用于窗口客户端上拆分隧道问题的日志收集
10634
Created On 07/27/21 23:49 PM - Last Modified 08/13/21 21:45 PM
Objective
本文提供了收集必要数据的步骤,以排除 Windows 客户端上的拆分隧道问题 GlobalProtect 。
Environment
- PAN-OS 8.1及以上
- GlobalProtect App 5.1.8 及以上
- 窗口客户端
Procedure
- 下载并安装视窗客户端上的调试视图。 以管理员身份运行调试视图,转到 捕获、启用捕获内核、 启用冗长内核输出、传递 和 捕获事件。 Output 可以通过选择 文件>登录文件 或稍后将其保存到文本文件中登录到文件。
https://docs.microsoft.com/en-us/sysinternals/downloads/debugview
- 将 GlobalProtect App 记录级别设置为 转储。(设置 ->故障排除 - >记录级别)
- 同时在互联网/外部接口和PanGP虚拟接口上设置数据包捕获。 在线形共享中,使用"捕获>选项 "并选择两个接口。
NOTE: 使用 ip 确认/所有 命令输出来选择 Wireshark 中的正确接口。 例如,PanGP虚拟接口可以是以太网2, 外部接口可以是 WiFi 或 以太网。 它因 PC PC 使用的界面类型而异。
- 从命令提示中,发出命令 ipconfig/冲洗 以冲洗 DNS 缓存。 这将有助于 DNS 更好地捕获基于域的拆分隧道的 pcap 中的查询。
- 生成预期流量。 如果基于测试域的拆分隧道,请使用私密浏览或隐身模式,以防浏览器缓存任何 DNS 查询。
- 测试完成后,保存调试查看输出、 GlobalProtect 转储级别日志和数据包捕获。
- 收集以下系统文件 的详细信息 选项卡的屏幕截图。 右键单击>属性>详细信息
C* WINDOWS 系统 DRIVERS 32\gpfltdrv.sys
- 将以下内容上传至 TAC 支持案例:
- 调试查看日志
- GlobalProtect 转储级别日志
- Wireshark 捕获
- gpfltdrv.sys文件的屏幕截图