이 문서에서는 Windows용 Global Secure Access 클라이언트에 대한 문제 해결 지침을 제공합니다. 고급 진단 유틸리티의 각 탭을 탐색합니다.
소개
Global Secure Access 클라이언트는 백그라운드에서 실행되어 사용자 상호 작용 없이 관련 네트워크 트래픽을 Global Secure Access로 라우팅합니다. 고급 진단 도구를 사용하여 클라이언트의 동작을 파악하고 문제를 효과적으로 해결합니다.
고급 진단 도구 시작
고급 진단 도구를 시작하는 방법에는 두 가지가 있습니다.
- 시스템 트레이에서 전역 보안 액세스 클라이언트 아이콘을 마우스 오른쪽 단추로 클릭합니다.
- 고급 진단을 선택합니다. 사용하도록 설정하면 UAC(사용자 계정 컨트롤)에서 권한을 상승하라는 메시지가 표시됩니다.
또는
- 시스템 트레이에서 전역 보안 액세스 클라이언트 아이콘을 선택합니다.
- 문제 해결 보기로 전환합니다.
- 고급 진단 도구에서 실행 도구를 선택합니다.
개요 탭
고급 진단 개요 탭에는 전역 보안 액세스 클라이언트에 대한 일반 구성 세부 정보가 표시됩니다.
- 사용자 이름: 클라이언트에 인증한 사용자의 Microsoft Entra 사용자 계정 이름입니다.
- 디바이스 ID: Microsoft Entra의 디바이스 ID입니다. 장치를 테넌트에 연결해야 합니다.
- 테넌트 ID: 클라이언트가 가리키는 테넌트 ID로, 디바이스가 조인된 동일한 테넌트입니다.
- 전달 프로필 ID: 클라이언트에서 현재 사용 중인 전달 프로필의 ID입니다.
- 전달 프로필이 마지막으로 선택됨: 클라이언트가 마지막으로 업데이트된 전달 프로필을 확인한 시간입니다.
- 클라이언트 버전: 디바이스에 현재 설치되어 있는 Global Secure Access 클라이언트의 버전입니다.
상태 확인 탭
상태 검사 탭은 일반적인 테스트를 실행하여 클라이언트와 해당 구성 요소가 제대로 작동하는지 확인합니다. 자세한 내용은 전역 보안 액세스 클라이언트 문제 해결: 상태 확인 탭을 참조하세요.
전달 프로필 탭
전달 프로필 탭에는 전달 프로필에 대해 설정된 활성 규칙 목록이 표시됩니다. 탭에는 다음 정보가 포함됩니다.
- 전달 프로필 ID: 클라이언트에서 현재 사용 중인 전달 프로필의 ID입니다.
- 전달 프로필이 마지막으로 선택됨: 클라이언트가 마지막으로 업데이트된 전달 프로필을 확인한 시간입니다.
- 새로 고침 세부 정보: 마지막 새로 고침 이후 업데이트된 경우 클라이언트 캐시에서 전달 데이터를 다시 로드하려면 선택합니다.
- 정책 테스터: 특정 대상에 대한 연결에 대한 활성 규칙을 표시하려면 선택합니다.
- 필터 추가: 필터 속성의 특정 집합에 따라 규칙의 하위 집합만 표시하도록 필터를 설정하려면 선택합니다.
- 열: 테이블에 표시할 열을 선택하려면 선택합니다.
규칙 섹션에는 워크로드별로 그룹화된 규칙(M365 규칙, 개인 액세스 규칙, 인터넷 액세스 규칙)이 나열됩니다. 이 목록에는 테넌트에서 활성화된 워크로드에 대한 규칙만 포함됩니다.
팁
규칙에 FQDN(정규화된 도메인 이름) 또는 IP 범위와 같은 여러 대상이 포함된 경우 규칙은 대상당 하나의 행을 사용하여 여러 행에 걸쳐 있습니다.
각 규칙에 대해 사용 가능한 열은 다음과 같습니다.
- 우선 순위: 규칙의 우선 순위입니다. 우선 순위가 더 높은 규칙(숫자 값이 작음)은 우선 순위가 낮은 규칙보다 우선합니다.
- 대상(IP/FQDN): FQDN 또는 IP별 트래픽 대상입니다.
- 프로토콜: 트래픽에 대한 네트워크 프로토콜: TCP 또는 UDP.
- 포트: 트래픽의 대상 포트입니다.
- 작업: 나가는 트래픽이 대상, 프로토콜 및 포트와 일치할 때 클라이언트가 수행하는 작업입니다. 지원되는 작업은 터널 (글로벌 보안 액세스로 라우팅) 또는 바이패스 (대상으로 직접 이동)입니다.
- 강화: 트래픽을 터널링해야 하지만(글로벌 보안 액세스로 라우팅) 클라우드 서비스에 대한 연결이 실패하는 경우의 작업입니다. 지원되는 강화 작업은 차단 (연결 삭제) 또는 바이패스 (연결이 네트워크로 직접 이동하도록 허용)입니다.
- 규칙 ID: 전달 프로필에 있는 규칙의 고유 식별자입니다.
- 애플리케이션 ID: 규칙과 연결된 프라이빗 애플리케이션의 ID입니다. 이 열은 프라이빗 애플리케이션에만 적용됩니다.
호스트 이름 획득 탭
호스트 이름 획득 탭을 사용하면 전달 프로필의 FQDN 규칙에 따라 클라이언트에서 획득한 호스트 이름의 라이브 목록을 수집할 수 있습니다. 각 호스트 이름이 새 행에 나타납니다.
- 수집 시작: 획득한 호스트 이름을 실시간으로 수집하기 시작하려면 선택하십시오.
- CSV 내보내기: 획득한 호스트 이름 목록을 CSV 파일로 내보내려면 선택합니다.
- 표 지우기: 테이블에 표시된 획득한 호스트 이름을 지우려면 선택합니다.
- 필터 추가: 특정 속성에 따라 획득한 호스트 이름을 필터링하려면 선택합니다.
- 열: 테이블에 표시할 열을 선택하려면 선택합니다.
각 호스트 이름에 대해 사용 가능한 열에는 다음이 포함됩니다.
- 타임스탬프: 각 FQDN 호스트 이름 획득의 날짜 및 시간입니다.
- FQDN: 획득한 호스트 이름의 FQDN입니다.
- 생성된 IP 주소: 내부 목적으로 클라이언트에서 생성한 IP 주소입니다. 이 IP는 해당 FQDN에 설정된 연결에 대한 트래픽 탭에 나타납니다.
- 획득: FQDN이 전달 프로필의 규칙과 일치하는지 여부를 예 또는 아니요로 명시합니다.
- 원래 IP 주소: FQDN 쿼리에 대한 DNS 응답의 첫 번째 IPv4 주소입니다. 최종 사용자 디바이스 DNS 서버가 쿼리에 대한 IPv4 주소를 반환하지 않으면 원래 IP 주소 열이 비어 있습니다.
트래픽 탭
트래픽 탭을 사용하면 전달 프로필의 규칙에 따라 디바이스에서 연 연결의 라이브 목록을 수집할 수 있습니다. 각 연결은 새 행에 표시됩니다.
- 수집 시작: 연결의 라이브 컬렉션을 시작하려면 선택합니다.
- CSV 내보내기: CSV 파일로 연결 목록을 내보내려면 선택합니다.
- 표 지우기: 테이블에 표시되는 연결을 지우려면 선택합니다.
- 필터 추가: 필터를 설정하고 특정 필터 속성에 따라 연결의 하위 집합을 보려면 선택합니다.
- 열: 테이블에 표시할 열을 선택하려면 선택합니다.
각 연결에 대해 사용 가능한 열은 다음과 같습니다.
- 타임스탬프 시작: 운영 체제에서 연결을 연 시간입니다.
- 타임스탬프 끝: 운영 체제가 연결을 닫은 시간입니다.
- 연결 상태: 연결이 여전히 활성 상태인지 아니면 이미 닫혀 있는지를 나타냅니다.
- 프로토콜: 연결에 대한 네트워크 프로토콜(TCP 또는 UDP)입니다.
- 대상 FQDN: 연결에 대한 대상 FQDN입니다.
- 원본 포트: 연결의 원본 포트입니다.
- 대상 IP: 연결의 대상 IP입니다.
- 대상 포트: 연결의 대상 포트입니다.
- 상관 관계 벡터 ID: 포털에서 전역 보안 액세스 트래픽 로그와 상관 관계를 지정할 수 있는 각 연결에 기인하는 고유 ID입니다. Microsoft 지원 이 ID를 사용하여 특정 연결과 관련된 내부 로그를 조사할 수도 있습니다.
- 프로세스 이름: 연결을 연 프로세스의 이름입니다.
- 프로세스 ID: 연결을 연 프로세스의 ID 번호입니다.
- 보낸 바이트 수: 디바이스에서 대상으로 전송되는 바이트 수입니다.
- 수신된 바이트: 대상에서 디바이스가 수신한 바이트 수입니다.
- 채널: 연결이 터널된 채널이며 Microsoft 365, 프라이빗 액세스 또는 인터넷 액세스일 수 있습니다.
- 흐름 ID: 연결의 내부 ID 번호입니다.
- 규칙 ID: 이 연결에 대한 작업을 확인하는 데 사용되는 전달 프로필 규칙의 식별자입니다.
-
작업: 이 연결에 대해 수행된 작업입니다. 가능한 작업은 다음과 같습니다.
- 터널: 클라이언트가 클라우드의 글로벌 보안 액세스 서비스에 대한 연결을 터널로 연결했습니다.
- 바이패스: 클라이언트의 개입 없이 디바이스의 네트워크를 통해 연결이 대상으로 직접 이동합니다.
- 블록: 클라이언트가 연결을 차단했습니다(강화 모드에서만 가능).
- 강화: 이 연결에 강화가 적용되는지 여부를 나타냅니다. 은 예 또는 아니요일 수 있습니다. 강화는 디바이스에서 전역 보안 액세스 서비스에 연결할 수 없는 경우에 적용됩니다.
고급 로그 수집 탭
고급 로그 수집 탭을 사용하면 특정 기간 동안 클라이언트, 운영 체제 및 네트워크 트래픽의 자세한 정보 로그를 수집할 수 있습니다. 로그는 조사를 위해 관리자 또는 Microsoft 지원에 보낼 수 있는 ZIP 파일에 보관됩니다.
- 기록 시작: 자세히 기록을 시작하려면 선택합니다. 기록하는 동안 문제를 재현합니다. 문제가 발생하지 않으면 다시 나타날 때까지 로그를 수집합니다. 로그 수집에는 몇 시간의 글로벌 보안 액세스 작업이 포함됩니다.
- 기록 중지: 문제를 재현한 후 이 단추를 선택하여 기록을 중지하고 수집된 로그를 ZIP 파일에 저장합니다. 문제 해결 지원을 지원하여 ZIP 파일을 공유합니다.
고급 로그 수집이 중지되면 로그 파일이 포함된 폴더가 열립니다. 기본적으로 폴더는 C:\Program Files\Global Secure Access Client\Logs입니다. 폴더에는 zip 파일과 두 개의 ETL(이벤트 추적 로그) 파일이 포함됩니다. 필요한 경우 문제를 해결한 후 zip 파일을 제거할 수 있습니다. ETL 파일은 순환 로그이므로 그대로 두는 것이 가장 좋습니다. 이 파일을 제거하면 향후 로그 수집에 문제가 발생할 수 있습니다.
다음 파일이 수집됩니다.
| 파일 | 묘사 |
|---|---|
| Application-Crash.evtx | 이벤트 ID 1001로 필터링된 애플리케이션 로그입니다. 이 로그는 서비스가 충돌하는 경우에 유용합니다. |
| BindingNetworkDrivers.txt | 네트워크 어댑터에 바인딩된 모든 모듈을 보여 주는 "Get-NetAdapterBinding -AllBindings -IncludeHidden"의 결과입니다. 이 출력은 Microsoft가 아닌 드라이버가 네트워크 스택에 바인딩되어 있는지 확인하는 데 유용합니다. |
| ClientChecker.log | 전역 보안 액세스 클라이언트 상태 검사의 결과입니다. 이러한 결과는 글로벌 보안 액세스 클라이언트에서 zip 파일을 로드하는 경우 분석하기 쉽습니다. 수집된 위치와 다른 디바이스에서 글로벌 보안 액세스 클라이언트 로그 분석을 참조하세요. |
| DeviceInformation.log (디바이스정보.log) | OS 버전 및 Global Secure Access 클라이언트 버전을 포함한 환경 변수입니다. |
| dsregcmd.txt | Microsoft Entra Joined, 하이브리드 조인, PRT 세부 정보 및 비즈니스용 Windows Hello 세부 정보를 포함한 디바이스 상태를 보여 주는 dsregcmd /status의 출력입니다. |
| filterDriver.txt | Windows 필터링 플랫폼 필터 |
| ForwardingProfile.json | 전역 보안 액세스 클라이언트에 전달되는 json 정책입니다. 이 정책에는 클라이언트가 (*.globalsecureaccess.microsoft.com)에 연결하는 전역 보안 액세스 서비스 에지 IP 주소 및 전달 프로필 규칙이 포함됩니다. |
| GlobalSecureAccess-Boot-Trace.etl | 글로벌 보안 액세스 클라이언트 디버그 로깅 |
| 여러 .reg 파일 | 전역 보안 액세스 클라이언트 레지스트리 내보내기 |
| 호스트 | 호스트 파일 |
| installedPrograms.txt | Windows에 설치된 앱은 문제의 원인을 파악하는 데 유용할 수 있습니다. |
| ipconfig.txt | IPconfig /모든 출력(IP 주소 및 디바이스에 할당된 DNS 서버 포함) |
| Kerberos_info.txt | klist, klist tgt 및 klist cloud_debug의 출력입니다. 이 출력은 비즈니스용 Windows Hello를 사용하여 kerberos 문제 및 SSO를 해결하는 데 유용합니다. |
| LogsCollectorLog.log 및 LogsCollectorLog.log.x | 로그 수집기 프로세스 자체에 대한 로그입니다. 이러한 로그는 전역 보안 액세스 로그 수집에 문제가 있는 경우에 유용합니다. |
| 여러 .evtx | 여러 Windows 이벤트 로그를 내보냅니다. |
| 네트워크정보.log | 글로벌 보안 액세스 연결 테스트에 대한 경로 인쇄, NRPT(이름 확인 정책 테이블) 테이블 및 대기 시간 결과의 출력입니다. 이 출력은 NRPT 문제를 해결하는 데 유용합니다. |
| RunningProcesses.log | 실행 중인 프로세스 |
| systeminfo.txt | 하드웨어, OS 버전 및 패치를 포함한 시스템 정보입니다. |
| systemWideProxy.txt | netsh winhttp show proxy의 출력 |
| 사용자가 구성한 프록시 | 레지스트리의 프록시 설정 출력 |
| userSessions.txt | 사용자 세션 목록 |
| DNSClient.etl | DNS 클라이언트 로그. 이러한 로그는 DNS 확인 문제를 진단하는 데 유용합니다. 이벤트 로그 뷰어를 사용하여 열거나 PowerShell을 사용하여 관심 있는 특정 이름으로 필터링: Get-WinEvent -Path .\DNSClient.etl -Oldest | where Message -Match replace with name/FQDN | Out-GridView |
| InternetDebug.etl | "netsh 추적 시작 시나리오=internetClient_dbg capture=yes persistent=yes"를 사용하여 수집된 로그입니다. |
| NetworkTrace.etl | pktmon을 사용하여 캡처한 네트워크 캡처 |
| NetworkTrace.pcap | 터널 내의 트래픽을 포함한 네트워크 캡처 |
| NetworkTrace.txt | 텍스트 형식의 Pkmon 추적 |
| wfplog.cab | Windows 필터링 플랫폼 로그 |
유용한 네트워크 트래픽 분석기 필터
경우에 따라 전역 보안 액세스 서비스 터널 내에서 트래픽을 조사해야 합니다. 기본적으로 네트워크 캡처는 암호화된 트래픽만 표시합니다. 대신 네트워크 트래픽 분석기에서 Global Secure Access 고급 로그 수집에서 만든 네트워크 캡처를 분석합니다.
수집된 위치와 다른 디바이스에서 글로벌 보안 액세스 클라이언트 로그 분석
사용자 고유의 디바이스를 사용하여 사용자가 수집하는 데이터를 분석해야 할 수 있습니다. 사용자가 수집한 데이터를 분석하려면 디바이스에서 Global Secure Access 클라이언트를 열고 고급 진단 도구를 연 다음 메뉴 모음의 맨 오른쪽에 있는 폴더 아이콘을 선택합니다. 여기에서 zip 파일 또는 GlobalSecureAccess-Trace.etl 파일로 이동할 수 있습니다. 또한 zip 파일을 로드하면 데이터 수집에 사용되는 디바이스에서 로컬로 문제를 해결하는 것처럼 테넌트 ID, 디바이스 ID, 클라이언트 버전, 상태 검사 및 전달 프로필 규칙을 포함한 정보가 로드됩니다.