スプリット トンネル ドメインおよびアプリケーション関連の問題のトラブルシューティング時に収集する必要がある情報とログ
20244
Created On 07/05/21 14:44 PM - Last Modified 08/13/21 21:46 PM
Question
スプリット トンネル ドメインおよびアプリケーション関連の問題のトラブルシューティングを行う際に収集する必要がある情報とログ
Environment
- GlobalProtect App 4.1+ および Pan-OS 8.1 以降のリリース
- ウィンドウ 7 サービス パック 2 以降のリリースと MacOS 10.10 以降のリリース。
- GlobalProtect スプリット トンネリングで構成されたゲートウェイ: 例: ドメインとアプリケーション
Answer
ウィンドウデバイス上:
- 最初の手順では、ゲートウェイの 「スプリット トンネル ドメイン」 または 'スプリット アプリケーション' の設定が、 で正しくプッシュされているかどうかを確認します GlobalProtect app 。
- クライアント・マシン上の接続テーブルを確認し、特定のアプリケーションがトンネル・インターフェースからではなく物理インターフェースを介して実行されていることを確認します。 また、 PCAP トラフィック漏れがあるかどうかを確認したり、 firewall 確認することもできます。
- ログ出力レベルを "ダンプ" に変更して、PanGPS.log に分割トンネル機能に関連する詳細ログが含まれていることを確認します( GlobalProtect app [> 設定>トラブルシューティング>ログレベル > ダンプ)。 アクセスするドメインと共に、テストの時刻 (問題が再現された時刻) をマークするようにしてください。
- 特定のドメインのトラフィックを追跡するには、クライアント マシン上の、物理インターフェイスおよびトンネル インターフェイスで Wireshark パケット キャプチャを有効にします。 スプリット トンネルの問題をトラブルシューティングする場合、物理インターフェイスとトンネル インターフェイスの両方のパケット キャプチャを取得する必要があります。
- 詳細なウィンドウ カーネルサイド ログを使用して、フィルター ドライバーとカーネルの間の相互作用を確認するには GlobalProtect 、 DebugViewを使用します。
- 管理者として dbgview.exe を実行する
- 「詳細なカーネル出力を有効にする」と「カーネルのキャプチャ」を起動する (Ctrl + K )
- 注: これは多数のログを生成する可能性があり、エンドポイントのパフォーマンスにも影響を与える可能性があります。 この機能は、エンジニアリング チームから要求された場合にのみ有効 TAC にしてください。
macOS デバイスの場合:
- 最初の手順では、ゲートウェイの 「スプリット トンネル ドメイン」 または 'スプリット アプリケーション' の設定が、 で正しくプッシュされているかどうかを確認します GlobalProtect app 。
- クライアント マシンの接続テーブルを確認し、特定のアプリケーションがトンネル インターフェイスからではなく |、物理インターフェイスを経由して実行されていることを確認します。 <application></application> また、 PCAP firewall トラフィック漏れがあるかどうかを確認したり、確認することができます。
- GlobalProtectシステム拡張がアクティブかどうかを確認する
$ システム拡張ctl リスト
--- com.apple.system_extension.network_extension
有効なアクティブなチーム ID バンドル ID (バージョン) 名 [状態]
* * PXPZ95SK77 com.paloaltonetworks GlobalProtect .クライアント拡張 (5.2.5-66/1) GlobalProtectExtension [有効]
ネットワーク拡張.com.paloaltonetworks の存在を確認するために 、sudo launchctl リスト|実行するグレップパロコマンド
GlobalProtect 。クライアント.拡張
--- com.apple.system_extension.network_extension
有効なアクティブなチーム ID バンドル ID (バージョン) 名 [状態]
* * PXPZ95SK77 com.paloaltonetworks GlobalProtect .クライアント拡張 (5.2.5-66/1) GlobalProtectExtension [有効]
ネットワーク拡張.com.paloaltonetworks の存在を確認するために 、sudo launchctl リスト|実行するグレップパロコマンド
GlobalProtect 。クライアント.拡張
- 情報を収集する手順:
- ターミナルで、"sudo tcpdump -i all -k INP -w gptest.pcapng" を実行してパケットをキャプチャします。
- ログ出力レベルを "ダンプ" に変更して、PanGPS.log に分割トンネル機能に関連する詳細ログが含まれていることを確認します( GlobalProtect app [> 設定>トラブルシューティング>ログレベル > ダンプ)。
- 問題の再現を開始します。
- 問題が再現したら、パケット キャプチャを停止し、クライアント ログを収集 GP します。 (> GlobalProtect app 設定>トラブルシューティング>ログの収集)
- gptest.pcapng と GP ログを収集する
- ドメイン名とドメインにアクセスするプロセスと共に、テストの時刻 (問題が再現された時点) をマークすることを確認します。
- GlobalProtectクライアントログレベルをデバッグに戻してください
Additional Information
- インクルード/エクスクルードアプリケーションの場合、 MUST ログイン前にこれらのアプリケーションがすべてインストールされていることに注意してください GP 。 それ以外の場合は、 GlobalProtect これらのアプリケーションをインストールした後に再接続する必要があります。 ログイン前に、クライアント デバイスにアプリケーションのインクルード/除外リストが構成されているすべてのアプリケーション パスが存在することを再確認 GlobalProtect します。
- スプリット トンネリング規則は TCP / トラフィックにのみ適用 UDP されるため ICMP 、/ping はスプリット トンネリング規則の対象ではありません。 スプリット トンネル規則が適用されているかどうかをテストするのに ping を使用しないでください。
- GlobalProtectスプリット トンネル操作を実行するためにフィルタ/拡張を適切に使用することを防ぐことができるサードパーティ製品があるかどうかを確認します。 ほとんどの場合、競合は DLP (データ損失防止 AV )、/( AM アンチウイルス/アンチマルウェア)、および他 VPN の種類のソフトウェアと見なされます。 この場合、問題が GlobalProtect 側かサード パーティベンダーかを調査する必要があります。
- スプリット トンネル ドメインとアプリケーションに関連するトラブルシューティングのヒントとテクニックについては、ドキュメントを参照してください。
- この機能の設定ガイドについては、「最適化されたスプリット トンネリング GlobalProtect」および「GlobalProtectスプリット トンネル ドメインとアプリケーションの実装」を参照してください。