Risoluzione dei problemi e raccolta di informazioni di base per il team di supporto Secure Access

Introduzione

Questo documento descrive le informazioni di base da raccogliere quando si lavora con il team di supporto Cisco Secure Access

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco Secure Access
• Cisco Secure Client
• Acquisizione dei pacchetti tramite Wireshark e tcpdump

Componenti usati

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Quando si lavora su Cisco Secure Access, è possibile riscontrare problemi quando è necessario contattare il team di supporto Cisco o si desidera eseguire un'indagine di base sul problema e provare a esaminare i log per individuare la causa. In questo articolo viene descritto come raccogliere i log di risoluzione dei problemi di base relativi ad Accesso protetto. si noti che non tutti i passaggi sono validi per tutti gli scenari.

Individua l'ID organizzazione di accesso sicuro

Per consentire al tecnico Cisco di individuare l'account, fornire l'ID organizzazione che si trova nell'URL una volta eseguito l'accesso al dashboard di accesso sicuro.

Passaggi per individuare l'ID organizzazione:

1. Accedi a sse.cisco.com
2. Se si dispone di più organizzazioni, passare a quella destra.
3. L'ID dell'organizzazione si trova nell'URL nel seguente schema: https://dashboard.sse.cisco.com/org/{7_digit_org_id}/panoramica

Strumento di diagnostica e reporting (DART) Cisco Secure Client

Cisco Secure Client Diagnostic and Reporting Tool (DART) è uno strumento installato con il pacchetto Secure Client che consente di raccogliere informazioni importanti sull'endpoint utente.

Esempio di informazioni raccolte dal bundle DART:

- Registri ZTNA
- Registri client sicuri e informazioni sul profilo
- System Information
- Altri plug-in o componenti aggiuntivi client sicuri installati in

Istruzioni per la raccolta di DART:

Passaggio 1. Avviare DART.

1. Per un computer Windows, avviare Cisco Secure Client.
2. Per un computer Linux, scegliere Applications > Internet > Cisco DARTo /opt/cisco/anyconnect/dart/dartui.
3. Per un computer Mac, scegliereApplications > Cisco > Cisco DART.

Passaggio 2. Fare clic sulla scheda Statistiche e quindi su Dettagli.

Passaggio 3. Scegliere Creazione fascio predefinita o personalizzata.

Suggerimento: Il nome predefinito del bundle è DARTBundle.zip e viene salvato sul desktop locale.

Nota: Se si sceglie Predefinito, DART avvia la creazione del fascio. Se si sceglie Personalizzata, continuare la procedura guidata per specificare i registri, i file di preferenze, le informazioni di diagnostica e qualsiasi altra personalizzazione

Abilitazione dei log di debug per i moduli ZTNA e SWG

In alcuni scenari, il team di supporto deve abilitare i registri a livello di traccia o di debug per identificare i problemi più complessi.

completare la procedura descritta in questa sezione per abilitare i debug per ciascun modulo. 

Abilita log di debug per ZTNA

Passaggio 1. Creare un file json denominato logconfig.json

Passaggio 2. Inserire il testo nel file

{ "global": "DBG_TRACE" }

Passaggio 3. Inserire il file nella directory corretta in base al sistema operativo

• 
Windows: C:\ProgramData\Cisco\Cisco Secure Client\ZTA

• MacOS /opt/cisco/secureclient/zta



Passaggio 4. Riavviare il modulo ZTNA o Cisco Secure Client per rendere effettivi i log. 

Abilita log di debug per SWG

Passaggio 1. Creare un file json denominato SWGConfigOverride.json

Passaggio 2. Inserire il testo nel file

{"logLevel": "1"}



Passaggio 3. Inserire il file nella directory corretta in base al sistema operativo

• 
Windows: C:\ProgramData\Cisco\Cisco Client\Umbrella\SWG\ protetto
• MacOS /opt/cisco/secureclient/umbrella/swg

Passaggio 4. Riavviare il modulo SWG o Cisco Secure Client per rendere effettivi i log. 

Abilita log di debug per DUO

Abilita registri KDF DUO (risoluzione dei problemi relativi alla postura, problemi di registrazione)

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Duo\Duo Device Health” /v verbose_logging_enabled /d 1 /f

Disabilita registri KDF DUO 

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Duo\Duo Device Health” /v verbose_logging_enabled /d 0 /f

Raccogli log KDF per ZTNA e SWG, moduli DNS (Windows)

In alcuni scenari, il team di supporto dovrebbe raccogliere i registri kdf per identificare i problemi più complessi.

completare la procedura descritta in questa sezione per configurare e raccogliere i log kdf.

Prerequisiti

Per raccogliere correttamente i log, è necessario installare DebugView. che può essere installato utilizzando questa fonte: https://learn.microsoft.com/en-us/sysinternals/downloads/debugview

Abilita chiave del Registro di sistema DNS

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acsock" /v DebugFlags /d 0x20801FF /t reg_dword /f

Abilita chiave del Registro di sistema SWG

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acsock" /v DebugFlags /d 0x70C01FF /t reg_dword /f

Abilita chiave del Registro di sistema ZTNA

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -sdf 0x40018EF52

Disattiva tutti i contrassegni

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -cdf

Acquisizioni HTTP Archive (HAR)

HAR può essere raccolto da diversi browser. fornisce più informazioni, tra cui:

1. Versione decrittografata delle richieste HTTPS.
2. Informazioni interne sui messaggi di errore, i dettagli della richiesta e le intestazioni.
3. Informazioni sui tempi e i ritardi
4. Altre informazioni varie sulle richieste basate su browser.

Per raccogliere HAR Capture, attenersi alla procedura descritta in questa fonte: https://toolbox.googleapps.com/apps/har_analyzer/

Nota: Per raccogliere i dati corretti, è necessario aggiornare la sessione del browser

Acquisizioni pacchetti

L'acquisizione dei pacchetti è utile in uno scenario in cui viene rilevato un problema di prestazioni o la perdita di un pacchetto o l'interruzione totale della rete. Gli strumenti più comuni per la raccolta delle acquisizioni sonowiresharke tcpdump. Oppure una funzionalità incorporata per la raccolta di file in formato pcap all'interno del dispositivo stesso, ad esempio un Cisco Firewall o un router.

Per raccogliere acquisizioni di pacchetti utili su un endpoint, assicurarsi di includere:

1. Interfaccia di loopback per l'acquisizione del traffico inviato tramite i componenti aggiuntivi Secure Client.
2. Tutte le altre interfacce coinvolte nel percorso del pacchetto.
3. Applicare filtri minimi o nessun filtro per assicurarsi che tutti i dati siano raccolti.

Nota: Quando le acquisizioni vengono raccolte su un dispositivo di rete, accertarsi di filtrare in base all'origine e alla destinazione del traffico e di limitare le acquisizioni solo alle porte e ai servizi correlati, per evitare prestazioni causate da questa attività.

Output debug criteri

L'output di debug dei criteri è un output di diagnostica inviato tramite il browser utente quando protetto da Secure Access. che include informazioni critiche sulla distribuzione.

1. ID organizzazione
2. Tipo di distribuzione
3. Proxy connesso
4. Indirizzo IP pubblico e privato
5. Altre informazioni relative alla fonte del traffico.

Per eseguire i risultati del test dei criteri, accedere a questo collegamento da un endpoint protetto: https://policy.test.sse.cisco.com/

Assicurarsi di considerare attendibile il certificato radice di accesso sicuro se nel browser viene visualizzato un messaggio di errore del certificato.

Per Scaricare Il Certificato Radice Di Accesso Sicuro:

Passa ad accesso protetto Dashboard > Secure > Settings > Certificate > (Internet Destinations tab)

Comandi comuni per la risoluzione dei problemi del tunnel da sito a sito

# Tunnel Establishment
asa>show crypto ikev1 sa

asa>show crypto ikev2 sa

asa>show crypto ipsec sa

asa>show crypto session

#BGP Troubleshooting
asa>show running-config router bgp
asa>show bgp summary
asa>show ip bgp neighbors

#Routes Advertisements
asa>show bgp ipv4 unicast neighbors <sse-dc-ip> advertised-routes

asa>show bgp ipv4 unicast neighbors <sse-dc-ip> received-routes

asa>show bgp ipv4 unicast neighbors <sse-dc-ip> routes

#Debug BGP events
asa>debug ip bgp

asa>debug ip bgp events

asa>debug ip bgp updates

asa>debug ip routing

#Disable Debugs
asa>undebug all

Comandi comuni Risoluzione dei problemi di Resource Connector

L'elenco fornito offre una panoramica completa su Connettore risorse e importanti dettagli sulla risoluzione dei problemi per il team di supporto Secure Access

#DNS and connectivity tests on the local IP address, gateway, Secure Access APIs
rc-cli> diagnostic
#Software version, VPN tunnel state, system health, sysctl settings, routes and iptables
rc-cli> techsupport
#Packet captures
rc-cli> tcpdump <host>

Caricamento Dei Risultati Nella Richiesta Del Servizio Di Supporto Cisco

È possibile caricare i file nella richiesta di assistenza eseguendo la procedura seguente:

Passaggio 1. Accedere a SCM.

Passaggio 2. Per visualizzare e modificare la richiesta, fare clic sul numero o sul titolo nell'elenco. Si apre la pagina Riepilogo della richiesta.

3. Per scegliere un file e caricarlo come allegato alla richiesta, fare clic su Add Files. Viene visualizzato lo strumento SCM File Uploader.

Passaggio 4. Nella finestra di dialogo Scegli i file da caricare, trascinare i file che si desidera caricare o fare clic all'interno per cercare nel computer locale i file da caricare.

Passaggio 5. Aggiungere una descrizione e specificare una categoria per tutti i file o singolarmente.

Informazioni correlate

• Supporto tecnico Cisco e download
• Documentazione e guida per l'utente di Secure Access
• Download del software Cisco Secure Client