Problemen oplossen en basisinformatie verzamelen voor het ondersteuningsteam voor beveiligde toegang

Inleiding

In dit document wordt beschreven welke basisinformatie moet worden verzameld tijdens het werken met het Cisco Secure Access Support Team

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Secure Access
• Cisco Secure Client
• Packet Captures via Wireshark en tcpdump

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Tijdens het werken aan Cisco Secure Access kunt u problemen tegenkomen waarbij u contact moet opnemen met het Cisco Support Team, of u wilt een basisonderzoek uitvoeren voor het probleem en proberen de logs te doorlopen en het probleem te isoleren. In dit artikel wordt besproken hoe u de basislogboeken voor probleemoplossing met betrekking tot beveiligde toegang kunt verzamelen. houd er rekening mee dat niet alle stappen op elk scenario van toepassing zijn.

Zoek de ID van de organisatie voor beveiligde toegang

Als Cisco Engineer uw account wil vinden, geeft u uw organisatie-ID op die in de URL kan worden gevonden zodra u bent ingelogd op het Dashboard voor beveiligde toegang.

Stappen voor het vinden van organisatie-ID:

1. Meld u aan bij sse.cisco.com
2. Als u meerdere organisaties switch aan de juiste één.
3. De organisatie-ID is te vinden in de URL in dit patroon: https://dashboard.sse.cisco.com/org/{7_digit_org_id}/overzicht

Cisco Secure Client Diagnostic and Reporting Tool (DART)

Cisco Secure Client Diagnostic and Reporting Tool (DART) is een tool die is geïnstalleerd met Secure Client-pakket, helpt bij het verzamelen van belangrijke informatie over het gebruikerseindpunt.

Voorbeeld van informatie verzameld door DART bundel:

- ZTNA-logs
- Beveiligde clientlogboeken en profielinformatie
- Systeeminformatie
- Andere Secure Client-invoegtoepassingen of plugins-logs die zijn geïnstalleerd op

Instructies voor het verzamelen van DART:

Stap 1. Start DART.

1. Start de Cisco Secure Client voor een Windows-computer.
2. Kies voor een Linux-computer Applications > Internet > Cisco DARTof /opt/cisco/anyconnect/dart/dartui.
3. Kies voor een Mac-computerApplications > Cisco > Cisco DART.

Stap 2. Klik op het tabblad Statistieken en klik vervolgens op Details.

Stap 3. Kies Standaardbundel of Aangepaste bundel maken.

Tip: De standaardnaam voor de bundel is DARTBundle.zip en deze wordt opgeslagen op het lokale bureaublad.

Opmerking: Als u Standaard kiest, begint DART met het maken van de bundel. Als u Aangepast kiest, gaat u door met de wizardvragen om logs, voorkeursbestanden, diagnostische informatie en andere aanpassingen op te geven

Debuglogs inschakelen voor ZTNA- en SWG-modules

In sommige scenario's zou het ondersteuningsteam logboeken op het niveau van tracering of foutopsporing moeten inschakelen om complexere problemen te identificeren.

Voer de stappen in deze sectie uit om foutopsporingen voor elk van de modules in te schakelen. 

Debug-logs inschakelen voor ZTNA

Stap 1. Een json-bestand maken met de naam logconfig.json

Stap 2. Voer deze tekst in het bestand in

{ "global": "DBG_TRACE" }

Stap 3. Plaats het bestand in de juiste directory op basis van het besturingssysteem

• 
Windows: C:\ProgramData\Cisco\Cisco Secure Client\ZTA

• MacOS: /opt/cisco/secureclient/zta



Stap 4. Start de ZTNA-module of de Cisco Secure Client opnieuw op zodat de logs effect kunnen sorteren. 

Debug-logs inschakelen voor SWG

Stap 1. Een json-bestand maken met de naam SWGConfigOverride.json

Stap 2. Voer deze tekst in het bestand in

{"logLevel": "1"}



Stap 3. Plaats het bestand in de juiste directory op basis van het besturingssysteem

• 
Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\SWG\
• MacOS: /opt/cisco/secureclient/umbrella/swg

Stap 4. Start de SWG-module of Cisco Secure Client opnieuw op zodat de logs effect kunnen sorteren. 

Debug-logs inschakelen voor DUO

DUO KDF-logs inschakelen ( Problemen met houding oplossen, problemen met inschrijving)

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Duo\Duo Device Health” /v verbose_logging_enabled /d 1 /f

DUO KDF-logs uitschakelen 

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Duo\Duo Device Health” /v verbose_logging_enabled /d 0 /f

Verzamel KDF-logboeken voor ZTNA en SWG, DNS-modules (Windows)

In sommige van de scenario's zou het ondersteuningsteam het verzamelen van kdf-logs nodig hebben om complexere problemen te identificeren.

Voer de stappen uit die in deze sectie worden beschreven om de KDF-logs te configureren en te verzamelen.

Voorwaarden

Het installeren van DebugView is vereist om de logs correct te verzamelen. die kan worden geïnstalleerd met behulp van deze bron: https://learn.microsoft.com/en-us/sysinternals/downloads/debugview

DNS-registersleutel inschakelen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acsock" /v DebugFlags /d 0x20801FF /t reg_dword /f

SWG-registersleutel inschakelen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acsock" /v DebugFlags /d 0x70C01FF /t reg_dword /f

ZTNA-registersleutel inschakelen

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -sdf 0x40018EF52

Alle vlaggen uitschakelen

"%ProgramFiles(x86)%\Cisco\Cisco Secure Client\acsocktool.exe" -cdf

HTTP Archive (HAR) Captures

HAR kan worden verzameld uit verschillende browsers. het biedt meerdere informatie die het volgende omvat:

1. Gedecodeerde versie van de HTTPS-verzoeken.
2. Interne informatie over foutmeldingen, aanvraaggegevens en kopteksten.
3. Informatie over timing en vertraging
4. Overige diverse informatie over browsergebaseerde verzoeken.

Om HAR Captures te verzamelen, gebruikt u de stappen die in deze bron worden beschreven: https://toolbox.googleapps.com/apps/har_analyzer/

Opmerking: u moet uw browsersessie vernieuwen om de juiste gegevens te verzamelen

Packet Captures

Packet captures is nuttig in een scenario waarin een prestatieprobleem of een pakketverlies wordt gedetecteerd, of totale uitval voor het netwerk. De meest voorkomende tools om te verzamelen zijnwiresharken tcpdump. Of een ingebouwde mogelijkheid om pcap-bestandsindelingen in het apparaat zelf te verzamelen, zoals een Cisco Firewall of router.

Om nuttige pakketopnames op een eindpunt te verzamelen, moet u het volgende opnemen:

1. Loopback-interface voor het vastleggen van verkeer dat wordt verzonden via Secure Client-invoegtoepassingen.
2. Alle andere interfaces die betrokken zijn bij het pakketpad.
3. Pas minimale filters toe, of helemaal geen filters om ervoor te zorgen dat alle gegevens worden verzameld.

Opmerking: wanneer opnames worden verzameld op een netwerkapparaat, moet u filteren op de bron en bestemming van het verkeer en de opnames beperken tot gerelateerde poorten en services, om prestaties te voorkomen die door deze activiteit worden veroorzaakt.

beleidsfoutopsporingsuitvoer

De uitvoer voor beleidsfouten is een diagnostische uitvoer die door de browser van de gebruiker wordt verzonden wanneer deze wordt beveiligd door Secure Access. , met kritieke informatie over de implementatie.

1. Organisatie-ID
2. Soort inzet
3. Verbonden proxy
4. Publiek en privé IP-adres
5. Overige informatie met betrekking tot de bron van het verkeer.

Meld u aan bij deze link vanaf een beveiligd eindpunt om de resultaten van de beleidstest uit te voeren: https://policy.test.sse.cisco.com/

Zorg ervoor dat u het Secure Access Root Certificate vertrouwt als er een foutmelding voor het certificaat in uw browser wordt weergegeven.

U downloadt als volgt het hoofdcertificaat voor beveiligde toegang:

Navigeer naar veilige toegang Dashboard > Secure > Settings > Certificate > (Internet Destinations tab)

Algemene opdrachten Problemen oplossen Site-to-Site Tunnel

# Tunnel Establishment
asa>show crypto ikev1 sa

asa>show crypto ikev2 sa

asa>show crypto ipsec sa

asa>show crypto session

#BGP Troubleshooting
asa>show running-config router bgp
asa>show bgp summary
asa>show ip bgp neighbors

#Routes Advertisements
asa>show bgp ipv4 unicast neighbors <sse-dc-ip> advertised-routes

asa>show bgp ipv4 unicast neighbors <sse-dc-ip> received-routes

asa>show bgp ipv4 unicast neighbors <sse-dc-ip> routes

#Debug BGP events
asa>debug ip bgp

asa>debug ip bgp events

asa>debug ip bgp updates

asa>debug ip routing

#Disable Debugs
asa>undebug all

Common Commands-aansluiting voor probleemoplossing

De meegeleverde lijst geeft een uitgebreid overzicht van de bronconnector en belangrijke details voor het oplossen van problemen voor het ondersteuningsteam voor beveiligde toegang

#DNS and connectivity tests on the local IP address, gateway, Secure Access APIs
rc-cli> diagnostic
#Software version, VPN tunnel state, system health, sysctl settings, routes and iptables
rc-cli> techsupport
#Packet captures
rc-cli> tcpdump <host>

Resultaten uploaden naar ondersteuningsverzoek Cisco

U kunt bestanden uploaden naar de ondersteuningscase via de volgende stappen:

Stap 1. Log in bij SCM.

Stap 2. Als u de kwestie wilt bekijken en bewerken, klikt u op het hoofdletternummer of de titel van de kwestie in de lijst. De pagina Transactieoverzicht wordt geopend.

Stap 3. Klik op Bestanden toevoegen om een bestand te kiezen en het als bijlage bij de case te uploaden. Het systeem geeft het gereedschap SCM File Uploader weer.

Stap 4. Sleep in het dialoogvenster Bestanden kiezen om te uploaden de bestanden die u wilt uploaden of klik binnen om door uw lokale systeem te bladeren om bestanden te uploaden.

Stap 5. Voeg een beschrijving toe en geef een categorie op voor alle bestanden, of afzonderlijk.

Gerelateerde informatie

• Cisco Technical Support en downloads
• Veilige toegang tot documentatie en gebruikershandleiding
• Cisco Secure Client-software downloaden