Fehlerbehebung und Erfassung grundlegender Informationen für das Secure Access Support Team

Download-Optionen

  • PDF     (291.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (98.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (97.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Dezember 2023
Dokument-ID:221240

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die grundlegenden Informationen beschrieben, die bei der Arbeit mit dem Cisco Secure Access Support Team gesammelt werden müssen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Sicherer Zugriff von Cisco
    • Cisco Secure Client
    • Paketerfassung über Wireshark und tcpdump

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Bei der Arbeit an Cisco Secure Access können Sie Probleme feststellen, wenn Sie das Cisco Support-Team kontaktieren müssen, oder wenn Sie eine grundlegende Untersuchung des Problems durchführen und versuchen möchten, die Protokolle zu durchsuchen und das Problem zu isolieren. In diesem Artikel wird erläutert, wie Sie die grundlegenden Fehlerbehebungsprotokolle für den sicheren Zugriff sammeln. Beachten Sie, dass nicht alle Schritte für jedes Szenario gelten.

    ID der Organisation für sicheren Zugriff ermitteln

    Damit Cisco Techniker nach Ihrem Konto suchen können, geben Sie Ihre Organisations-ID an, die Sie nach der Anmeldung beim Secure Access Dashboard unter der URL finden.

    Schritte zum Suchen der Organisations-ID:

    1. Melden Sie sich unter sse.cisco.com an.
    2. Wenn Sie mehrere Organisationen haben, wechseln Sie zur rechten.
    3. Die Organisations-ID befindet sich in der URL in diesem Muster: https://dashboard.sse.cisco.com/org/{7_digit_org_id}/Überblick

    Cisco Secure Client Diagnostic and Reporting Tool (DART)

    Das Cisco Secure Client Diagnostic and Reporting Tool (DART) ist ein Tool, das mit dem Secure Client-Paket installiert wird und dazu beiträgt, wichtige Informationen über das Benutzerendgerät zu erfassen.

    Beispiel für Informationen, die vom DART-Paket gesammelt wurden:

    - ZTNA-Protokolle
    - Protokolle und Profilinformationen des sicheren Clients
    - Systeminformationen
    - Andere Secure Client Add-ons oder Plugins-Protokolle, die auf installiert sind

    Hinweise zum Sammeln von DART:

    Schritt 1: Starten Sie DART.

    1. Starten Sie für einen Windows-Computer den Cisco Secure Client.
    2. Wählen Sie für einen Linux-Computer Applications > Internet > Cisco DARToder /opt/cisco/anyconnect/dart/dartui.
    3. Für einen Mac-Computer wählen SieApplications > Cisco > Cisco DART.

    Schritt 2: Klicken Sie auf die Registerkarte Statistik und anschließend auf Details.

    Schritt 3: Wählen Sie "Standard" oder "Benutzerdefiniert".

    tip-icon

    Tipp: Der Standardname für das Paket lautet DARTBundle.zip und wird auf dem lokalen Desktop gespeichert.

    note-icon

    Anmerkung: Wenn Sie Default (Standard) auswählen, beginnt DART mit der Erstellung des Pakets. Wenn Sie Benutzerdefiniert auswählen, fahren Sie mit den Aufforderungen des Assistenten fort, um Protokolle, Einstellungsdateien, Diagnoseinformationen und andere Anpassungen anzugeben.

    Debug-Protokolle für ZTNA- und SWG-Module aktivieren

    In einigen Szenarien muss das Support-Team Protokolle auf Ablaufverfolgungs- oder Debugebene aktivieren, um komplexere Probleme zu identifizieren.

    Führen Sie die in diesem Abschnitt beschriebenen Schritte aus, um Debug-Vorgänge für die einzelnen Module zu aktivieren. 

    Debug-Protokolle für ZTNA aktivieren

    Schritt 1: Erstellen Sie eine JSON-Datei mit dem Namen logconfig.json.

    Schritt 2. Geben Sie diesen Text in die Datei ein.

    { "global": "DBG_TRACE" }

    Schritt 3: Speichern der Datei im richtigen Verzeichnis auf Basis des Betriebssystems

    • 
Windows: C:\ProgramData\Cisco\Cisco Sicherer Client\ZTA

    • MacOS: /opt/cisco/secureclient/zta



    Schritt 4: Starten Sie das ZTNA-Modul oder den Cisco Secure Client neu, damit die Protokolle wirksam werden. 

    Debug-Protokolle für SWG aktivieren

    Schritt 1: Erstellen Sie eine JSON-Datei mit dem Namen SWGConfigOverride.json.

    Schritt 2. Geben Sie diesen Text in die Datei ein.

    {"logLevel": "1"}



    Schritt 3: Speichern der Datei im richtigen Verzeichnis auf Basis des Betriebssystems

    • 
Windows: C:\ProgramData\Cisco\Cisco Client\Umbrella\SWG\
    • MacOS: /opt/cisco/secureclient/umbrella/swg

    Schritt 4: Starten Sie das SWG-Modul oder den Cisco Secure Client neu, damit die Protokolle wirksam werden. 

    Debug-Protokolle für DUO aktivieren

    DUO KDF-Protokolle aktivieren (Statusfehlerbehebung, Probleme mit der Registrierung)

    reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Duo\Duo Device Health” /v verbose_logging_enabled /d 1 /f

    DUO KDF-Protokolle deaktivieren 

    reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Duo\Duo Device Health” /v verbose_logging_enabled /d 0 /f

    KDF-Protokolle für ZTNA und SWG, DNS-Module (Windows) sammeln

    In einigen Szenarien würde das Support-Team das Sammeln von KDF-Protokollen erfordern, um komplexere Probleme zu identifizieren.

    Führen Sie die in diesem Abschnitt beschriebenen Schritte aus, um die KDF-Protokolle zu konfigurieren und zu sammeln.

    Voraussetzungen

    Die Installation von DebugView ist erforderlich, um die Protokolle ordnungsgemäß zu erfassen. die mit dieser Quelle installiert werden können: https://learn.microsoft.com/en-us/sysinternals/downloads/debugview

    DNS-Registrierungsschlüssel aktivieren

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acsock" /v DebugFlags /d 0x20801FF /t reg_dword /f

    SWG-Registrierungsschlüssel aktivieren

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acsock" /v DebugFlags /d 0x70C01FF /t reg_dword /f

    ZTNA-Registrierungsschlüssel aktivieren 

    "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -sdf 0x40018EF52

    Alle Markierungen deaktivieren

    "%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -cdf

    HTTP-Archivierung (HAR) erfasst

    HAR kann von verschiedenen Browsern gesammelt werden. Es bietet mehrere Informationen, darunter:

    1. Entschlüsselte Version der HTTPS-Anforderungen.
    2. Interne Informationen zu Fehlermeldungen, Anforderungsdetails und Headern.
    3. Informationen zu Zeitablauf und Verzögerung
    4. Sonstige Informationen zu browserbasierten Anfragen.

    Zum Sammeln von HAR-Aufzeichnungen führen Sie bitte die in dieser Quelle beschriebenen Schritte aus: https://toolbox.googleapps.com/apps/har_analyzer/

    note-icon

    Anmerkung: Sie müssen Ihre Browser-Sitzung aktualisieren, um die richtigen Daten zu sammeln.

    Paketerfassung

    Die Paketerfassung ist in einem Szenario nützlich, in dem ein Leistungsproblem oder ein Paketverlust erkannt wird oder bei dem ein Netzwerkausfall insgesamt auftritt. Die gängigsten Tools zum Sammeln von Aufnahmen sindwiresharkund tcpdump. Oder eine integrierte Funktion zum Sammeln des PCAP-Dateiformats im Gerät selbst, z. B. eine Cisco Firewall oder ein Router.


    Um nützliche Paketerfassungen auf einem Endpunkt zu sammeln, stellen Sie Folgendes sicher:

    1. Loopback-Schnittstelle zur Erfassung von Datenverkehr, der über Secure Client-Add-ons gesendet wird
    2. Alle anderen am Paketpfad beteiligten Schnittstellen.
    3. Wenden Sie nur minimale oder gar keine Filter an, um sicherzustellen, dass alle Daten gesammelt werden.

    note-icon

    Anmerkung: Wenn Erfassungen auf einem Netzwerkgerät erfasst werden, stellen Sie sicher, dass Sie nach der Quelle und dem Ziel des Datenverkehrs filtern und die Erfassung auf zugehörige Ports und Services beschränken, um die durch diese Aktivität verursachte Leistung zu vermeiden.

    Ausgabe von Richtliniendebugs

    Bei der Ausgabe des Richtlinien-Debugging handelt es sich um eine Diagnoseausgabe, die über den Benutzerbrowser gesendet wird, wenn sie durch sicheren Zugriff geschützt ist. die wichtige Informationen über die Bereitstellung enthält.

    1. Organisations-ID
    2. Bereitstellungstyp
    3. Angeschlossener Proxy
    4. Öffentliche und private IP-Adresse
    5. Weitere Informationen zur Quelle des Datenverkehrs.

    Um die Richtlinientestergebnisse auszuführen, melden Sie sich über einen geschützten Endpunkt an: https://policy.test.sse.cisco.com/

    Stellen Sie sicher, dass Sie dem Stammzertifikat für sicheren Zugriff vertrauen, wenn in Ihrem Browser eine Zertifikatfehlermeldung angezeigt wird.

    So laden Sie das Stammzertifikat für sicheren Zugriff herunter:

    Navigieren Sie zu Sicherer Zugriff Dashboard > Secure > Settings > Certificate > (Internet Destinations tab)

    Allgemeine Befehle Fehlerbehebung für Site-to-Site-Tunnel

    # Tunnel Establishment
    asa>show crypto ikev1 sa

    asa>show crypto ikev2 sa

    asa>show crypto ipsec sa
    
asa>show crypto session

    #BGP Troubleshooting
    asa>show running-config router bgp
    asa>show bgp summary
    asa>show ip bgp neighbors

    #Routes Advertisements
    asa>show bgp ipv4 unicast neighbors <sse-dc-ip> advertised-routes
    
asa>show bgp ipv4 unicast neighbors <sse-dc-ip> received-routes
    
asa>show bgp ipv4 unicast neighbors <sse-dc-ip> routes

    #Debug BGP events
    asa>debug ip bgp

    asa>debug ip bgp events
    
asa>debug ip bgp updates

    asa>debug ip routing

    #Disable Debugs
    asa>undebug all

    Common Commands Troubleshooting Resource Connector

    Die Liste bietet einen umfassenden Überblick über den Ressourcenkonnektor und wichtige Details zur Fehlerbehebung für das Secure Access Support Team.

    #DNS and connectivity tests on the local IP address, gateway, Secure Access APIs
    rc-cli> diagnostic
    #Software version, VPN tunnel state, system health, sysctl settings, routes and iptables
    rc-cli> techsupport
    #Packet captures
    rc-cli> tcpdump <host>

    Ergebnisse in Cisco Support Service Request hochladen

    Sie können Dateien wie folgt auf den Support hochladen:


    Schritt 1: Anmeldung bei SCM

    Schritt 2: Um das Ticket anzuzeigen und zu bearbeiten, klicken Sie in der Liste auf die Ticketnummer oder den Titel. Die Seite "Ticketübersicht" wird geöffnet.

    Schritt 3: Klicken Sie auf Dateien hinzufügen, um eine Datei auszuwählen und als Anhang zum Ticket hochzuladen. Das System zeigt das SCM-Datei-Uploader-Tool an.

    Upload notes and files to support case

    Schritt 4. Ziehen Sie im Dialogfeld Dateien zum Hochladen auswählen die Dateien, die Sie hochladen möchten, oder klicken Sie in das Fenster, um auf Ihrem lokalen Computer nach Dateien zum Hochladen zu suchen.

    Schritt 5. Fügen Sie eine Beschreibung hinzu und geben Sie eine Kategorie für alle Dateien oder einzeln an.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    14-Dec-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Fuad Al Asouli
      TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.