문제 해결을 위한 자세한 ZTNA 로그 수집

소개

이 문서에서는 ZTA 문제 해결 로그를 수집하는 방법, 활성화해야 하는 시기 및 단계별로 설명합니다.

배경 정보

조직에서 사용자, 장치 및 애플리케이션을 보호하기 위해 ZTA(Zero Trust Architecture)를 채택하는 경우가 증가함에 따라 연결 및 정책 시행 문제의 트러블슈팅이 더욱 복잡해졌습니다. 기존의 경계 기반 모델과 달리, ZTA는 ID, 장치 상태, 네트워크 컨텍스트, 클라우드 기반 정책 엔진 전반에서 여러 실시간 결정을 사용합니다. 문제가 발생하면 상위 레벨 로그가 근본 원인을 정확히 파악하기에 부족한 경우가 많습니다.

세부적인 ZTA 레벨 추적 수집은 클라이언트 동작, 정책 평가, 트래픽 가로채기, 클라우드 서비스 상호 작용에 대한 심층적인 가시성을 확보하는 데 중요한 역할을 합니다. 이러한 추적을 통해 엔지니어는 증상 기반 트러블슈팅에서 벗어나 액세스 실패, 성능 저하 또는 예기치 않은 정책 결과로 이어지는 정확한 이벤트 시퀀스를 분석할 수 있습니다. 

로그 수집

TAC 케이스를 열기 전에 사전 확인

이러한 사전 점검을 통해 TAC 팀이 문제를 더 효율적으로 식별할 수 있습니다. 엔지니어에게 이 정보를 제공하면 문제를 최대한 신속하게 해결할 수 있습니다.

• 어떤 문제가 있으며 영향을 받는 사용자는 몇 명입니까?

• 어떤 OS 및 버전이 영향을 받습니까?

• 문제가 일관적입니까, 간헐적입니까? 간헐적인 경우, 사용자별로 적용됩니까 아니면 광범위하게 적용됩니까?

• 변경 후 문제가 시작되었습니까? 아니면 구축 이후 문제가 있었습니까?

• 알려진 트리거가 있습니까?

• 해결 방법이 있습니까?

수집할 로그

• DART 번들

• ZTNA 디버그 추적 모드 로그

• Wireshark 캡처(루프백을 포함한 모든 인터페이스)

• 발견된 오류 메시지

• 그 문제의 타임스탬프

• CSC ZTA 모듈 상태 스크린샷

• 영향을 받는 사용자의 사용자 이름

다음 섹션에서는 이러한 각 로그를 활성화하고 수집하는 방법에 대해 자세히 설명합니다.

ZTNA 디버그 추적 모드 활성화

아래 세부 정보가logconfig.json포함된 파일 이름을 생성합니다.

{ "global": "DBG_TRACE" }

경고: 파일이 이름과 함께 저장되어야 합니다logconfig.json.

파일을 생성한 후 운영 체제에 따라 적절한 위치에 배치합니다.

• 창: C:\ProgramData\Cisco\Cisco Secure Client\ZTA

• macOS:/opt/cisco/secureclient/zta

참고: 지정된 파일을 생성한 후에는 Zero Trust Access Agent 서비스를 다시 시작해야 합니다(ZTA 서비스 다시 시작 단계 확인). 서비스를 다시 시작할 수 없는 경우 컴퓨터를 다시 시작하십시오.

이벤트 뷰어에서 ZTA 로그 크기 늘리기

창

• 쓰기Windows + R를 열고Run SearchEnter를services.msc누릅니다
• 서비스를Cisco Secure Client - Zero trust Access Agent찾고Restart클릭합니다. 서비스가 완료되면 CSC ZTA 모듈 상태를 확인하여 서비스가 활성 상태인지 확인합니다

참고: 관리 액세스 권한이 없어 ZTA 서비스를 다시 시작할 수 없는 경우 전체 시스템을 재부팅하는 것이 다음 옵션입니다.

MacOS

Stop Service

sudo "/opt/cisco/secureclient/zta/bin/Cisco Secure Client - Zero Trust Access.app/Contents/MacOS/Cisco Secure Client - Zero Trust Access" uninstall

Start Service

open -a "/opt/cisco/secureclient/zta/bin/Cisco Secure Client - Zero Trust Access.app"

참고: 명령을 실행할 수 없거나 관리 액세스 권한이 없어 ZTA 서비스를 다시 시작할 수 없는 경우 전체 시스템을 재부팅하는 것이 다음 옵션입니다.

KDF 로깅, 패킷 캡처, 듀오 디버그 모드 및 Dart 번들 활성화

창 

관리자 권한으로 CMD를 열고 다음 명령을 실행합니다.

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -sdf 0x400080152

• SysInternal에서 DebugView를 다운로드하여 KDF 로그를 캡처합니다.
• 실행DebugViewadministrator및 다음 메뉴 옵션을 활성화합니다.
• Capture(캡처)를 클릭합니다
  • 확인 표시 Capture Kernel
  • 확인 표시  Enable Verbose Kernel Output
• 옵션
  • 확인 표시  Clock Time
  • 확인 표시 Show Milliseconds

• 관리자 프롬프트를 통해 클라이언트 서비스를 다시 시작합니다.

net stop csc_vpnagent && net start csc_vpnagent

• 작동net stop csc_vpnagent && net start csc_vpnagent이 되지 않으면 services.msc에서Cisco Secure Client서비스를 다시 시작합니다.

• 디버그 모드에서 Duo 활성화 

• 시작하기 Wireshark Capture

• 모든 인터페이스를 선택하고 패킷 캡처를 시작합니다

• 문제를 재현하고 저장KDF Logs및Wireshark Capture다음 캡처할 단계를 수행합니다. DART Bundle
• 관리자 권한Cisco Secure Client Diagnostics & Reporting Tool (DART)으로 를 엽니다

• 클릭 Custom
  • 포함System Information Extensive및 Network Connectivity Test

• Windows에서 KDF 로깅을 중지하려면 다음 명령을 사용합니다. 

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -cdf

참고: 모든 로그, KDF 로그, Wireshark 캡처 및 DART 번들을 TAC 케이스에 수집합니다.

MacOS

터미널을 열고 다음 명령 체인에 따라 MacOS에서 KDF 로깅을 활성화합니다.

• Stop Service

sudo "/opt/cisco/secureclient/bin/Cisco Secure Client - AnyConnect VPN Service.app/Contents/MacOS/Cisco Secure Client - AnyConnect VPN Service" uninstall

• Enable Flag

echo debug=0x400080152 | sudo tee /opt/cisco/secureclient/kdf/acsock.cfg

• Start Service

open -a "/opt/cisco/secureclient/bin/Cisco Secure Client - AnyConnect VPN Service.app"

• 디버그 모드에서 Duo 활성화 

• 시작하기 Wireshark Capture

• 모든 인터페이스를 선택하고 패킷 캡처를 시작합니다

• 문제를 재현하고 저장KDF Logs및Wireshark Capture다음 캡처할 단계를 수행합니다. DART Bundle
• 열기 Cisco Secure Client - DART

• 다음 옵션을 선택합니다.
  • Include Legacy - Cisco AnyConnect Secure Mobility Client Logs
  • Include System Logs
• 을 클릭합니다 Run

참고: 모든 로그, KDF 로그, Wireshark 캡처 및 DART 번들을 TAC 케이스에 수집합니다.

관련 정보

• Cisco 기술 지원 및 다운로드
• Cisco Secure Access Help Center
• Cisco ISE 설계 가이드
• Windows 및 MacOS에서 보안 클라이언트에 대한 KDF 로그 수집