トラブルシューティングのための詳細なZTNAログの収集

はじめに

このドキュメントでは、詳細なZTAトラブルシューティングログを収集する方法、有効化するタイミング、およびステップバイステップについて説明します。

背景説明

ユーザ、デバイス、およびアプリケーションを保護するためにゼロトラストアーキテクチャ(ZTA)を採用する組織が増えるにつれて、接続とポリシー適用の問題のトラブルシューティングはますます複雑になっています。従来の境界ベースのモデルとは異なり、ZTAはID、デバイスポスチャ、ネットワークコンテキスト、クラウドベースのポリシーエンジンにわたる複数のリアルタイムの決定に依存します。問題が発生した場合、高レベルのログでは根本原因を特定できないことがよくあります。

詳細なZTAレベルのトレースを収集することは、クライアントの動作、ポリシーの評価、トラフィックの代行受信、およびクラウドサービスのインタラクションを詳細に可視化するうえで重要です。これらのトレースにより、エンジニアは症状に基づくトラブルシューティングの範囲を超えて、アクセス障害、パフォーマンスの低下、または予期しないポリシーの結果につながるイベントの正確なシーケンスを分析できます。 

ログの収集

TACケースをオープンする前の事前チェック

これらの事前チェックは、TACチームが問題をより効率的に特定するのに役立ちます。エンジニアに次の情報を提供することで、問題を可能な限り迅速に解決できます。

• 問題は何ですか。また、影響を受けるユーザ数はいくつですか。

• 影響を受けるOSとバージョンは何ですか。

• 問題は一貫しているか、断続的か。断続的な場合は、ユーザ固有のものか、または広範囲のものか。

• 問題は変更後に発生したか、導入後に発生したか。

• 既知のトリガーはありますか。

• 回避策はありますか。

収集するログ

• DARTバンドル

• ZTNAデバッグトレースモードログ

• Wiresharkキャプチャ（ループバックを含むすべてのインターフェイス）

• 確認されたエラーメッセージ

• 問題のタイムスタンプ

• CSC ZTAモジュールステータスのスクリーンショット

• 該当ユーザのユーザ名

次のセクションでは、これらの各ログを有効にして詳細に収集する方法について説明します。

ZTNAデバッグトレースモードの有効化

次の詳細情報を使用してlogconfig.jsonという名前のファイルを作成します。

{ "global": "DBG_TRACE" }

警告：ファイルがlogconfig.jsonという名前で保存されていることを確認してください。

ファイルを作成したら、オペレーティングシステムに応じて適切な場所に配置します。

• Windowsの場合：C:\ProgramData\Cisco\Cisco Secure Client\ZTA

• macOS:/opt/cisco/secureclient/zta

注：指定したファイルを作成したら、Zero Trust Access Agent(ZTA)サービスを再起動する必要があります(「ZTAサービスの再起動」の手順を確認してください)。 サービスを再起動できない場合は、コンピューターを再起動してください。

イベントビューアでZTAログサイズを増やす

Windows

• Windows + Rを使用してRun Search書き込みservices.mscを開き、Enterキーを押します
• サービスCisco Secure Client - Zero trust Access Agentを見つけて、Restartをクリックします。 これが完了したら（CSC ZTAモジュールがアクティブであることを確認）、CSC ZTAモジュールのステータスを確認します

注：管理アクセスがないためにZTAサービスを再起動できない場合は、システム全体を再起動する必要があります。

MacOS

サービスの停止

sudo "/opt/cisco/secureclient/zta/bin/Cisco Secure Client - Zero Trust Access.app/Contents/MacOS/Cisco Secure Client - Zero Trust Access" uninstall

サービスの開始

open -a "/opt/cisco/secureclient/zta/bin/Cisco Secure Client - Zero Trust Access.app"

注：コマンドを実行できない場合、または管理アクセス権がないためにZTAサービスを再起動できない場合は、システムを完全に再起動する必要があります。

KDFロギング、パケットキャプチャ、Duoデバッグモード、およびDARTバンドルの有効化

Windows 

admin権限でCMDを開き、次のコマンドを実行します。

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -sdf 0x400080152

• SysInternalからDebugViewをダウンロードして、KDFログをキャプチャします
• DebugViewas administratororを実行し、次のメニューオプションを有効にします。
• Captureをクリックします
  • キャプチャカーネルのチェックマーク
  • チェックマーク冗長カーネル出力の有効化
• Options
  • クロック時間のチェックマーク
  • チェックマークShow Milliseconds

• 管理プロンプトでクライアントサービスを再起動します。

net stop csc_vpnagent && net start csc_vpnagent

• net stop csc_vpnagent && net start csc_vpnagentserviceが動作しない場合は、services.mscからCisco Secure Clientserviceを再起動します

• デバッグモードでDuoを有効にする 

• Wiresharkキャプチャの開始

• すべてのインターフェイスを選択し、パケットキャプチャを開始します

• 問題を再現し、KDF LogandWireshark Captureを保存して、DARTバンドルをキャプチャする手順に従います
• 管理者権限でCisco Secure Client Diagnostics & Reporting Tool(DART)を開きます

• Customをクリックします。
  • システム情報の拡張とネットワーク接続テストを含めます。

• WindowsでKDFロギングを停止するには、次のコマンドを使用します。 

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -cdf

注：すべてのログ、KDFログ、Wiresharkキャプチャ、およびDARTバンドルをTACケースに収集してください。

MacOS

ターミナルを開き、次のコマンドチェーンに従ってMacOSでKDFロギングを有効にします。

• サービスの停止

sudo "/opt/cisco/secureclient/bin/Cisco Secure Client - AnyConnect VPN Service.app/Contents/MacOS/Cisco Secure Client - AnyConnect VPN Service" uninstall

• フラグの有効化

echo debug=0x400080152 | sudo tee /opt/cisco/secureclient/kdf/acsock.cfg

• サービスの開始

open -a "/opt/cisco/secureclient/bin/Cisco Secure Client - AnyConnect VPN Service.app"

• デバッグモードでDuoを有効にする 

• Wiresharkキャプチャの開始

• すべてのインターフェイスを選択し、パケットキャプチャを開始します

• 問題を再現し、KDF LogandWireshark Captureを保存して、DARTバンドルをキャプチャする手順に従います
• Cisco Secure Client - DARTを開きます。

• 次のオプションにチェックマークを付けます。
  • レガシーを含める：Cisco AnyConnectセキュアモビリティクライアントログ
  • システムログを含める
• Runをクリックします。

注：すべてのログ、KDFログ、Wiresharkキャプチャ、およびDARTバンドルをTACケースに収集してください。

関連情報

• シスコのテクニカルサポートとダウンロード
• Cisco Secure Accessヘルプセンター
• Cisco SASE設計ガイド
• WindowsおよびMacOS上のセキュアクライアントのKDFログの収集