yeniden kaydeden Microsoft Tunnel'ı yeniden yüklemeniz gerekir. Bu sorunu önlemek için Tünel aracısının ve sunucunun güncelleştirmelerini yayımlandıktan hemen sonra yükleyin. Sunucu durumunu izlemek için Microsoft Intune yönetim merkezindeki Tünel sunucusu sistem durumu ölçümlerini kullanın.

Podman ile, mstunnel_monitor günlüğünde "Denetim yürütülürken hata" ifadesini görürsünüz

Sorun: Podman etkin kapsayıcıların çalıştığını belirleyemiyor veya göremiyor ve Tünel sunucusunun mstunnel_monitor günlüğünde "Denetim yürütülürken hata" bildiriyor. Hata örnekleri aşağıda verilmiştir:

  • Aracı:

    Error executing Checkup
Error details
\tscript: 561 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

  • Sunucu:

    Error executing Checkup
Error details
\tscript: 649 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

Çözüm: Bu sorunu çözmek için Podman kapsayıcılarını el ile yeniden başlatın. Podman daha sonra kapsayıcıları tanımlayabilmelidir. Sorun devam ederse veya döndürürse, bu sorun görüldüğünde kapsayıcıları otomatik olarak yeniden başlatan bir iş oluşturmak için cron kullanmayı göz önünde bulundurun.

Podman ile mstunnel-agent günlüğünde System.DateTime hataları görürsünüz

Sorun: Podman kullandığınızda, mstunnel-agent günlüğü aşağıdaki girişlere benzer hatalar içerebilir:

  • Failed to parse version-info.json for version information.
  • System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

Bu sorun, Podman ve Tünel Aracısı arasındaki tarihleri biçimlendirme farklılıkları nedeniyle oluşur. Bu hatalar önemli bir sorunu göstermez veya bağlantıyı engellemez. Ekim 2022'de yayımlanan kapsayıcılarla başlayarak biçimlendirme sorunları çözülmelidir.

Çözüm: Bu sorunları çözmek için aracı kapsayıcısını (Podman veya Docker) en son sürüme güncelleştirin. Bu hataların yeni kaynakları keşfedildikçe sonraki sürüm güncelleştirmelerinde bunları düzeltmeye devam edeceğiz.

Tünele Bağlantı

Cihazlar Tünel sunucusuna bağlanamıyor

Sorun: Cihazlar sunucuya bağlanamıyor ve Tunnel sunucusu ocserv günlük dosyası aşağıdaki girişe benzer bir girdi içeriyor: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Tünel günlüklerini görüntüleme yönergeleri için bu makaledeki Microsoft Tunnel günlüklerini görüntüleme bölümüne bakın.

Çözüm: Linux sunucusu yeniden başlatıldıktan sonra kullanarak mst-cli server restart sunucuyu yeniden başlatın.

Bu sorun devam ederse cron zamanlama yardımcı programını kullanarak yeniden başlatma komutunu otomatikleştirmeyi göz önünde bulundurun. Bkz. opensource.com'deLinux'ta cron kullanma.

Sonraki adımlar

Microsoft Tunnel başvurusu