监控数据库中存储的数据
思科 ISE 监控服务会收集数据并将所收集的数据存储于专用监控数据库中。根据用于监控网络功能的数据速率和数据量,可能需要将某个节点专用于监控。如果思科 ISE 网络以高速率从策略服务节点或网络设备收集日志数据,则我们建议将某个思科 ISE 节点专用于监控。
要管理监控数据库中存储的信息,需要对数据库执行完整备份和增量备份。这包括清除不需要的数据,然后还原数据库。
传输网关 (Transport Gateway)
:您可以在思科 ISE 和思科外部遥测服务器之间使用代理,提供额外的安全性。要执行此操作,请选中此复选框并输入代理服务器的 FQDN。遥测不需要代理。
思科提供传输网关软件。您可以从 Cisco.com 下载。此软件在 Linux 服务器上运行。有关如何在
RHEL 服务器
上部署传输网关软件的信息,请参阅
《Smart Call Home 部署指南》
。如果使用此思科软件,则 URL 值为
<FQDN of proxyserver>/ Transportgateway / services / DeviceRequestHandler
。您也可以使用此网关连接到智能许可服务器。从传输网关版本 3.5 开始,无法更改端口,但可以输入 IP 地址而不是 FQDN。
SNMP 陷阱可帮助您监控思科 ISE 的状态。如果要在不访问思科 ISE 服务器的情况下监控思科 ISE,可以在思科 ISE 中将 MIB 浏览器配置为 SNMP 主机。然后您可以在 MIB 浏览器中监控思科 ISE 的状态。
请参阅
《思科身份服务引擎 CLI 参考指南》
查看有关
snmp-server host
和
snmp-server trap
此命令的更多信息。
思科 ISE 支持 SNMPv1、SNMPv2c 和 SNMPv3。
如果您在 CLI 中配置了 SNMP 主机,思科 ISE 将发送以下通用系统陷阱︰
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78 SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyRestart
SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyShutdown
SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkUp IF-MIB::ifIndex.12
= INTEGER: 12 IF-MIB::ifAdminStatus.12 = INTEGER: up(1) IF-MIB::ifOperStatus.12 = INTEGER: up(1) SNMPv2-MIB::snmpTrapEnterprise.0
= OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkDown IF-MIB::ifIndex.5
= INTEGER: 5 IF-MIB::ifAdminStatus.5 = INTEGER: up(1) IF-MIB::ifOperStatus.5 = INTEGER: down(2) SNMPv2-MIB::snmpTrapEnterprise.0
= OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8) 0:00:00.08 SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::coldStart SNMPv2-MIB::snmpTrapEnterprise.0
= OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
如果从思科 ISE CLI 配置 SNMP 主机,则思科 ISE 允许将思科 ISE 进程状态的 hrSWRunName 陷阱发送到 SNMP 管理器。思科 ISE 使用时钟守护作业 (cron job) 来触发这些陷阱。Cron 作业会从 Monit
检索思科 ISE 进程状态。当在 CLI 中配置
SNMP-服务器主机
命令后,cron 作业会每五分钟运行一次,并监控思科 ISE。
此运行软件的文本说明,包括制造商、版本和通常所知的名称。如果此软件是在本地安装的,则此字符串必须与相应的 hrSWInstalledName 中使用的字符串相同。所考虑的服务包括 app-server、rsyslog、redis-server、ad-connector、mnt-collector、mnt-processor、ca-server
est-server 和 elasticsearch。
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (63692139) 7 days, 8:55:21.39 SNMPv2-MIB::snmpTrapOID.0 = OID: HOSTRESOURCES-
MIB::hrSWRunName HOSTRESOURCES- MIB::hrSWRunName = STRING: "redis-server:Running"
在 SNMP 服务器中,会为每个对象生成唯一的对象 ID (OID),并为 OID 分配一个值。您可以通过 OID 值在 SNMP 服务器查找对象。正在运行的陷阱的 OID 值为
running
,不受监控的、不存在的和执行失败的陷阱的 OID 值为
stopped
。
思科 ISE 使用属于 HOST-RESOURCES MIB 的 hrSWRunName 的 OID 发送陷阱,并将 OID 值设置为 <
进程名称
> - <
进程状态
>,例如,runtime - running。
要终止思科 ISE 发送 SNMP 陷阱至 SNMP 服务器,需在思科 ISE CLI 中删除 SNMP 配置。此操作将终止来自 SNMP 管理器的 SNMP 陷阱和轮询。
思科 ISE 中的磁盘利用率 SNMP 陷阱
当思科 ISE 分区达到利用率限制阈值时并且达到所配置的可用空间量时,将发送一个陷阱。
以下是可在思科 ISE 中配置的磁盘利用率 SNMP 陷阱的列表:
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198297) 13 days, 16:19:42.97 SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPercent
UCD-SNMP-MIB::dskPercent = INTEGER: 13
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198304) 13 days, 16:19:43.04 SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPath
UCD-SNMP-MIB::dskPath = STRING: /opt
思科 ISE 警报
警报显示在 Alarms dashlet 中,通知您网络中的严重情况。警报还会提供关于系统活动的信息,如数据清除事件。您可以配置要接收系统活动通知的方式,或完全禁用警报。还可以为某些警报配置阈值。
大多数警报没有关联的计划,会在事件发生后立即发送。在任何给定时间点,系统只会保留最新的 15,000 个警报。
如果事件再次发生,则系统会在约一个小时内抑制相同的警报。在事件再次发生期间,可能需要经过一个小时,警报才会再次出现(取决于触发器)。
下表列出所有思科 ISE 警报、说明及其解决方法。
表 1.
思科 ISE 警报
检查 NAD/AAA 客户端是否在思科 ISE 中存在有效配置。检查 NAD/AAA 客户端和思科 ISE 上的共享密钥是否相互匹配。确保 AAA 客户端和网络设备没有硬件问题或 RADIUS 兼容性问题。此外,请确保用于将设备连接到思科 ISE
的网络没有硬件问题。
检查系统是否有足够的资源。检查系统的实际工作量,例如,身份验证数量、分析器活动等。添加额外服务器以分配负载。
如果主 MNT 节点和辅助 MnT 节点的凌晨 2:00 时间戳出现对应的高平均负载警报,请注意,CPU 使用率可能由于在该小时运行 DBMS 统计信息而较高。在 DBMS 统计信息运行完成后,CPU 使用率将恢复正常。
高平均负载警报在每个星期日的凌晨 1:00 由每周维护任务触发。此维护任务将重新构建所有占用 1 GB 以上空间的索引。可以忽略此警报。
思科 ISE 包含 12 个默认报警类型,例如高内存利用率和配置更改。思科定义的系统警报列在
警报设置 (Alarm Settings)
窗口(
管理 (Administration)
>
系统 (System)
>
设置 (Settings)
>
警报设置 (Alarm Settings)
)。您只能编辑系统报警。
除现有系统警报外,还可以在现有警报类型下添加、编辑或删除自定义警报。
对于每种警报类型,最多可以创建五个警报。警报总数限制为 200。
在
警报设置 (Alarm Settings)
窗口的
警报配置 (Alarm Configuration)
选项卡中,
条件 (Conditions)
列显示以下四个警报的详细信息:高身份验证延迟 (High Authentication Latency)、高磁盘 I/O 利用率 (High Disk I/O Utilization)、高磁盘空间利用率 (High Disk Space Utilization)
和高内存利用率 (High Memory Utilization)。其中,每个警报都有一个可配置的阈值。但即使是在配置阈值后,
条件 (Conditions)
列也可能不显示详细信息。在这种情况下,请重新编辑警报的相关阈值字段,以查看
条件 (Conditions)
列中的详细信息。
执行此程序以添加警报。
基于报警类型(高内存利用率 (High Memory Utilization)、RADIUS 身份验证尝试次数过多 (Excessive RADIUS Authentication Attempts)、
TACACS 身份验证尝试次数过多 (Excessive TACACS Authentication Attempts)
等),
警报配置 (Alarm Configuration)
窗口中会显示其他属性。例如,会为“配置更改”(Configuration Change) 警报显示
对象名称 (Object Name)
和
对象类型 (Object Type)
和
管理员名称 (Admin Name)
字段。您可以为规定不同条件的相同报警添加多个实例。
思科 ISE 警报通知和阈值
您可以启用或禁用思科 ISE 警报,并且配置警报通知行为以通知紧急状况。对于某些警报,您可以配置阈值,如“尝试失败次数过多”(Excessive Failed Attempts) 警报的最大失败尝试次数或“磁盘利用率高”(High Disk Utilization)警报的最大磁盘利用率。
您可以针对每个警报分别配置通知设置,还可以输入每个警报(系统定义警报和用户定义警报)所需要通知的用户的电子邮件 ID。
在警报规则级别指定的收件人邮件地址会覆盖全局收件人邮件地址设置。
用于监控的思科 ISE 警报
思科 ISE 提供系统警报以通知您所发生的各种严重系统状况。由思科 ISE 生成的警报在 Alarm dashlet 中显示。Alarm dashlet 中自动显示这些通知。
Alarm dashlet 显示最近警报的列表。从此列表中,您可以选择要查看的警报的详细信息。您可以通过邮件和系统日志消息接收警报通知。
从
确认 (Acknowledge)
下拉列表中选择
确认所选 (Acknowledge Selected)
,将当前显示在窗口中的所有警报标记为已读。默认情况下,窗口中显示 100 行。您可以通过从
行数/页数 (Rows/Page)
下拉列表中选择一个值来选择要显示的不同行数。
从
确认 (Acknowledge)
下拉列表中选择
全部确认 (Acknowledge All)
,将列表中的所有警报标记为已读(无论这些警报当前是否显示在窗口中)。
您无法查看活动时间超过 48 小时的终端的详细信息。当单击活动时间超过 48 小时的终端的
详细信息 (Details)
图标时,您会看到一个包含以下消息的窗口:
此记录无可用数据。(No Data available for this record.) 数据可能已清除或此会话记录的身份验证发生在一周之前。(Either the data is purged or authentication for this
session record happened a week ago.) 或者,如果这是“PassiveID”或“PassiveID 可视性”(PassiveID Visibility) 会话,则不会有 ISE 身份验证详细信息,只有会话。(Or
if this is an 'PassiveID' or 'PassiveID Visibility' session, it will not have authentication details on ISE but only the session.)
实时身份验证
您可以在
实时身份验证 (Live Authentications)
窗口实时监控最近发生的 RADIUS 身份验证。此窗口显示最近 24 小时内发生的前 10 项 RADIUS 身份验证。此节说明
实时身份验证 (Live Authentications)
窗口的功能。
实时身份验证 (Live Authentications)
窗口显示与所发生的身份验证事件对应的实时身份验证条目。除了身份验证条目之外,此窗口还显示与这些事件对应的实时会话条目。您还可以向下钻取会话,查看与该会话对应的详细报告。
此
实时身份验证 (Live Authentications)
窗口提供一个按所发生时间排序的最近 RADIUS 身份验证的表格说明。
实时身份验证 (Live Authentications)
窗口底部显示的最近更新会显示服务器日期、时间和时区。
一个终端成功通过身份验证时,
实时身份验证 (Live Authentications)
窗口会显示两个条目 — 一个条目对应身份验证记录,另一个条目对应会话记录(从会话实时视图下拉)。随后,当设备进行其他身份验证成功时,与会话记录对应的重复次数计数器会递增其次数。在
实时身份验证 (Live Authentications)
窗口显示的重复次数计数器会显示所抑制的重复 RADIUS 身份验证成功消息的数量。
请参阅默认情况下显示的实时身份验证数据类别。“最近的 RADIUS 身份验证”(Recent RADIUS Authentications) 部分中说明了这些类别。
您可以选择查看所有列,也可以只显示所选择的数据列。在选择您想要显示的列之后,您可以保存您的选择。
通过 Escape 选项,您可以筛选包含特殊字符的文本(包括用作过滤器的特殊字符)。您必须将反斜线 (\) 放在特殊字符的前面。例如,如果您要查看身份为“Employee!”的用户的身份验证记录,请在
身份过滤器 (Identity Filter)
文本框中输入“Employee\!”。在此例中,思科 ISE 考虑将感叹号 (!) 作为文字字符,而不是作为特殊字符。
此外,使用
状态 (Status)
字段您可以筛选出仅成功的身份验证记录、失败的身份验证、实时会话,等等。绿色复选标记会筛选过去发生的所有成功身份验证。红色十字标记会筛选所有失败身份验证。蓝色 i 图标会筛选所有实时会话。您还可以选择查看这些选项的组合。
思科 ISE 依靠 WLC 中的 nas-update=true 属性识别会话是否处于漫游状态。当原始 WLC 在 nas-update=true 时发送记账停止属性时,不会在 ISE 中删除会话,以避免重新进行身份验证。如果漫游失败,ISE
将在会话处于非活动状态五天后清除该会话。
(仅为 REST 提供程序显示值)显示由终端服务器代理分配的第一个端口。
终端服务器指允许多个终端在无需调制解调器或网络接口的情况下连接到其上的服务器或网络设备,可实现多个终端到 LAN 网络的连接。多个终端可能会有相同的 IP 地址,因此难以识别特定用户的 IP 地址。所以,为了识别特定用户,需在服务器上安装终端服务器代理,为每个用户分配一个端口范围。这有助于创建
IP 地址-端口用户映射。
您可以查看过去 7 天内所有用户导出的报告的详细信息以及状态。导出摘要包括手动报告和已计划的报告。导出摘要页面每 2 分钟自动刷新一次。点击刷新图标可手动刷新导出摘要页面。
超级管理员可以取消正在进行或处于排队状态的导出进程。其他用户只能取消他们发起的导出进程。
默认情况下,在给定的时间点只能运行 3 次报告手动导出,其余触发的报告手动导出将排队。计划导出的报告没有此类限制。
此工具用于以一种可预测的方式测试策略流,以检查和验证策略的配置方式,而无需让实际流量源自实际设备。
您可以配置测试案例中使用的属性和值的列表。这些详细信息用于执行与策略系统的交互,以模拟对策略的运行时调用。
可通过使用词典配置属性。适用于简单 RADIUS 身份验证的所有词典都列在
属性 (Attributes)
字段中。
当您选择预定义的测试案例时,思科 ISE 会自动填充测试案例的相关属性。您可以使用这些属性的默认值,或从显示的选项中选择所需的值。您还可以向测试用例添加其他自定义属性。
添加到测试用例的属性和值会列在“文本”(Text) 字段(“自定义属性”(Custom Attributes) 字段下方)中。当您在文本 (Text) 字段中编辑内容时,思科 ISE 会检查更新内容的有效性和语法。
您可以在测试详细信息 (Test Details) 页面底部查看所有属性的摘要。
您可以从“RADIUS 实时日志”(RADIUS Live Logs) 页面启动会话跟踪测试用例工具。您可以在“实时日志”(Live Logs) 页面上选择一个条目,然后点击“操作”(Actions) 图标(在“详细信息”(Details)
列中),启动会话跟踪测试用例工具。思科 ISE 会从相应的日志条目中提取相关属性及其值。如果需要,可以修改这些属性和值,并执行测试用例。
用于高级故障排除的技术支持隧道
思科 ISE 使用 Cisco IronPort Tunnel 基础设施为思科技术支持工程师创建了一个安全隧道,可以通过该系统连接到 ISE 服务器并进行故障排除。思科 ISE 使用 SSH 通过该隧道创建安全连接。
作为管理员,您可以控制对隧道的访问;您可以选择允许支持工程师访问隧道的时间和期限。没有您的参与,思科客户支持无法建立隧道。您将收到有关服务登录的通知。您可以随时禁用隧道连接。默认情况下,技术支持隧道保持开放 72 小时。我们建议您或技术支持工程师在完成所有故障排除工作后关闭隧道。如有需要,您可以选择将隧道开放时间延长
72 小时。
使用
tech support-tunnel enable
命令发起隧道连接。
通过
tech support-tunnel status
命令可使系统显示连接状态。该命令提供关于是否已建立连接、身份验证是否失败,或是否无法访问服务器的信息。如果隧道服务器可访问,但 ISE 无法进行身份验证,ISE 会每隔 5 分钟再次尝试进行身份验证,如此持续 30 分钟,之后隧道会被禁用。
您可以使用
tech support-tunnel disable
命令禁用隧道连接。即使当前有技术支持工程师登录时,该命令也会断开现有的隧道。
如果您已从 ISE 服务器建立隧道连接,则生成的 SSH 密钥可在 ISE 服务器上使用。当您在较晚的时间点尝试启用支持隧道时,系统会提示您重新使用之前生成的 SSH 密钥。您可以选择使用相同的密钥或生成新密钥。您还可以使用
tech support-tunnel resetkey
命令手动重置密钥。如果您在隧道连接处于启用状态时执行该命令,系统会提示您需先禁用该连接。如果您选择保持现有的连接而不禁用该连接,则系统会在禁用现有连接后重置密钥。如果您选择禁用连接,则系统会断开隧道连接,并立即重置密钥。
在建立隧道连接后,您可以使用
tech support-tunnel extend
命令延长连接的持续时间。
有关
tech support-tunnel
命令,请参阅 《Cisco 身份服务引擎 CLI 参考指南》。
用于验证传入流量的 TCP Dump 实用工具
TCP 转储实用工具嗅探数据包,可以使用此实用工具验证预计数据包是否已到达节点。例如,当报告中没有显示传入身份验证或日志时,您可能会怀疑没有传入流量或传入流量无法到达思科 ISE。在这种情况下,您可以运行此工具进行验证。
可以配置 TCP 转储选项,然后从网络流量收集数据以帮助您对网络问题进行故障排除。
TCP Dump 页面中的 Network Interface 下拉列表仅显示已配置 IPv4 或 IPv6 地址的网络接口卡 (NIC)。在 VMware 中,默认情况下将连接所有 NIC,因此,所有 NIC 均具有 IPv6 地址,并显示在“网络接口”(Network
Interface) 下拉列表中。
设备 SGT 工具
对于启用 Trustsec 解决方案的设备,每个网络设备都会通过 RADIUS 身份验证分配到一个 SGT 值。设备 SGT 诊断工具连接至网络设备(使用您提供的 IP 地址)并获取网络设备 SGT 值,然后检查 RADIUS 身份验证记录以确定最近分配的最新
SGT 值。最后,它会用表格格式显示设备-SGT 对,并确定 SGT 值为相同还是不同。
支持捆绑包
您可以将支持捆绑包以简单 tar.gpg 文件的形式下载至您的本地计算机。支持捆绑包将按照 ise-support-bundle_ise-support-bundle-mm-dd-yyyy--hh-mm.tar..gpg 的格式用日期和时间戳命名。浏览器会提示您将支持捆绑包保存至适当的位置。您可以提取支持捆绑包的内容并查看
README.TXT 文件,此文件介绍该支持捆绑包的内容,以及在支持捆绑包包含 ISE 数据库内容的情况下如何导入 ISE 数据库内容。
您也可以下载包含 ADE-OS 和其他日志文件的系统日志来排除安装和升级方面的问题。
在下载支持捆绑包时,现在可以选择一个公共加密密钥,而无需手动输入加密密钥。如果选择此选项,会使用思科 PKI 对支持捆绑包进行加密和解密。思科 TAC 负责维护公钥和私钥。思科 ISE 使用公钥来加密支持捆绑包。思科 TAC 可使用私钥解密支持捆绑包。如果您想要提供支持捆绑包到思科
TAC 以进行故障排除,请使用此选项。如果您要在现场排除故障,请使用共享密钥加密。
