Cisco Identity Services Engine 管理者ガイド リリース 1.3
モニタリングおよびトラブルシューティング
モニタリングおよびトラブルシューティング

目次

モニタリングおよびトラブルシューティング

Cisco ISE のモニタリングとトラブルシューティング サービス

モニタリングおよびトラブルシューティング サービスは、すべての Cisco ISE 実行時サービスに対する包括的なアイデンティティ ソリューションであり、次のコンポーネントを使用します。

  • モニタリング:ネットワーク上のアクセス アクティビティの状態を表す意味のあるデータのリアルタイム表示を提供します。 これを把握することにより、操作の状態を簡単に解釈し、作用することができます。

  • トラブルシューティング:ネットワーク上のアクセスの問題を解決するための状況に応じたガイダンスを提供します。 また、ユーザの懸念に対応してタイムリーに解決策を提供できます。

  • レポート:トレンドを分析し、システム パフォーマンスおよびネットワーク アクティビティをモニタするために使用できる、標準レポートのカタログを提供します。 レポートをさまざまな方法でカスタマイズし、今後使用するために保存できます。

Cisco ISE ダッシュボード

Cisco ISE ダッシュボード(ホーム ページ)は、Cisco ISE 管理コンソールにログインした後に表示されるランディング ページです。 ダッシュボードは、ウィンドウの上部に沿って表示されるメトリック メーターと下にあるダッシュレットで構成された、集中化された管理コンソールです。

ダッシュボードのリアルタイム データによって、ネットワークにアクセスしているデバイスおよびユーザの一目で確認できるステータスと、システム健全性の概要が示されます。


(注)  


ダッシュレットおよびメトリック メーターをダッシュボードに表示するには、管理ノードに Adobe Flash Player がインストールされている必要があります。


Network Privilege Framework

ダッシュボードでは、Network Privilege Framework(NPF)上にアクティビティが表示され、さまざまなコンポーネントに関する詳細情報が提供されます。

NPF は、次の表で説明されている 3 つの層で構成されます。

表 1 NPF 階層

階層

仕様

1

802.1x、MAC 認証バイパス(MAB)、Cisco ISE プロファイラ サービスを使用したアイデンティティに基づくアクセス コントロール

2

802.1x、MAB、プロファイラ、ネットワーク アドミッション コントロール(NAC)マネージャのゲスト プロビジョニング、中央 Web 認証を使用したアイデンティティに基づくアクセス コントロール

3

802.1x、MAB、プロファイラ、NAC マネージャのゲスト プロビジョニング、中央 Web 認証を使用したアイデンティティおよびポスチャに基づくアクセス コントロール

NPF 認証および許可では、イベントのフローが生成されます。 異なるソースからのイベントが、Cisco ISE モニタリングおよびトラブルシューティング ツールによって収集され、要約されます。 認証および許可の結果をダッシュボードで表示できます。または、任意の数のレポートを実行するように選択できます。

NPF イベント フロー プロセス

NPF 認証および許可イベント フローでは、次の表に記載されているプロセスが使用されます。

プロセス ステージ

説明

1

NAD によって許可またはフレックス許可が実行されます。

2

未知のエージェントレス ID が Web 許可を使用してプロファイリングされます。

3

RADIUS サーバによって ID が認証および許可されます。

4

許可がポートで ID に対してプロビジョニングされます。

5

許可されないエンドポイント トラフィックはドロップされます。

モニタリングおよびトラブルシューティング機能のユーザ ロールと権限

モニタリングおよびトラブルシューティング機能は、デフォルトのユーザ ロールに関連付けられます。 実行を許可されるタスクは、割り当てられているユーザ ロールに直接関係します。

モニタリング データベースに格納されているデータ

Cisco ISE モニタリング サービスでは、データが収集され、特化したモニタリング データベースに格納されます。 ネットワーク機能のモニタリングに使用されるデータのレートおよび量によっては、モニタリング専用のノードが必要な場合があります。 Cisco ISE ネットワークによって、ポリシー サービス ノードまたはネットワーク デバイスからロギング データが高いレートで収集される場合は、モニタリング専用の Cisco ISE ノードを推奨します。

モニタリング データベースに格納される情報を管理するには、データベースのフル バックアップおよび差分バックアップを実行する必要があります。 これには、不要なデータの消去とデータベースの復元が含まれます。

モニタリングのためのデバイス設定

モニタリング ノードにより、ネットワーク上のデバイスからのデータが受信および使用されて、ダッシュボードに表示されます。 モニタリング ノードとネットワーク デバイスの間の通信を有効にするには、スイッチおよびネットワーク アクセス デバイス(NAD)を正しく設定する必要があります。

ネットワーク プロセス ステータス

[システム概要(System Summary)] ダッシュレットを使用して、Cisco ISE ダッシュボードからネットワークのプロセス ステータスを表示できます。 たとえば、アプリケーション サーバやデータベースなどのプロセスで障害が発生すると、アラームが生成され、[システム概要(System Summary)] ダッシュレットで結果を表示できます。

システム ステータス アイコンの色は、システムの健全性を示します。

  • 緑色 = 正常

  • 黄色 = 警告

  • 赤色 = 深刻

  • 灰色 = 情報なし

ネットワーク プロセス ステータスのモニタ

手順
    ステップ 1   Cisco ISE ダッシュボードに進みます。
    ステップ 2   [システム概要(System Summary)] ダッシュレットを展開します。 詳細なリアルタイム レポートが表示されます。
    ステップ 3   ネットワーク上で実行されているプロセスについて、次の情報を確認します。
    • プロセスの名前

    • CPU およびメモリの使用率

    • プロセスの実行開始からの時間


    ネットワーク認証

    [認証(Authentications)] ダッシュレットから、成功および失敗したネットワーク認証を表示できます。 ここには、ユーザまたはデバイスのタイプ、場所、ユーザまたはデバイスが所属する ID グループに関するデータが示されます。 ダッシュレットの上部に沿って表示されるスパークラインは、直近の 24 時間と直近の 60 分での分散を表します。

    ネットワーク認証のモニタ

    手順
      ステップ 1   Cisco ISE ダッシュボードに進みます。
      ステップ 2   [認証(Authentications)] ダッシュレットを展開します。

      詳細なリアルタイム レポートが表示されます。

      ステップ 3   ネットワークで認証されたユーザまたはデバイスの情報を確認します。
      ステップ 4   データ カテゴリを展開すると、詳細を参照できます。

      プロファイラ アクティビティおよびプロファイリングされたエンドポイント

      [プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、プロファイルが一致したネットワーク上のエンドポイントに焦点を当てます。各エンドポイントのプロファイル データが表示されます。 たとえば、統計情報によってデバイスのタイプ、そのロケーション、およびその IP アドレスを判別できます。 ダッシュレットの上部に沿って表示されるスパークラインは、直近の 24 時間と直近の 60 分でのエンドポイント アクティビティを表します。

      [プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、不明なものも含め、直近の 24 時間にネットワーク上でプロファイリングされたエンドポイントの総数を表します。 ネットワーク上で現在アクティブなエンドポイント数ではありません。 ダッシュレットの上部に表示されるスパークライン メトリックは、直近の 24 時間と 60 分での時間固有の値を表します。

      プロファイラ アクティビティおよびプロファイリングされたエンドポイントの決定

      手順
        ステップ 1   Cisco ISE ダッシュボードに進みます。
        ステップ 2   [プロファイラ アクティビティ(Profiler Activity)] ダッシュレットで、積み上げ棒またはスパークラインの上にカーソルを移動します。

        ツール チップに詳細情報が示されます。

        ステップ 3   データ カテゴリを展開すると、詳細を参照できます。
        ステップ 4   [プロファイラ アクティビティ(Profiler Activity)] ダッシュレットを展開します。

        詳細なリアルタイム レポートが表示されます。


        ポスチャ コンプライアンス

        ポスチャ コンプライアンス ダッシュレットは、ネットワークにアクセスしているユーザとそのユーザがポスチャ コンプライアンスに適合するかどうかに関する情報を示します。 データは、現在ネットワークに接続されているデバイスに関して表示されます。 積み上げ棒には、オペレーティング システムやその他の基準に従って配置された非準拠統計情報が表示されます。 スパークラインは、ポスチャ試行の準拠と非準拠のパーセンテージを表します。

        ポスチャ コンプライアンスのチェック

        手順
          ステップ 1   Cisco ISE ダッシュボードに進みます。
          ステップ 2   [ポスチャ コンプライアンス(Posture Compliance)] ダッシュレットで、カーソルを積み上げ棒またはスパークラインに合わせます。

          ツール チップに詳細情報が示されます。

          ステップ 3   データ カテゴリを展開すると、詳細を参照できます。
          ステップ 4   [ポスチャ コンプライアンス(Posture Compliance)] ダッシュレットを大きくします。

          詳細なリアルタイム レポートが表示されます。


          Cisco ISE アラーム

          アラームは、ネットワークの重大な状態を通知し、[アラーム(Alarms)] ダッシュレットに表示されます。 データ消去イベントなど、システム アクティビティの情報も提供されます。 システム アクティビティについてどのように通知するかを設定したり、それらを完全に無効にしたりできます。 また、特定のアラームのしきい値を設定できます。

          アラームにはスケジュールが関連付けられず、イベントが発生した直後に送信されます。 その時点で最新の 15,000 件のアラームのみが保持されます。

          イベントが繰り返し発生した場合、同じアラームは最小 2 時間抑制されます。 イベントが繰り返し発生する間は、トリガーに応じて、アラームが再び表示されるのに最大 3 時間かかる場合があります。

          次の表に、すべての Cisco ISE アラームおよびその説明と解決方法を示します。

          表 2 Cisco ISE アラーム

          アラーム名

          アラームの説明

          アラームの解決方法

          管理および操作の監査の管理

          管理者アカウントがロック/無効(Administrator account Locked/Disabled)

          パスワードの失効または不正なログイン試行のために、管理者アカウントがロックされているか、または無効になっています。 詳細については、管理者パスワード ポリシーを参照してください。

          管理者パスワードは、GUI または CLI を使用して、他の管理者によってリセットできます。

          バックアップに失敗(Backup Failed)

          ISE バックアップ操作に失敗しました。

          Cisco ISE とリポジトリ間のネットワーク接続を確認します。 次の点を確認します。

          • リポジトリに使用するクレデンシャルが正しいこと。

          • リポジトリに十分なディスク領域があること。

          • リポジトリ ユーザが書き込み特権を持っていること。

          CA サーバがダウン(CA Server is down)

          CA サーバがダウンしています。

          CA サービスが CA サーバで稼働中であることを確認します。

          CA サーバが稼働中(CA Server is Up)

          CA サーバは稼働中です。

          CA サーバが稼働中であることを管理者に通知します。

          証明書の有効期限(Certificate Expiration)

          この証明書はまもなく有効期限が切れます。 これが失効すると、Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。

          証明書を交換します。 信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。 CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。 自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。 使用されなくなった場合、証明書を削除できます。

          証明書が失効(Certificate Revoked)

          管理者は、内部 CA がエンドポイントに発行した証明書を取り消しました。

          BYOD フローに従って最初から新しい証明書を使用してプロビジョニングします。

          証明書プロビジョニング初期化エラー(Certificate Provisioning Initialization Error)

          証明書プロビジョニングの初期化に失敗しました。

          複数の証明書でサブジェクトの CN(CommonName)属性が同じ値になっており、証明書チェーンを構築できません。 SCEP サーバからそれらを含むシステムのすべての証明書を確認します。

          証明書の複製に失敗(Certificate Replication Failed)

          セカンダリ ノードへの証明書の複製に失敗しました。

          証明書がセカンダリ ノードで無効であるか、他の永続的なエラー状態があります。 セカンダリ ノードに矛盾する証明書が存在しないかどうかを確認します。 見つかった場合、セカンダリ ノードに存在するその証明書を削除し、プライマリの新しい証明書をエクスポートしてから削除し、その後インポートすることによって複製を再試行します。

          証明書の複製に一時的に失敗(Certificate Replication Temporarily Failed)

          セカンダリ ノードへの証明書の複製に一時的に失敗しました。

          証明書は、ネットワークの停止などの一時的な条件によりセカンダリ ノードに複製されませんでした。 複製は、成功するまで再試行されます。

          証明書が失効(Certificate Expired)

          この証明書の期限が切れています。 Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。 ノードツーノード通信も影響を受ける場合があります。

          証明書を交換します。 信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。 CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。 自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。 使用されなくなった場合、証明書を削除できます。

          証明書要求転送に失敗(Certificate Request Forwarding Failed)

          証明書要求転送に失敗しました。

          受信する証明書要求が送信者からの属性に一致することを確認します。

          設定が変更(Configuration Changed)

          Cisco ISE 設定が更新されています。 このアラームは、ユーザとエンドポイントに設定変更があってもトリガーされません。

          設定変更が想定どおりであるかどうかを確認します。

          CRL の取得に失敗(CRL Retrieval Failed)

          サーバから CRL を取得できません。 これは、指定した CRL が使用できない場合に発生することがあります。

          ダウンロード URL が正しく、サービスに使用可能であることを確認します。

          DNS 解決に失敗(DNS Resolution Failure)

          ノードで DNS 解決に失敗しました。

          コマンド ip name-server で設定された DNS サーバに到達可能かどうかを確認します。

          「CNAME <hostname of the node> に対する DNS 解決が失敗しました(DNS Resolution failed for CNAME <hostname of the node>)」というアラームが表示された場合は、各 Cisco ISE ノードの A レコードとともに CNAME RR を作成できることを確認します。

          ファームウェアの更新が必要(Firmware Update Required)

          このホスト上でファームウェアの更新が必要です。

          Cisco Technical Assistance Center に問い合わせてファームウェア アップデートを入手してください。

          仮想マシン リソースが不十分(Insufficient Virtual Machine Resources)

          このホストでは、CPU、RAM、ディスク容量、IOPS などの仮想マシン(VM)リソースが不十分です。

          Cisco ISE Hardware Installation Guide に指定されている VM ホストの最小要件を確認します。

          NTP サービスの障害(NTP Service Failure)

          NTP サービスがこのノードでダウンしています。

          これは、NTP サーバと Cisco ISE ノードとの間に大きな時間差(1000 秒を超える)があるために発生することがあります。 NTP サーバが正しく動作していることを確認し、ntp server <servername> CLI コマンドを使用して NTP サービスを再開し、時間のギャップを修正します。

          NTP 同期に失敗(NTP Sync Failure)

          このノードに構成されているすべての NTP サーバが到達不能です。

          トラブルシューティングのために、CLI で show ntp コマンドを実行します。 Cisco ISE から NTP サーバに到達可能であることを確認します。 NTP 認証が設定されている場合、キー ID と値がサーバの対応する値に一致することを確認します。

          スケジュールされた設定バックアップなし(No Configuration Backup Scheduled)

          Cisco ISE 設定バックアップがスケジュールされていません。

          設定バックアップのスケジュールを作成します。

          操作 DB 消去に失敗(Operations DB Purge Failed)

          操作データベースから古いデータを消去できません。 このことは、M&T ノードがビジー状態である場合に発生する可能性があります。

          [データ消去の監査(Data Purging Audit)] レポートをチェックし、used_space が threshold_space を下回ることを確認します。 CLI を使用して M&T ノードにログインし、消去操作を手動で実行します。

          プロファイラ SNMP 要求に失敗(Profiler SNMP Request Failure)

          SNMP 要求がタイム アウトしたか、または SNMP コミュニティまたはユーザ認証データが不正です。

          SNMP が NAD で動作していることを確認し、Cisco ISE の SNMP 設定が NAD に一致していることを確認します。

          複製に失敗(Replication Failed)

          セカンダリ ノードは複製されたメッセージを消費できませんでした。

          Cisco ISE GUI にログインし、展開ページから手動同期を実行します。 影響を受ける Cisco ISE ノードを登録解除してから登録します。

          復元に失敗(Restore Failed)

          Cisco ISE 復元操作に失敗しました。

          Cisco ISE とリポジトリ間のネットワーク接続を確認します。 リポジトリに使用するクレデンシャルが正しいことを確認します。 バックアップ ファイルが破損していないことを確認します。 CLI から reset-config コマンドを実行し、正常な既知の最終バックアップを復元します。

          パッチに失敗(Patch Failure)

          パッチ プロセスがサーバで失敗しました。

          サーバにパッチ プロセスを再インストールします。

          パッチに成功(Patch Success)

          パッチ プロセスがサーバで成功しました。

          -

          外部 MDM サーバ API バージョンが不一致(External MDM Server API Version Mismatch)

          外部 MDM サーバ API バージョンが Cisco ISE に設定されたものと一致しません。

          MDM サーバ API バージョンが Cisco ISE に設定されたものと同じであることを確認します。 Cisco ISE MDM サーバ設定を更新します(必要な場合)。

          外部 MDM サーバ接続に失敗(External MDM Server Connection Failure)

          外部 MDM サーバへの接続に失敗しました。

          MDM サーバが稼働し、Cisco ISE-MDM API サービスが MDM サーバで稼働していることを確認します。

          外部 MDM サーバ応答エラー(External MDM Server Response Error)

          外部 MDM サーバ応答エラーです。

          Cisco ISE-MDM API サービスが MDM サーバで適切に動作していることを確認します。

          複製が停止(Replication Stopped)

          ISE ノードがプライマリ管理ノードから設定データを複製できませんでした。

          Cisco ISE GUI にログインして展開ページから手動同期を実行するか、または影響を受けた ISE ノードを登録解除してから必須フィールドで再登録します。

          エンドポイント証明書が期限切れ(Endpoint certificates expired)

          エンドポイント証明書が日次スケジュール ジョブで期限切れとマークされました。

          エンドポイント デバイスを再登録して新しいエンドポイント証明書を取得してください。

          エンドポイント証明書が消去(Endpoint certificates purged)

          期限切れのエンドポイント証明書が日次スケジュール ジョブによって消去されました。

          アクションは必要ありません。これは、管理者が開始したクリーンアップ操作です。

          エンドポイントのアクティビティ消去(Endpoints Purge Activities)

          過去 24 時間のエンドポイントのアクティビティを消去します。 このアラームは、真夜中にトリガーされます。

          [操作(Operations)] > [レポート(Reports)] > [エンドポイントとユーザ(Endpoints and Users)] > [エンドポイントのアクティビティ消去(Endpoints Purge Activities)] で消去アクティビティを確認します。

          複製低速エラー(Slow Replication Error)

          低速またはスタックした複製が検出されました。

          ノードが到達可能であり、展開の一部であることを確認してください。

          複製低速情報(Slow Replication Info)

          低速またはスタックした複製が検出されました。

          ノードが到達可能であり、展開の一部であることを確認してください。

          複製低速警告(Slow Replication Warning)

          低速またはスタックした複製が検出されました。

          ノードが到達可能であり、展開の一部であることを確認してください。

          ISE サービス

          AD コネクタを再起動する必要があります(AD Connector had to be restarted)

          AD コネクタが突然シャットダウンし、再起動が必要となりました。

          この問題が連続して発生する場合は、Cisco TAC にお問い合わせください。

          Active Directory フォレストが使用不可(Active Directory forest is unavailable)

          Active Directory フォレスト GC(グローバル カタログ)が使用できず、認証、許可、およびグループと属性の取得に使用できません。

          DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。

          認証ドメインが使用不可(Authentication domain is unavailable)

          認証ドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。

          DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。

          ISE の認証非アクティビティ(ISE Authentication Inactivity)

          Cisco ISE ポリシー サービス ノードは、ネットワーク デバイスから認証要求を受け取っていません。

          ISE/NAD 設定を確認します。 ISE/NAD インフラストラクチャのネットワーク接続を確認します。

          ID マッピングの 認証非アクティビティ(ID Map. Authentication Inactivity)

          ユーザ認証イベントが過去 15 分に ID マッピング サービスによって収集されませんでした。

          これがユーザ認証が想定される時間(たとえば、勤務時間)である場合は、Active Directory ドメイン コントローラへの接続を確認します。

          CoA 失敗(COA Failed)

          ネットワーク デバイスが、Cisco ISE ポリシー サービス ノードによって発行された許可変更(CoA)要求を拒否しました。

          Cisco ISE から許可変更(CoA)を受け入れるようにネットワーク デバイスが設定されていることを確認します。 CoA が有効なセッションに対して発行されているかどうかを確認します。

          設定されたネーム サーバがダウン(Configured nameserver is down)

          設定されたネーム サーバがダウンしているか、使用できません。

          DNS 設定とネットワーク接続を確認します。

          サプリカントが応答停止(Supplicant Stopped Responding)

          Cisco ISE がクライアントに最後のメッセージを 120 秒前に送信しましたが、クライアントから応答がありません。

          サプリカントが Cisco ISE との完全な EAP カンバセーションを行えるように適切に設定されていることを確認します。 サプリカントとの間で EAP メッセージを転送するように NAS が正しく設定されていることを確認します。 サプリカントまたは NAS で、EAP カンバセーションのタイムアウトが短くないことを確認します。

          過剰な認証試行(Excessive Authentication Attempts)

          Cisco ISE ポリシー サービス ノードで認証の割合が想定よりも多くなっています。

          ネットワーク デバイスの再認証タイマーをチェックします。 Cisco ISE インフラストラクチャのネットワーク接続を確認します。

          しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。 [説明(Description)] カラムの横に表示される数値は、過去 15 分間で Cisco ISE に対して認証されたか失敗した認証の合計数です。

          過剰な失敗試行(Excessive Failed Attempts)

          Cisco ISE ポリシー サービス ノードで認証失敗の割合が想定よりも多くなっています。

          根本原因を特定するために認証手順を確認します。 ID と秘密の不一致がないか、Cisco ISE/NAD 設定を確認します。

          しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。 [説明(Description)] カラムの横に表示される数値は、過去 15 分間で Cisco ISE に対して認証されたか失敗した認証の合計数です。

          AD:マシン TGT のリフレッシュに失敗(AD: Machine TGT refresh failed)

          ISE サーバ TGT(チケット認可チケット)のリフレッシュに失敗しました。これは AD 接続とサービスに使用されます。

          ISE マシン アカウントが存在し、有効であることを確認します。 また、クロック スキュー、複製、Kerberos 設定やネットワーク エラーも確認します。

          AD:ISE アカウント パスワードの更新に失敗(AD: ISE account password update failed)

          ISE サーバは、AD マシン アカウント パスワードを更新できませんでした。

          ISE マシン アカウント パスワードが変更されていないことと、マシン アカウントが無効でなく制限もされていないことを確認します。 KDC への接続を確認します。

          参加しているドメインが使用不可(Joined domain is unavailable)

          参加しているドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。

          DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。

          ID ストアが使用不可(Identity Store Unavailable)

          Cisco ISE ポリシー サービス ノードは設定された ID ストアに到達できません。

          Cisco ISE と ID ストア間のネットワーク接続を確認します。

          正しく設定されていないネットワーク デバイスを検出(Misconfigured Network Device Detected)

          Cisco ISE は、NAS から多すぎる RADIUS アカウンティング情報を検出しました。

          非常に多くの重複する RADIUS アカウンティング情報が、NAS から ISE に送信されました。 正確なアカウンティング頻度で NAS を設定します。

          正しく設定されていないサプリカントを検出(Misconfigured Supplicant Detected)

          Cisco ISE は、ネットワーク上で正しく設定されていないサプリカントを検出しました。

          サプリカントの設定が正しいことを確認します。

          アカウンティングの開始なし(No Accounting Start)

          Cisco ISE ポリシー サービス ノードではセッションを許可していますが、ネットワーク デバイスからアカウンティング開始を受信しませんでした。

          RADIUS アカウンティングがネットワーク デバイス上に設定されていることを確認します。 ローカル許可に対するネットワーク デバイス設定を確認します。

          NAD が不明な(Unknown NAD)

          Cisco ISE ポリシー サービス ノードは、Cisco ISE に設定されていないネットワーク デバイスから認証要求を受信しています。

          ネットワーク デバイスが正規の要求であるかどうかを確認してから、それを設定に追加します。 シークレットが一致することを確認します。

          SGACL がドロップ(SGACL Drops)

          セキュリティ グループ アクセス(SGACL)ドロップが発生しました。 これは、SGACL ポリシーの違反により、TrustSec 対応デバイスがパケットをドロップすると発生します。

          RBACL ドロップ概要レポートを実行し、SGACL ドロップを引き起こしているソースを確認します。 攻撃ソースに CoA を発行してセッションを再許可または切断します。

          RADIUS 要求がドロップ(RADIUS Request Dropped)

          NAD からの認証とアカウンティング要求がサイレントに廃棄されています。 これは、NAD が不明であるか、共有秘密鍵が不一致であるか、RFC ごとのパケット内容が無効であるために発生することがあります。

          NAD/AAA クライアントについて Cisco ISE に有効な設定があることを確認します。 NAD/AAA クライアントと Cisco ISE の共有秘密鍵が一致しているかどうかを確認します。 AAA クライアントとネットワーク デバイスにハードウェアの問題または RADIUS 互換性の問題がないことを確認します。 また、Cisco ISE にデバイスを接続するネットワークにハードウェア上の問題がないことを確認します。

          EAP セッションの割り当てに失敗(EAP Session Allocation Failed)

          RADIUS 要求は EAP セッションの制限に達したためにドロップされました。 この状態の原因として、並列 EAP 認証要求が多すぎることが考えられます。

          新しい EAP セッションで別の RADIUS 要求を呼び出す前に数秒間待ちます。 システムのオーバーロードが発生する場合は、ISE サーバの再起動を試してください。

          RADIUS コンテキストの割り当てに失敗(RADIUS Context Allocation Failed)

          RADIUS 要求はシステムのオーバーロードのためにドロップされました。 この状態の原因として、並列認証要求が多すぎることが考えられます。

          新しい RADIUS 要求を呼び出す前に数秒間待ちます。 システムのオーバーロードが発生する場合は、ISE サーバの再起動を試してください。

          システムの状態(System Health)

          ディスク I/O 使用率が高い(High Disk I/O Utilization)

          Cisco ISE システムは、ディスク I/O 使用率が高くなっています。

          システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラ アクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。

          ディスク領域の使用率が高い(High Disk Space Utilization)

          Cisco ISE システムは、ディスク領域の使用率が高くなっています。

          システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラ アクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。

          負荷平均が高い(High Load Average)

          Cisco ISE システムは、不可平均が高くなっています。

          システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラ アクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。

          メモリ使用率が高い(High Memory Utilization)

          Cisco ISE システムは、メモリ使用率が高くなっています。

          システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラ アクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。

          操作 DB の使用率が高い(High Operations DB Usage)

          ノードをモニタする Cisco ISE は、syslog データの量が想定よりも多くなっています。

          操作データの消去設定ウィンドウを確認して削減します。

          認証待ち時間が長い(High Authentication Latency)

          Cisco ISE システムは、認証待ち時間が長くなっています。

          システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラ アクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。

          ヘルス ステータスが使用不可(Health Status Unavailable)

          モニタリング ノードは Cisco ISE ノードからヘルス ステータスを受信しませんでした。

          Cisco ISE ノードが稼働中であることを確認します。 Cisco ISE ノードがモニタリング ノードと通信できることを確認します。

          プロセスがダウン(Process Down)

          Cisco ISE プロセスの 1 つが動作していません。

          Cisco ISE アプリケーションを再起動します。

          プロファイラ キュー サイズの制限に到達(Profiler Queue Size Limit Reached)

          ISE プロファイラ キュー サイズの制限に到達しました。 キュー サイズの制限に達した後に受信されたイベントはドロップされます。

          システムに十分なリソースがあることを確認し、エンドポイント属性フィルタが有効になっていることを確認します。

          OCSP トランザクションしきい値に到達

          OCSP トランザクションしきい値に到達しました。 このアラームは、内部 OCSP サービスが大量のトラフィックに到達するとトリガーされます。

          システムに十分なリソースがあるかどうかを確認してください。

          ライセンシング(Licensing)

          ライセンスがまもなく期限切れ(License About to Expire)

          Cisco ISE ノードにインストールされたライセンスがまもなく期限切れになります。

          Cisco ISE の [ライセンシング(Licensing)] ページを参照してライセンスの使用状況を確認します。

          ライセンスが期限切れ(License Expired)

          Cisco ISE ノードにインストールされたライセンスの期限が切れました。

          シスコ アカウント チームに問い合わせて、新しいライセンスを購入してください。

          ライセンス違反(License Violation)

          Cisco ISE ノードは、許可されたライセンス数を超過しているか、まもなく超過することを検出しました。

          シスコ アカウント チームに問い合わせて、追加のライセンスを購入してください。

          システム エラー(System Error)

          ログ収集エラー(Log Collection Error)

          コレクタ プロセスをモニタする Cisco ISE が、ポリシー サービス ノードから生成された監査ログを保持できません。

          これは、ポリシー サービス ノードの実際の機能に影響を与えません。 その他の解決のために TAC に連絡してください。

          スケジュールされているレポートのエクスポートに失敗(Scheduled Report Export Failure)

          設定されたリポジトリにエクスポートされたレポート(CSV ファイル)をコピーできません。

          設定されたリポジトリを確認します。 それが削除されていた場合は、再度追加します。 それが使用できないか、またはそれに到達できない場合は、リポジトリを再設定して有効にします。

          アラームは、Cisco ISE にユーザまたはエンドポイントを追加する場合にはトリガーされません。

          Cisco ISE アラーム通知およびしきい値

          Cisco ISE アラームを有効または無効にし、重大な状態を通知するようにアラーム通知動作を設定できます。 特定のアラームに対して、過剰な失敗試行アラームの最大失敗試行数、または高ディスク使用量アラームの最大ディスク使用量などのしきい値を設定できます。

          アラームの有効化および設定

          手順
            ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)] を選択します。
            ステップ 2   デフォルト アラームのリストからアラームを選択して [編集(Edit)] をクリックします。
            ステップ 3   [有効(Enable)] または [無効(Disable)] を選択します。
            ステップ 4   アラームしきい値を必要に応じて設定します。
            ステップ 5   [送信(Submit)] をクリックします。

            モニタリング用の Cisco ISE アラーム

            Cisco ISE は、重大なシステム状態が発生するたびに通知するシステム アラームを提供します。 Cisco ISE によって生成されたアラームは [アラーム(Alarm)] ダッシュレットに表示されます。 これらの通知は、自動的にアラーム ダッシュレットに表示されます。

            アラーム ダッシュレットには最近のアラームのリストが表示され、ここから選択してアラームの詳細を表示できます。 電子メールおよび syslog メッセージを介してアラームの通知を受信することもできます。

            モニタリング アラームの表示

            手順
              ステップ 1   Cisco ISE ダッシュボードに進みます。
              ステップ 2   [アラーム(Alarm)] ダッシュレットでアラームをクリックします。 アラームの詳細および推奨アクションが表示された新しいウィンドウが開きます。
              ステップ 3   アラームをリフレッシュするには、[リフレッシュ(Refresh)] をクリックします。
              ステップ 4   選択したアラームを確認するには、[確認(Acknowledge)] をクリックします。 タイムスタンプの前で使用可能なチェックボックスをクリックしてアラームを選択できます。 これにより、読み取りとマークされているときに、アラーム カウンタ(アラームが発生した回数)が減少します。
              ステップ 5   選択したアラームに対応する [詳細(Details)] リンクをクリックします。 選択したアラームに対応する詳細が表示された新しいウィンドウが開きます。
              (注)     

              ペルソナの変更前に生成された以前のアラームに対応する [詳細(Details)] リンクに、データは表示されません。


              ログ収集

              モニタリング サービスはログと設定データを収集し、そのデータを保存してから、レポートおよびアラームを生成するために処理します。 展開内の任意のサーバから収集されたログの詳細を表示できます。

              アラーム syslog 収集場所

              システム アラーム通知を syslog メッセージとして送信するようにモニタリング機能を設定した場合は、通知を受信する syslog ターゲットが必要です。 アラーム syslog ターゲットは、アラーム syslog メッセージが送信される宛先です。

              syslog メッセージを受信するには、syslog サーバとして設定されたシステムも必要です。 アラーム syslog ターゲットを作成、編集、および削除できます。


              (注)  


              Cisco ISE モニタリングでは、logging-source interface の設定にネットワーク アクセス サーバ(NAS)の IP アドレスを使う必要があります。 Cisco ISE モニタリング用のスイッチを設定する必要があります。


              ライブ認証

              [ライブ認証(Live Authentications)] ページから、発生した最近の RADIUS 認証をモニタできます。 このページには、直近の 24 時間での上位 10 件の RADIUS 認証が表示されます。 この項では、[ライブ認証(Live Authentications)] ページの機能について説明します。

              [ライブ認証(Live Authentications)] ページには、認証イベントの発生時に、その認証イベントに対応するライブ認証エントリが表示されます。 認証エントリに加えて、このページには、そのイベントに対応するライブ セッション エントリも表示されます。 また、目的のセッションをドリルダウンして、そのセッションに対応する詳細レポートを表示することもできます。

              [ライブ認証(Live Authentications)] ページには、最近の RADIUS 認証が発生順に表形式で表示されます。 [ライブ認証(Live Authentications)] ページの下部に表示される最終更新には、サーバ日付、時刻、およびタイムゾーンが示されます。

              1 つのエンドポイントが正常に認証されると、2 つのエントリが [ライブ認証(Live Authentications)] ページに表示されます。1 つは認証レコードに対応し、もう 1 つは(セッション ライブ ビューからプルされた)セッション レコードに対応しています。 その後、デバイスで別の認証が正常に実行されると、セッション レコードに対応する繰り返しカウンタの数が増えます。 [ライブ認証(Live Authentications)] ページに表示される繰り返しカウンタには、抑制されている重複した RADIUS 認証成功メッセージの数が示されます。

              「最近の RADIUS 認証」の項で説明されているデフォルトで表示されるライブ認証データ カテゴリを参照してください。

              すべてのカラムを表示するか、選択したデータ カラムのみを表示するように選択できます。 表示するカラムを選択した後で、選択を保存できます。

              ライブ認証のモニタ

              手順
                ステップ 1   [操作(Operations)] > [認証(Authentications)] を選択します。
                ステップ 2   データ リフレッシュ レートを変更するには、ドロップダウン リストから時間間隔を選択します。
                ステップ 3   手動でデータを更新するには、[ライブ認証(Live Authentications)] メニュー バーで [リフレッシュ(Refresh)] アイコンをクリックします。
                ステップ 4   表示されるレコードの数を変更するには、[表示(Show)] ドロップダウン リストからオプションを選択します。
                ステップ 5   時間間隔を指定するには、[次の範囲内(within)] ドロップダウン リストからオプションを選択します。
                ステップ 6   表示されるカラムを変更するには、[カラムの追加または削除(Add or Remove Columns)] をクリックし、ドロップダウン リストからオプションを選択します。
                ステップ 7   ライブ RADIUS セッションを表示するには、[ライブ セッションの表示(Show Live Sessions)] をクリックします。

                アクティブな RADIUS セッションを動的に制御できるライブ セッションの動的な許可変更(CoA)機能を使用できます。 ネットワーク アクセス デバイス(NAD)に再認証または接続解除要求を送信できます。

                ステップ 8   ドロップダウン リストの下部にある [保存(Save)] をクリックして、変更を保存します。

                [ライブ認証(Live Authentications)] ページでのデータのフィルタリング

                [ライブ認証(Live Authentications)] ページのフィルタを使用して、必要な情報をフィルタリングし、ネットワーク認証の問題を迅速にトラブルシューティングできます。 [認証(Authentication)](ライブ ログ)ページのレコードをフィルタリングし、関心があるレコードだけを表示できます。 認証ログには多数の詳細が含まれており、特定のユーザまたはロケーションから認証をフィルタリングすると、データをすばやくスキャンするために役立ちます。 [ライブ認証(Live Authentications)] ページの各種フィールドで使用できる複数の演算子を使用して、検索基準に基づいてレコードをフィルタリングできます。

                • 「abc」:「abc」を含む

                • 「!abc」:「abc」を含まない

                • 「{}」:空

                • 「!{}」:空でない

                • 「abc*」:「abc」で開始する

                • 「*abc」:「abc」で終了する

                • 「\!」、「\*」、「\{」、「\\」:エスケープ

                エスケープ オプションを使用すると、特殊文字を含むテキストをフィルタリングできます(フィルタとして使用される特殊文字を含む)。 特殊文字の前にバック スラッシュ(\)を付ける必要があります。 たとえば、「Employee!」という ID を持つユーザの認証レコードを確認する場合は、ID フィルタ テキスト ボックスに "Employee\!" と入力します。 この例では、Cisco ISE は感嘆符(!)を特殊文字ではなくリテラル文字と見なします。

                また、[ステータス(Status)] フィールドでは、成功した認証レコード、失敗した認証、ライブ セッションなどのみをフィルタリングできます。 緑色のチェック マークは以前発生したすべての成功した認証をフィルタリングします。 赤い十字マークはすべての失敗した認証をフィルタリングします。 青い [i] アイコンはすべてのライブ セッションをフィルタリングします。 これらのオプションの組み合わせを表示することも選択できます。

                手順
                  ステップ 1   [操作(Operations)] > [認証(Authentications)] を選択します。
                  ステップ 2   [ライブ認証の表示(Show Live Authentications)] ページのいずれかのフィールドに基づいてデータをフィルタリングします。

                  成功または失敗した認証、あるいはライブ セッションに基づいて結果をフィルタリングできます。


                  エンドポイントのグローバル検索

                  Cisco ISE ホーム ページの上部にあるグローバル検索ボックスを使用して、エンドポイントを検索できます。 次の条件を使用してエンドポイントを検索できます。

                  • ユーザ名

                  • MAC アドレス

                  • IP アドレス

                  • 許可プロファイル

                  • エンドポイント プロファイル

                  • 失敗の理由

                  • ID グループ

                  • ID ストア

                  • ネットワーク デバイス名

                  • ネットワーク デバイス タイプ

                  • オペレーティング システム

                  • ポスチャ ステータス

                  • 場所

                  • セキュリティ グループ

                  • ユーザ タイプ

                  データを表示するには、[検索(Search)] フィールドに任意の検索条件の少なくとも 3 文字以上を入力する必要があります。

                  検索結果には、エンドポイントの現在のステータスに関する詳細および概要の情報が表示され、これをトラブルシューティングに使用することができます。 検索結果には、上位 25 のエントリのみが表示されます。 結果を絞り込むためにフィルタを使用することを推奨します。

                  次の図は、検索結果の例を示しています。

                  図 1. エンドポイントの検索結果

                  左パネルの任意のプロパティを使用して、結果をフィルタリングします。 エンドポイントをクリックして、エンドポイントに関する次のような詳細情報を表示することもできます。

                  • セッションのトレース

                  • 認証の詳細

                  • アカウンティングの詳細

                  • ポスチャの詳細

                  • プロファイラの詳細

                  • クライアント プロビジョニングの詳細

                  • ゲスト アカウンティングおよびアクティビティ

                  エンドポイントのセッションのトレース

                  Cisco ISE ホーム ページの上部にあるグローバル検索ボックスを使用して、特定のエンドポイントのセッション情報を取得できます。 基準に基づいて検索する場合は、エンドポイントのリストを取得します。 エンドポイントのセッション トレース情報を表示するには、そのエンドポイントをクリックします。 次の図に、エンドポイントに表示されるセッション トレース情報の例を示します。


                  (注)  


                  検索に使用されるデータ セットは、インデックスとしてのエンドポイント ID に基づいています。 したがって、認証が行われる場合、検索結果セットにそれらを含めるには、認証にエンドポイントのエンドポイント ID が必要です。

                  図 2. エンドポイントのセッションのトレース


                  上部にあるクリック可能なタイムラインを使用すると、主な許可の遷移を確認できます。 [結果のエクスポート(Export Results)] ボタンをクリックして、.csv 形式で結果をエクスポートすることもできます。 レポートはブラウザにダウンロードされます。

                  特定のエンドポイントの認証、アカウンティング、およびプロファイラの詳細情報を表示するには、[エンドポイントの詳細(Endpoint Details)] リンクをクリックします。 次の図に、エンドポイントに対して表示されたエンドポイントの詳細情報の例を示します。

                  図 3. エンドポイントの詳細

                  ディレクトリからのセッションの削除

                  次のように、セッションが、モニタリングおよびトラブルシューティング ノード上のセッション ディレクトリから削除されます。

                  • 終了したセッションは、終了後 15 分で削除されます。

                  • 認証はあるがアカウンティングがない場合、このようなセッションは 1 時間後に削除されます。

                  • すべての非アクティブ セッションは、7 日後に削除されます。

                  認証概要レポート

                  認証要求に関連する属性に基づいて、特定のユーザ、デバイス、または検索条件についてネットワーク アクセスをトラブルシューティングできます。 このことは、認証概要レポートを実行して行います。

                  ネットワーク アクセスの問題のトラブルシューティング

                  手順
                    ステップ 1   [操作(Operations)] > [レポート(Reports)] > [認証概要レポート(Authentication Summary Report)] を選択します。
                    ステップ 2   失敗の理由でレポートをフィルタリングします。
                    ステップ 3   レポートの [失敗の理由別の認証(Authentication by Failure Reasons)] セクションのデータを確認し、ネットワーク アクセスの問題をトラブルシューティングします。
                    (注)     

                    認証概要レポートが失敗または成功した認証に対応する最新のデータを収集して表示するため、レポートの内容は数分の遅延の後に表示されます。


                    診断トラブルシューティング ツール

                    診断ツールは、Cisco ISE ネットワークの問題の診断およびトラブルシューティングに役立ち、問題解決方法の詳細な手順を提供します。 これらのツールを使用して、認証をトラブルシューティングし、TrustSec デバイスなどのネットワーク上のネットワーク デバイスの設定を評価できます。

                    RADIUS 認証のトラブルシューティング ツール

                    このツールを使用すると、予期せぬ認証結果がある場合に、RADIUS 認証または RADIUS 認証に関連する Active Directory を検索および選択して、トラブルシューティングを実行することができます。 認証が成功すると予想していたのに失敗した場合、またはユーザやマシンが特定の特権レベルを持っていると予想したのにユーザやマシンがこれらの特権を持っていなかった場合は、このツールを使用できます。

                    • トラブルシューティングのために、ユーザ名、エンドポイント ID、ネットワーク アクセス サービス(NAS)の IP アドレス、および認証失敗理由に基づいて RADIUS 認証を検索すると、Cisco ISE はシステム(現在)の日付の認証だけを表示します。

                    • トラブルシューティングのために NAS ポートに基づいて RADIUS 認証を検索すると、Cisco ISE は前月の初めから現在までのすべての NAS ポート値を表示します。


                      (注)  


                      NAS IP アドレスおよび [エンドポイント ID(Endpoint ID)] フィールドに基づいて RADIUS 認証を検索する場合、検索はまず運用データベースで実行され、その後設定データベースで実行されます。


                    予期せぬ RADIUS 認証結果のトラブルシューティング

                    手順
                      ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] を選択します。
                      ステップ 2   必要に応じてフィールドに検索基準を指定します。
                      ステップ 3   [検索(Search)] をクリックして、検索条件に一致する RADIUS 認証を表示します。 AD 関連の認証を検索する際に、展開に Active Directory サーバが設定されていない場合は、「AD が設定されていない」ことを示すメッセージが表示されます。
                      ステップ 4   テーブルから RADIUS 認証レコードを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。 AD 関連の認証をトラブルシューティングする必要がある場合は、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] > [AD ノード(AD node)] で、診断ツールに移動します。
                      ステップ 5   [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。
                      ステップ 6   [完了(Done)] をクリックします。
                      ステップ 7   トラブルシューティングが完了したら、[結果概要の表示(Show Results Summary)] をクリックします。
                      ステップ 8   診断、問題を解決するための手順、およびトラブルシューティング概要を表示するには、[完了(Done)] をクリックします。

                      ネットワーク デバイス ツールの実行

                      Execute Network Device Command 診断ツールを使用すると、ネットワーク デバイスに対して show コマンドを実行することができます。 結果は、コンソールに表示される場合とまったく同じ形式であり、デバイスの設定における問題を特定するために使用できます。 設定が間違っていると思われる場合や、設定を検証したい場合、または単にどのように設定されているか関心がある場合に、使用することができます。

                      設定を確認する IOS show コマンドの実行

                      手順
                        ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ネットワーク デバイス コマンドの実行(Execute Network Device Command)] を選択します。
                        ステップ 2   該当するフィールドに情報を入力します。
                        ステップ 3   [実行(Run)] をクリックして、指定したネットワーク デバイスでコマンドを実行します。
                        ステップ 4   [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。
                        ステップ 5   [送信(Submit)] をクリックして、ネットワーク デバイス上でコマンドを実行し、出力を表示します。

                        設定バリデータ ツールの評価

                        この診断ツールを使用して、ネットワーク デバイスの設定を評価し、設定の問題を特定できます。 Expert Troubleshooter によって、デバイスの設定が標準設定と比較されます。

                        ネットワーク デバイス設定の問題のトラブルシューティング

                        手順
                          ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [設定バリデータの評価(Evaluate Configuration Validator)] を選択します。
                          ステップ 2   設定を評価するデバイスのネットワーク デバイス IP アドレスを入力し、必要に応じて他のフィールドを指定します。
                          ステップ 3   推奨テンプレートと比較する設定オプションを選択します。
                          ステップ 4   [実行(Run)] をクリックします。
                          ステップ 5   [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。
                          ステップ 6   分析するインターフェイスの隣のチェックボックスをオンにして、[送信(Submit)] をクリックします。
                          ステップ 7   [結果概要の表示(Show Results Summary)] をクリックします。

                          ポスチャのトラブルシューティング ツール

                          [ポスチャのトラブルシューティング(Posture Troubleshooting)] ツールは、ポスチャ チェック エラーの原因を見つけ、次のことを識別するのに役立ちます。

                          • どのエンドポイントがポスチャに成功し、どのエンドポイントが成功しなかったか。

                          • エンドポイントがポスチャに失敗した場合、ポスチャ プロセスのどの手順が失敗したか。

                          • どの必須および任意のチェックが成功および失敗したか。

                          ユーザ名、MAC アドレス、ポスチャ ステータスなどのパラメータに基づいて要求をフィルタリングすることによって、この情報を特定します。

                          エンドポイント ポスチャの障害のトラブルシューティング

                          手順
                            ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)] を選択します。
                            ステップ 2   該当するフィールドに情報を入力します。
                            ステップ 3   [検索(Search)] をクリックします。
                            ステップ 4   説明を見つけ、イベントの解決策を決定するには、リストでイベントを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。

                            着信トラフィックを検証する TCP ダンプ ユーティリティ

                            これは、予想されたパケットが実際にノードに到達したことを調査する場合に、パケットをスニッフィングするツールです。 たとえば、レポートに示されている着信認証またはログがない場合、着信トラフィックがないのではないか、または着信トラフィックが Cisco ISE に到達できないのではないかと疑われる場合があります。 このような場合、検証するためにこのツールを実行できます。

                            TCP ダンプ オプションを設定し、ネットワーク トラフィックからデータを収集して、ネットワークの問題をトラブルシューティングすることができます。


                            注意    


                            TCP ダンプを起動すると、以前のダンプ ファイルは自動的に削除されます。 以前のダンプ ファイルを保存するには、新しい TCP ダンプ セッションを開始する前に、「TCP ダンプ ファイルの保存」の項の説明に従ってタスクを実行します。


                            ネットワーク トラフィックのモニタリングでの TCP ダンプの使用

                            はじめる前に
                            • [TCP ダンプ(TCP Dump)] ページの [ネットワーク インターフェイス(Network Interface)] ドロップダウン リストには、IPv4 または IPv6 アドレスが設定されているネットワーク インターフェイス カード(NIC)のみが表示されます。 デフォルトでは、すべての NIC は VMware に接続されるため、NIC は、IPv6 アドレスを使用して設定され、[ネットワーク インターフェイス(Network Interface)] ドロップダウン リストに表示されます。

                            • tcpdump ファイルを表示するには、Cisco ISE 管理ノードに Adobe Flash Player がインストールされている必要があります。

                            手順
                              ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] を選択します。
                              ステップ 2   TCP ダンプ ユーティリティのソースとして [ホスト名(Host Name)] を選択します。 インライン ポスチャ ノードは、サポートされていません。
                              ステップ 3   モニタする [ネットワーク インターフェイス(Network Interface)] をドロップダウン リストから選択します。
                              ステップ 4   オプション ボタンをクリックして、オンかオフにして、無差別モードを設定します。 デフォルトはオンです。

                              無差別モードは、ネットワーク インターフェイスがシステムの CPU にすべてのトラフィックを渡すデフォルト パケット スニッフィング モードです。 オンのままにしておくことを推奨します。

                              ステップ 5   [フィルタ(Filter)] テキスト ボックスに、フィルタリングの基準になるブール演算式を入力します。

                              次のような、標準的な tcpdump フィルタ式がサポートされています。

                              host 10.0.2.1 and port 1812

                              ステップ 6   [開始(Start)] をクリックして、ネットワークのモニタリングを開始します。
                              ステップ 7   十分な量のデータが収集された時点で [停止(Stop)] をクリックするか、最大パケット数(500,000)が累積されてプロセスが自動的に終了するまで待機します。

                              TCP ダンプ ファイルの保存

                              はじめる前に

                              「ネットワーク トラフィックのモニタリングでの TCP ダンプの使用」の項の説明に従って、タスクを完了しておく必要があります。


                              (注)  


                              Cisco ISE CLI を使用して TCPdump にアクセスすることもできます。 詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.2』を参照してください。


                              手順
                                ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] を選択します。
                                ステップ 2   [形式(Format)] をドロップダウン リストから選択します。 [可読(Human Readable)] がデフォルトです。
                                ステップ 3   [ダウンロード(Download)] をクリックし、必要な場所に移動して、[保存(Save)] をクリックします。
                                ステップ 4   最初に以前のダンプ ファイルを保存しないで除去するには、[削除(Delete)] をクリックします。

                                エンドポイントまたはユーザの予期しない SGACL の比較

                                手順
                                  ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [出力(SGACL)ポリシー(Egress (SGACL) Policy)] を選択します。
                                  ステップ 2   SGACL ポリシーを比較する TrustSec デバイスのネットワーク デバイス IP アドレスを入力します。
                                  ステップ 3   [実行(Run)] をクリックします。
                                  ステップ 4   [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。
                                  ステップ 5   [送信(Submit)] をクリックします。
                                  ステップ 6   [結果概要の表示(Show Results Summary)] をクリックして、診断および推奨される解決手順を表示します。

                                  出力ポリシー診断フロー

                                  出力ポリシー診断ツールでは、次の表に示すプロセスを使用して比較が行われます。

                                  プロセス ステージ

                                  説明

                                  1

                                  指定した IP アドレスを使用してデバイスに接続し、送信元 SGT と宛先 SGT の各ペアに対するアクセス コントロール リスト(ACL)を取得します。

                                  2

                                  Cisco ISE に設定された出力ポリシーをチェックし、送信元 SGT と宛先 SGT の各ペアに対する ACL を取得します。

                                  3

                                  ネットワーク デバイスから取得された SGACL ポリシーと、Cisco ISE から取得された SGACL ポリシーを比較します。

                                  4

                                  ポリシーが一致しない送信元 SGT と宛先 SGT のペアを表示します。 また、追加情報として、一致するエントリも表示します。

                                  SXP-IP マッピングを持つ TrustSec 対応ネットワークの接続問題のトラブルシューティング

                                  手順
                                    ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [SXP-IP マッピング(SXP-IP Mappings)] を選択します。
                                    ステップ 2   ネットワーク デバイスのネットワーク デバイス IP アドレスを入力し、[選択(Select)] をクリックします。
                                    ステップ 3   [実行(Run)] をクリックし、[ユーザ入力必須(User Input Required)] をクリックして、必要なフィールドを変更します。

                                    Expert Troubleshooter によって、ネットワーク デバイスから TrustSec SXP 接続が取得されて、ピア SXP デバイスを選択するように再度要求するプロンプトが表示されます。

                                    ステップ 4   [ユーザ入力必須(User Input Required)] をクリックし、必要な情報を入力します。
                                    ステップ 5   SXP マッピングを比較するピア SXP デバイスのチェックボックスをオンにして、共通接続パラメータを入力します。
                                    ステップ 6   [送信(Submit)] をクリックします。
                                    ステップ 7   [結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。

                                    IP-SGT マッピングを持つ TrustSec 対応ネットワークの接続問題のトラブルシューティング

                                    手順
                                      ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [IP ユーザ SGT(IP User SGT)] を選択します。
                                      ステップ 2   必要に応じてフィールドに情報を入力します。
                                      ステップ 3   [実行(Run)] をクリックします。

                                      追加入力が要求されます。

                                      ステップ 4   [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。
                                      ステップ 5   [結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。

                                      デバイス SGT ツール

                                      TrustSec ソリューションが有効なデバイスの場合、RADIUS 認証によって各ネットワーク デバイスに SGT 値が割り当てられます。 デバイス SGT 診断ツールは、(提供された IP アドレスを使用して)ネットワーク デバイスに接続し、ネットワーク デバイス SGT 値を取得します。 次に RADIUS 認証レコードをチェックして、割り当てられた最新の SGT 値を特定します。 最後に、デバイス SGT ペアを表形式で表示して、SGT 値が同じであるかどうかを特定します。

                                      デバイス SGT マッピングの比較による TrustSec 対応ネットワークの接続問題のトラブルシューティング

                                      手順
                                        ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [デバイス SGT(Device SGT)] を選択します。
                                        ステップ 2   必要に応じてフィールドに情報を入力します。

                                        デフォルトのポート番号は、Telnet は 23、SSH は 22 です。

                                        ステップ 3   [実行(Run)] をクリックします。
                                        ステップ 4   [結果概要の表示(Show Results Summary)] をクリックして、デバイス SGT 比較の結果を表示します。

                                        その他のトラブルシューティング情報の入手

                                        Cisco ISE を使用すると、管理者ポータルから、サポートおよびトラブルシューティング情報をダウンロードできます。 サポート バンドルを使用して、Cisco Technical Assistance Center(TAC)が Cisco ISE の問題をトラブルシューティングするための診断情報を準備できます。


                                        (注)  


                                        サポート バンドルおよびデバッグ ログにより、高度なトラブルシューティング情報が TAC に提供されます。サポート バンドルおよびデバッグ ログは解釈が困難です。 Cisco ISE で提供されるさまざまなレポートおよびトラブルシューティング ツールを使用して、ネットワークで直面している問題を診断およびトラブルシューティングできます。


                                        Cisco ISE のサポート バンドル

                                        サポート バンドルに含めるログを設定できます。 たとえば、特定のサービスのログをデバッグ ログに含めるように設定できます。 また、日付に基づいてログをフィルタリングできます。

                                        ダウンロードできるログは、次のように分類されます。

                                        • 完全な設定データベース:Cisco ISE 設定データベースは、人間が読み取れる XML 形式でダウンロードされます。 問題をトラブルシューティングしようとするときに、このデータベース設定を別の Cisco ISE ノードにインポートして、シナリオを再現できます。

                                        • デバッグ ログ:ブートストラップ、アプリケーション設定、ランタイム、展開、公開キー インフラストラクチャ(PKI)情報、およびモニタリングとレポートが取得されます。

                                          デバッグ ログによって、特定の Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。 デバッグ ログを有効にするには、第 11 章「ログ」を参照してください。 デバッグ ログを有効にしない場合、情報メッセージ(INFO)はすべてサポート バンドルに含まれます。

                                        • ローカル ログ:Cisco ISE で実行されるさまざまなプロセスからの syslog メッセージが含まれています。

                                        • コア ファイル:クラッシュの原因の特定に役立つ重要な情報が含まれています。 これらのログは、アプリケーションがクラッシュし、アプリケーションにヒープ ダンプが含まれている場合に作成されます。

                                        • モニタリングおよびレポート ログ:アラートおよびレポートに関する情報が含まれています。

                                        • システム ログ:Cisco Application Deployment Engine(ADE)関連の情報が含まれています。

                                        • ポリシー設定:Cisco ISE で設定されたポリシーが人間が読み取れる形式で含まれます。

                                        これらのログは、Cisco ISE CLI から backup-logs コマンドを使用してダウンロードできます。 詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.2』を参照してください。


                                        (注)  


                                        インライン ポスチャ ノードの場合、管理者ポータルからサポート バンドルをダウンロードできません。 Cisco ISE CLI から backup-logs コマンドを使用して、インライン ポスチャ ノードのログをダウンロードする必要があります。


                                        これらのログを管理者ポータルからダウンロードすることを選択した場合、次の操作を実行できます。

                                        • デバッグ ログやシステム ログなどのログ タイプに基づいて、ログのサブセットのみをダウンロードします。

                                        • 選択したログ タイプの最新の「n」個のファイルのみをダウンロードします。 このオプションによって、サポート バンドルのサイズとダウンロードにかかる時間を制御できます。

                                        モニタリング ログによって、モニタリング、レポート、およびトラブルシューティング機能に関する情報が提供されます。

                                        サポート バンドル

                                        サポート バンドルは、単純な tar.gpg ファイルとしてローカル コンピュータにダウンロードできます。 サポート バンドルは、日付とタイム スタンプを使用して、ise-support-bundle_ise-support-bundle-mm-dd-yyyy--hh-mm.tar..gpg という形式で名前が付けられます。 ブラウザに、適切な場所にサポート バンドルを保存するように要求するプロンプトが表示されます。 サポート バンドルの内容を抽出し、README.TXT ファイルを表示できます。このファイルには、サポート バンドルの内容と、ISE データベースがサポート バンドルに含まれている場合はその内容をインポートする方法が示されています。

                                        Cisco ISE ログ ファイルのダウンロード

                                        ネットワークでの問題のトラブルシューティング時に、Cisco ISE ログ ファイルをダウンロードして、詳細情報を確認できます。

                                        はじめる前に
                                        • 次のタスクを実行するには、スーパー管理者またはシステム管理者の権限が必要です。

                                        • デバッグ ログとデバッグ ログ レベルを設定します。

                                        手順
                                          ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンス ノード リスト(Appliance node list)] を選択します。
                                          ステップ 2   サポート バンドルをダウンロードするノードをクリックします。
                                          ステップ 3   [サポート バンドル(Support Bundle)] タブでは、サポート バンドルに入力するパラメータを選択します。

                                          すべてのログを含めると、サポート バンドルが大きくなりすぎて、ダウンロードに時間がかかります。 ダウンロード プロセスを最適化するには、最新の n ファイルのみをダウンロードするように選択します。

                                          ステップ 4   サポート バンドルを生成する開始日と終了日を入力します。
                                          ステップ 5   サポート バンドルの暗号キーを入力し、再入力します。
                                          ステップ 6   [サポート バンドルの作成(Create Support Bundle)] をクリックします。
                                          ステップ 7   [ダウンロード(Download)] をクリックして、新しく作成されたサポート バンドルをダウンロードします。

                                          サポート バンドルは、アプリケーション ブラウザを実行しているクライアント システムにダウンロードされる tar.gpg ファイルです。


                                          次の作業

                                          特定のコンポーネントのデバッグ ログをダウンロードします。

                                          Cisco ISE デバッグ ログ

                                          デバッグ ログによって、さまざまな Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。 デバッグ ログには、過去 30 日間に生成された重大な警告アラームと、過去 7 日間に生成された情報アラームが含まれています。 問題を報告しているときに、これらのデバッグ ログを有効にして、問題の診断と解決のためにこれらのログを送信するよう求められる場合があります。

                                          デバッグ ログの入手

                                          手順
                                            ステップ 1   [デバッグ ログの設定(Debug Log Configuration)] ページで、デバッグ ログを取得するコンポーネントを設定します。
                                            ステップ 2   デバッグ ログをダウンロードします。

                                            Cisco ISE コンポーネントおよび対応するデバッグ ログ

                                            表 3 コンポーネントおよび対応するデバッグ ログ
                                            コンポーネント デバッグ ログ
                                            Active Directory ad_agent.log
                                            Cache Tracker tracking.log
                                            Entity Definition Framework (EDF) edf.log
                                            JMS ise-psc.log
                                            License ise-psc.log
                                            Notification Tracker tracking.log
                                            Replication-Deployment replication.log
                                            Replication-JGroup replication.log
                                            Replication Tracker tracking.log
                                            RuleEngine-Attributes ise-psc.log
                                            RuleEngine-Policy-IDGroups ise-psc.log
                                            accessfilter ise-psc.log
                                            admin-infra ise-psc.log
                                            boot-strap wizard ise-psc.log
                                            cisco-mnt ise-psc.log
                                            client ise-psc.log
                                            cpm-clustering ise-psc.log
                                            cpm-mnt ise-psc.log
                                            epm-pdp ise-psc.log
                                            epm-pip ise-psc.log
                                            eps ise-psc.log
                                            ers ise-psc.log
                                            guest ise-psc.log
                                            guestauth ise-psc.log
                                            guestportal ise-psc.log
                                            identitystore-AD ise-psc.log
                                            infrastructure ise-psc.log
                                            mdm ise-psc.log
                                            mdm-pip ise-psc.log
                                            mnt-alarm alarms.log
                                            mnt-report reports.log
                                            mydevices ise-psc.log
                                            nsf ise-psc.log
                                            nsf-session ise-psc.log
                                            org-apache ise-psc.log
                                            org-apache-cxf ise-psc.log
                                            org-apache-digester ise-psc.log
                                            posture ise-psc.log
                                            profiler profiler.log
                                            provisioning ise-psc.log
                                            prrt-JNI prrt-management.log
                                            runtime-AAA prrt-management.log
                                            runtime-config prrt-management.log
                                            runtime-logging prrt-management.log
                                            sponsorportal ise-psc.log
                                            swiss ise-psc.log

                                            デバッグ ログのダウンロード

                                            はじめる前に

                                            次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                            手順
                                              ステップ 1   [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンス ノード リスト(Appliance node list)] を選択します。
                                              ステップ 2   デバッグ ログをダウンロードするノードをクリックします。
                                              ステップ 3   [デバッグ ログ(Debug Logs)] タブをクリックします。

                                              デバッグ ログ タイプとデバッグ ログのリストが表示されます。 このリストは、デバッグ ログの設定に基づいています。

                                              ステップ 4   ダウンロードするログ ファイルをクリックし、クライアント ブラウザを実行しているシステムに保存します。

                                              必要に応じて、このプロセスを繰り返して他のログ ファイルをダウンロードできます。 次に示すのは、[デバッグ ログ(Debug Logs)] ページからダウンロードできるその他のデバッグ ログです。

                                              • isebootstrap.log:ブートストラップ ログ メッセージを提供します

                                              • monit.log:ウォッチドッグ メッセージを提供します

                                              • pki.log:サードパーティの暗号ライブラリ ログを提供します

                                              • iseLocalStore.log:ローカル ストア ファイルに関するログを提供します

                                              • ad_agent.log:Microsoft Active Directory サードパーティ ライブラリ ログを提供します

                                              • catalina.log:サードパーティ ログを提供します


                                              モニタリング データベース

                                              モニタリング機能によって利用されるデータ レートおよびデータ量には、これらの目的専用のノード上に別のデータベースが必要です。

                                              ポリシー サービスと同様に、モニタリングには専用のデータベースがあり、この項で説明するトピックのようなメンテナンス タスクを実行する必要があります。

                                              モニタリング データベースのバックアップと復元

                                              モニタリング データベースは、大量のデータを処理します。 時間が経つにつれ、モニタリング ノードのパフォーマンスと効率は、そのデータをどう管理するかによって変わってきます。 効率を高めるために、データを定期的にバックアップして、それをリモートのリポジトリに転送することを推奨します。 このタスクは、自動バックアップをスケジュールすることによって自動化できます。


                                              (注)  


                                              消去操作の実行中には、バックアップを実行しないでください。 消去操作の実行中にバックアップが開始されると、消去操作が停止または失敗します。


                                              セカンダリ モニタリング ノードを登録する場合は、最初にプライマリ モニタリング ノードをバックアップしてから、新しいセカンダリ モニタリング ノードにデータを復元することを推奨します。 これにより、新しい変更内容が複製されるため、プライマリ モニタリング ノードの履歴が新しいセカンダリ ノードと同期状態となります。

                                              モニタリング データベースの消去

                                              消去プロセスでは、消去中にデータを保持する月数を指定することで、モニタリング データベースのサイズを管理できます。 デフォルトは 3 ヵ月間です。 この値は、消去用のディスク領域使用率しきい値(ディスク領域のパーセンテージ)に達したときに使用されます。 このオプションでは、各月は 30 日で構成されます。 デフォルトの 3 ヵ月は 90 日間です。

                                              モニタリング データベースの消去に関するガイドライン

                                              次に、モニタリング データベースのディスク使用に関連して従うべきガイドラインをいくつか示します。

                                              • モニタリング データベースのディスク使用量がしきい値設定の 80% を超えた場合、データベース サイズが割り当てられたディスク サイズを超過したことを示すクリティカル アラームが生成されます。 ディスク使用量が 90% より大きい場合は、別のアラームが生成されます。

                                                消去プロセスが実行され、ステータス履歴レポートが作成されます。このレポートは、[操作(Operations)] > [レポート(Reports)] > [展開ステータス(Deployment Status)] > [データ消去の監査(Data Purging Audit)] を選択して表示できます。 消去の完了時に情報(INFO)アラームが生成されます。

                                              • 消去は、データベースの使用済みディスク領域のパーセンテージにも基づきます。 モニタリング データベースの使用済みディスク領域がしきい値(デフォルトは 80%)以上になると、消去プロセスが開始されます。 このプロセスは、管理者ポータルの設定に関係なく、過去 7 日間のモニタリング データのみを削除します。 ディスク領域が 80% 未満になるまで繰り返しプロセスを続行します。 消去では、処理の前にモニタリング データベースのディスク領域制限が常にチェックされます。

                                              古いモニタリング データの消去

                                              はじめる前に

                                              次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                              手順
                                                ステップ 1   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [データ消去(Data Purging)] を選択します。
                                                ステップ 2   データを保持する期間を月単位で指定します。 指定した期間より前のデータはすべて消去されます。 このオプションでは、各月は 30 日で構成されます。 デフォルトの 3 ヵ月は 90 日間です。
                                                (注)     

                                                設定した保持期間が診断データに対応する既存の保持しきい値未満の場合、設定値は既存のしきい値を上書きします。 たとえば、保持期間を 3 日に設定し、この値が診断テーブルの既存のしきい値(たとえば、5 日のデフォルト)未満の場合、データはこのページで設定した値(3 日)に従って消去されます。

                                                ステップ 3   [送信(Submit)] をクリックします。
                                                ステップ 4   データ消去の監査レポートを表示して、データ消去が成功したかどうかを確認します。

                                                次の作業

                                                Cisco ISE ログ収集

                                                オンデマンド バックアップの実行