Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
モニタリングおよびトラブルシューティング
モニタリングおよびトラブルシューティング
発行日;2013/01/21 | 英語版ドキュメント(2012/03/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

モニタリングおよびトラブルシューティング

モニタリングおよびトラブルシューティングについて

ユーザ ロールおよび権限

モニタリングおよびトラブルシューティング データベース

モニタリング用のデバイスの設定

Cisco ISE ダッシュボードのモニタリング

ダッシュレット

メトリック メーター

ネットワークのモニタリング

ネットワークのプロセス ステータスのモニタリング

アラームの管理

アラームについて

アラームの表示、編集、および解決

アラーム スケジュールの表示およびフィルタリング

アラーム スケジュールの作成、編集、および削除

アラーム ルールの作成、割り当て、無効化、および削除

使用可能なアラーム ルール

成功した認証(Passed Authentication)

失敗した認証(Failed Authentication)

認証非アクティブ(Authentication Inactivity)

ISE 設定変更(ISE Configuration Changes)

ISE システム診断(ISE System Diagnostics)

ISE プロセス ステータス(ISE Process Status)

ISE 健全性システム(ISE Health System)

ISE AAA 健全性(ISE AAA Health)

認証されるがアカウンティングは開始されない(Authenticated But No Accounting Start)

未知の NAD(Unknown NAD)

外部 DB が使用不能(External DB Unavailable)

RBACL ドロップ(RBACL Drops)

NAD レポート AAA ダウン(NAD-Reported AAA Down)

ライブ認証のモニタリング

ゲスト アクティビティのモニタリング

データ収集のモニタリング

ネットワークのトラブルシューティング

障害理由の表示および編集

ネットワーク アクセスのトラブルシューティング

接続テストの実行

診断トラブルシューティング ツールの使用

RADIUS 認証のトラブルシューティング

ネットワーク デバイス コマンドの実行

ネットワーク デバイス設定の評価

ポスチャ データのトラブルシューティング

TCP ダンプによるトラブルシューティング

SGACL ポリシーの比較

SXP-IP マッピングの比較

IP-SGT ペアの比較

SGT デバイスの比較

その他のトラブルシューティング情報の入手

サポート バンドルのダウンロード

Cisco ISE のサポート バンドル

デバッグ ログのダウンロード

モニタリング管理

モニタリング データベースのバックアップと復元

データ消去の設定

フル バックアップおよび差分バックアップのスケジューリング

オンデマンド バックアップの実行

モニタリング データベースの復元

ログ収集の表示

電子メール設定の指定

システム アラーム設定の指定

アラーム syslog ターゲットの設定

モニタリングおよびトラブルシューティング

Cisco Identity Services Engine(ISE)ホームページ(ダッシュボードとも呼ばれる)の [操作(Operations)] タブでは、統合されたモニタリング、レポート、アラート、およびトラブルシューティングが、すべて 1 つの集中化された場所から提供されます。

この章では、モニタリングおよびトラブルシューティングの機能とタスクについて説明します。この章は、次の内容で構成されています。

「モニタリングおよびトラブルシューティングについて」

「モニタリング用のデバイスの設定」

「Cisco ISE ダッシュボードのモニタリング」

「ネットワークのモニタリング」

「ネットワークのトラブルシューティング」

「その他のトラブルシューティング情報の入手」

「モニタリング管理」


) モニタリングおよびトラブルシューティングに関する固有の既知の問題および回避策のリストについては、『Release Notes for the Cisco Identity Services Engine, Release 1.1.x』を参照してください。


モニタリングおよびトラブルシューティングについて

モニタリングおよびトラブルシューティングは、すべての Cisco ISE 実行時サービスに対する包括的なアイデンティティ ソリューションであり、次のコンポーネントを使用します。

モニタリング:ネットワーク上のアクセス アクティビティの状態を表す意味のあるデータのリアルタイム表示を提供します。これを把握することにより、操作の状態を簡単に解釈および発生させることができます。

トラブルシューティング:ネットワーク上のアクセスの問題を解決するための状況に応じたガイダンスを提供します。また、ユーザの懸念に対応してタイムリーに解決策を提供できます。

レポート:トレンドを分析し、システム パフォーマンスおよびネットワーク アクティビティをモニタするために使用できる、標準レポートのカタログを提供します。レポートをさまざまな方法でカスタマイズし、今後使用するために保存できます。

Cisco ISE ダッシュボードでは、設定済みのポリシー、認証および許可アクティビティ、プロファイリングされたエンドポイント、ポスチャされたセッション、およびゲスト アクティビティを表示できます。同様に、モニタリングおよびトラブルシューティング機能には次のものが含まれています。

システム アクティビティおよび個々のサービスのリアルタイム概要と、ネットワーク アクティビティの一目で確認できる包括的な表示。

事前定義されたレポートおよびカスタム レポートの生成とアクセスを簡素化する Web ベースのユーザ インターフェイス。

操作またはトレンドの早期検出を可能にするさまざまなアラート機能(認証アクティビティに対するルールおよびトリガーを含む)。

モニタリング機能によって収集されたデータには、Cisco ISE ダッシュボードと呼ばれる中央管理コンソールからアクセスできます。管理コンソールにログインすると、図 24-1 に示すように、リアルタイム データが表示されます。

ダッシュボードでは、Network Privilege Framework(NPF)上にアクティビティが表示され、さまざまなコンポーネントに関する情報に対してドリルダウン機能が提供されます。ダッシュボードを構成するダッシュレットおよびメトリック メーターの詳細については、「Cisco ISE ダッシュボードのモニタリング」を参照してください。

NPF は、次の 3 つの階層で構成されています。

 

表 24-1 NPF 階層

階層
仕様

1

802.1x、MAC 認証バイパス(MAB)、Cisco ISE プロファイラ サービスを使用したアイデンティティに基づくアクセス コントロール

2

802.1x、MAB、プロファイラ、ネットワーク アドミッション コントロール(NAC)マネージャのゲスト プロビジョニング、中央 Web 認証を使用したアイデンティティに基づくアクセス コントロール

3

802.1x、MAB、NAC マネージャのゲスト プロビジョニング、中央 Web 認証を使用したアイデンティティおよびポスチャに基づくアクセス コントロール

NPF 認証および許可では、イベントのフローが生成されます。異なるソースからのイベントが、Cisco ISE モニタリングおよびトラブルシューティング ツールによって収集され、要約されます。認証および許可の結果をダッシュボードで表示できます。または、任意の数のレポートを実行するように選択できます。詳細については、「レポート」 を参照してください。

NPF 認証および許可イベント フローでは、次のプロセスが使用されます。


ステップ 1 NAD によって許可またはフレックス許可が実行されます。

ステップ 2 未知のエージェントレス アイデンティティが Web 許可を使用してプロファイリングされます。

ステップ 3 RADIUS サーバによってアイデンティティが認証および許可されます。

ステップ 4 許可がポートでアイデンティティに対してプロビジョニングされます。

ステップ 5 許可されないエンドポイント トラフィックはドロップされます。


 

ユーザ ロールおよび権限

モニタリングおよびトラブルシューティング機能は、デフォルトのユーザ ロールに関連付けられます。実行を許可されるタスクは、割り当てられているユーザ ロールに直接関係します。ユーザ ロールおよびそれらに割り当てられている権限の詳細については、「ロールおよび管理者グループの影響について」を参照してください。

モニタリングおよびトラブルシューティング データベース

Cisco ISE モニタリング サービスでは、データが収集され、特化したモニタリング データベースに格納されます。ネットワーク機能のモニタリングに使用されるデータのレートおよび量によっては、モニタリング専用のノードが必要な場合があります。Cisco ISE ネットワークによって、ポリシー サービス ISE ノードまたはネットワーク デバイスからロギング データが高いレートで収集される場合は、モニタリング専用の Cisco ISE ノードを推奨します。

モニタリング データベースに格納される情報を管理するには、管理者はデータベースのフル バックアップおよび差分バックアップを実行する必要があります。これには、不要なデータの消去とデータベースの復元が含まれます。詳細については、「モニタリング管理」を参照してください。

モニタリング用のデバイスの設定

モニタリング ISE ノードにより、ネットワーク上のデバイスからのデータが受信および使用されて、ダッシュボードに表示されます。モニタリング ISE ノードとネットワーク デバイス間の通信を有効にするには、スイッチおよびネットワーク アクセス デバイス(NAD)を正しく設定する必要があります。

これらのデバイスを設定する方法の詳細については、次の項を参照してください。

「ISE モニタリング用の logging source-interface の設定」

「ISE モニタリング用の NAD の設定」

Cisco ISE ダッシュボードのモニタリング

Cisco ISE ダッシュボード([ホーム(Home)])は、Cisco ISE 管理コンソールにログインした後に表示されるランディング ページです。ダッシュボードは、ウィンドウの上部に沿って表示されるメトリック メーターと下にあるダッシュレットで構成された、集中化された管理コンソールです。この項では、ダッシュボードを構成する機能について説明します。それらは、次のグラフィカル ユーザ インターフェイス要素で表されます。

「ダッシュレット」

「メトリック メーター」

ダッシュボードのリアルタイム データによって、ネットワークにアクセスしているデバイスおよびユーザの一目で確認できるステータスと、システム健全性の概要が示されます。


) ダッシュレットおよびメトリック メーターをダッシュボードに表示するには、管理 ISE ノードに Adobe Flash Player がインストールされている必要があります。


図 24-1 Cisco ISE ダッシュボード

 

 

Cisco ISE ウィンドウの右下の [アラーム(Alarms)] アイコンで、アラームの概要に簡単にアクセスできます。[アラーム(Alarms)] アイコンにマウス カーソルを合わせると、最近のアラームのリストを示すポップアップ ダイアログボックスが表示されます。リストに対してフィルタを実行して、特定の特性を持つアラームのみを表示できます。また、個々のアラームに関する詳細情報にドリルダウンできます。

デフォルト アラームには、ISE AAA 健全性、ISE プロセス ステータス、ISE システム健全性、および ISE システム診断が含まれます。

詳細情報:

Cisco ISE ダッシュボードに表示されるデータを解釈および使用する方法の詳細については、次の項を参照してください。

「複雑なデータの簡素化」

「アラームの管理」

「詳細のドリルダウン」

ダッシュレット

ダッシュレットは、ダッシュボード上の個別の UI コンテナです。ダッシュレットでは、ネットワークにアクセスしているデバイスおよびユーザに関する重要な統計情報が要約されています。ネットワークの全体的な健全性とセキュリティに関する情報も表示されます。各ダッシュレットには独立した機能が含まれており、その機能に関連する統計データをさまざまな方法で表示できます。この項では、標準的なダッシュレットの目的と機能について説明します。


) ダッシュレットのスパークラインをクリックして、関連するログを表示するレポートを生成できます。スパークラインは、長期にわたるトレンドを示す縦線を使用してデータを視覚的に表示する方法です。高い方のバーは、特定の時間の負荷が高かったことを意味します。


ダッシュレットの要素にマウス カーソルを合わせると、ツールチップに詳細情報が表示されます。スパークラインのツールチップの値には、指定されている時間間隔が反映されます。

たとえば、3 月 14 日午前 3:00 の 24 時間間隔でのスパークラインは、スパークライン値がその日の午前 3:00 から午前 4:00 のログに基づいて計算されることを意味します。同様に、3 月 14 日午前 3:01:00 の 60 分間隔でのスパークラインは、スパークライン値がその日の 3:01:00 から 3:02:00 のログに基づいて計算されることを意味します。

システム概要(System Summary)

[システム概要(System Summary)] ダッシュレットは、分散アイデンティティ サービス システム展開の健全性に焦点を当てます。このダッシュレットでは、ネットワーク上のすべてのノードのデータが提供され、CPU、メモリ、遅延使用率など、ノードのパフォーマンスが一目で確認できるように表示されます。スパークラインは、指定された時間増分での CPU 使用率のパーセンテージを表します。詳細については、「スパークライン」を参照してください。

システム ステータス アイコンの色は、システムの健全性を示します。

正常 = 緑

警告 = 黄色

クリティカル = 赤

情報なし = グレー

図 24-2 [システム概要(System Summary)] ダッシュレット

 

 

健全性アイコンにマウス カーソルを合わせると、図 24-3 に示すように、システム健全性に関する詳細情報を示すダイアログが表示されます。

図 24-3 [システム概要(System Summary)] のクイック ビュー表示

 

ID ストア(Identity Stores)

ポリシー情報ポイント(PIP)用の [ID ストア(Identity Stores)] ダッシュレットは、Microsoft Active Directory インフラストラクチャに焦点を当てます。ユーザおよびデバイスの認証数に関するデータ、およびサーバの健全性が示されます。特定の時間範囲でユーザおよびホストを認証するために最も使用された、内部ユーザの属性およびクレデンシャル情報も表示されます。

図 24-4 [ID ストア(Identity Stores)] ダッシュレット

 

認証(Authentications)

[認証(Authentications)] ダッシュレットには、成功および失敗したネットワーク認証が表示されます。ユーザまたはデバイスのタイプ、ロケーション、およびユーザまたはデバイスが属する ID グループに関するデータが表示されます。ダッシュレットの上部に沿って表示されるスパークラインは、直近の 24 時間と直近の 60 分での分散を表します。

積み上げ棒またはスパークラインにカーソルを合わせると、ツールチップに詳細情報が表示されます。図 24-5 に、ネットワーク上で行われた成功と失敗両方のすべての認証試行のデータを示します。

図 24-5 [認証(Authentications)] ダッシュレット

 

認証失敗(Authentication Failure)

[認証失敗(Authentication Failure)] ダッシュレットは、認証失敗に焦点を当てます。エラーの特性に関する情報が表示されます。総数が上部に表示され、統計情報の内訳が個々のノードおよびエラー別に下部に表示されます。

積み上げ棒またはスパークラインにカーソルを合わせると、ツールチップに詳細情報が表示されます。スパークラインでは、成功または失敗の認証ステータスが一目で確認できるように、色が使用されます。緑は成功した認証を示し、赤は失敗した認証を示します。

次の情報を使用して、ネットワーク上で発生したエラーの特性に迅速にアクセスできます。

直近の 24 時間での認証失敗の総数

認証トレンド(60 分~ 24 時間)(異なる色でエラーをマーキング)

すべての ISE ノードにわたる分散

エラー理由の分布

ポリシー サービス別のエラー理由のトレンド

視覚的な健全性の表示:緑 = 成功、黄色 = 警告、赤 = エラー

図 24-6 [認証失敗(Authentication Failure)] ダッシュレット

 

プロファイリングされたエンドポイント(Profiled Endpoints)

[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、プロファイルが一致したネットワーク上のエンドポイントに焦点を当てます。各エンドポイントのプロファイル データが表示されます。たとえば、統計情報によってデバイスのタイプ、そのロケーション、およびその IP アドレスを判別できます。ダッシュレットの上部に沿って表示されるスパークラインは、直近の 24 時間と直近の 60 分でのエンドポイント アクティビティを表します。

詳細について、次のデータ カテゴリを展開できます。

[PIN]:ネットワーク内の場所

[プロファイル(Profile)]:プロファイラ ポリシー

[ID グループ(Identity Group)]:ユーザ ID グループとエンドポイント ID グループの両方が含まれる(該当する場合)


) [プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、不明なものも含め、直近の 24 時間にネットワーク上でプロファイリングされたエンドポイントの総数を表します。ネットワーク上で現在アクティブなエンドポイント数ではありません。ダッシュレットの上部に表示されるスパークライン メトリックは、直近の 24 時間と 60 分での時間固有の値を表します。


[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットの詳細については、「[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレット」を参照してください。

図 24-7 [プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレット

 

ポスチャ コンプライアンス(Posture Compliance)

[ポスチャ コンプライアンス(Posture Compliance)] ダッシュレットは、ネットワークの健全性に焦点を当てます。ネットワークにアクセスしているユーザおよびそれらのユーザがポスチャ コンプライアンスを満たしているかどうかに関する情報が表示されます。データは、現在ネットワークに接続されているデバイスに関して表示されます。積み上げ棒には、オペレーティング システムやその他の基準に従って配置された非コンプライアンス統計情報が表示されます。スパークラインは、ポスチャ試行の準拠と非準拠のパーセンテージを表します。

[成功(Passed)]:直近の 24 時間と 60 分での準拠ポスチャ試行の平均パーセンテージ(%)。


) スパークラインにカーソルを合わせると、特定の期間における準拠ポスチャ試行の平均パーセンテージがツールチップに表示されます。


[MTTR]:平均修復時間(MTTR)。非準拠状態から準拠状態へ移動するエンドポイントの時間の差が、平均修復時間(MTTR)を決定するために使用されます。エンドポイントの MAC アドレスが、MTTR を計算するためのキーとして使用されます。

[OS]:オペレーティング システム

[理由(Reason)]:コンプライアンスまたは非コンプライアンスの理由

[ポスチャ コンプライアンス(Posture Compliance)] ダッシュレットの詳細については、「[ポスチャ コンプライアンス(Posture Compliance)] ダッシュレット」を参照してください。

図 24-8 [ポスチャ コンプライアンス(Posture Compliance)] ダッシュレット

 

メトリック メーター

メトリック メーターは、ダッシュレットの上部に沿って表示されるグラフです。このデータは 1 分間隔で更新され、一目で確認できる情報がリアルタイムで表示されます。


) メトリック メーターの主要番号表示をクリックして、関連する詳細なレポート データを表示できます。


アクティブ エンドポイント(Active Endpoints)

[アクティブ エンドポイント(Active Endpoints)] メトリック メーターには、ネットワークに接続されたエンドポイントを表すデータが表示されます。変更インジケータによって、更新間でのアクティブ エンドポイント数の相違が示されます。

図 24-9 [アクティブ エンドポイント(Active Endpoints)] メトリック メーター

 

アクティブ ゲスト(Active Guests)

[アクティブ ゲスト(Active Guests)] メトリック メーターには、ネットワーク上の現在のアクティブなゲストを表すデータが表示されます。変更インジケータによって、現在の更新と前回の更新間でのカウントの相違が示されます。

図 24-10 [アクティブ ゲスト(Active Guests)] メトリック メーター

 

ポスチャ コンプライアンス(Posture Compliance)

[ポスチャ コンプライアンス(Posture Compliance)] メトリック メーターには、直近の 24 時間でポスチャ ルールに準拠していた、システムに接続されているホストの(平均)パーセンテージが表示されます。色分けされたバーに重ねられた黒い線は、動的に変化して準拠性を示します。下にある色分けされたバーは静的なままで、最低から最高までの準拠性の進行を示します。

図 24-11 [ポスチャ コンプライアンス(Posture Compliance)] メトリック メーター

 

平均修復時間(Mean Time to Remediate)

[平均修復時間(Mean Time to Remediate)] メトリック メーターには、ネットワークに接続されているホストが非準拠状態から準拠状態に移動するのにかかる平均時間が表示されます。

図 24-12 [平均修復時間(Mean Time to Remediate)] メトリック メーター

 

プロファイリングされたエンドポイント(Profiled Endpoints)

[プロファイリングされたエンドポイント(Profiled Endpoints)] メトリック メーターには、不明なものも含め、直近の 24 時間にネットワーク上でプロファイリングされたエンドポイントの総数を表すデータが表示されます。

図 24-13 [プロファイリングされたエンドポイント(Profiled Endpoints)] メトリック メーター

 

ネットワークのモニタリング

この項では、Cisco ISE ネットワークをモニタする方法について説明します。次のトピックを扱います。

「ネットワークのプロセス ステータスのモニタリング」

「アラームの管理」

「使用可能なアラーム ルール」

「ライブ認証のモニタリング」

「データ収集のモニタリング」

ネットワークのプロセス ステータスのモニタリング

[システム概要(System Summary)] ダッシュレットを使用して、Cisco ISE ダッシュボードからネットワークのプロセス ステータスを表示できます。たとえば、アプリケーション サーバやデータベースなどのプロセスが失敗すると、アラームが生成され、[システム概要(System Summary)] ダッシュレットを使用して結果を表示できます。

プロセス ステータスを表示するには、次の手順を実行します。


ステップ 1 [システム概要(System Summary)] ダッシュレットを展開します。詳細なリアルタイム レポートが表示されます。

ステップ 2 ネットワーク上で実行されているプロセスについて、次の情報を確認します。

プロセスの名前

CPU およびメモリの使用率

プロセスの実行開始からの時間


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 を参照してください。

トラブルシューティング項目

「Cisco ISE のモニタリング ダッシュレットが Internet Explorer 8 で表示されない」

アラームの管理

この項では、ネットワークを効果的にモニタするために設定できる Cisco ISE アラーム、スケジュール、およびルールについて説明します。これらを表示し、クリティカルなシステム条件が発生したときに通知するようにアラームを指定できます。通知は、[操作(Operations)] > [アラーム(Alarms)] > [受信トレイ(Inbox)] に自動的に表示されますが、電子メールおよび syslog メッセージとしてイベントの通知を受信することもできます。

ここでは、次のトピックについて取り上げます。

「アラームについて」

「アラームの表示、編集、および解決」

「アラーム スケジュールの表示およびフィルタリング」

「アラーム スケジュールの作成、編集、および削除」

「アラーム ルールの作成、割り当て、無効化、および削除」

アラームについて

この項では、アラームおよび通知の基本について説明し、アラーム カテゴリ、スケジュールおよびルール(しきい値)、アラーム通知、アラーム syslog ターゲット、ライセンスの強制アラーム、および RADIUS 認証アラートについて説明します。

アラームには、アラーム ルールとシステム アラームという 2 つの基本カテゴリがあります。ネットワークに合わせてカスタマイズできる Cisco ISE アラーム ルールの詳細については、「使用可能なアラーム ルール」を参照してください。

デフォルト アラームには、ISE AAA 健全性、ISE プロセス ステータス、ISE システム健全性、および ISE システム診断が含まれます。

アラーム ルール

アラーム ルールによって、Cisco ISE ノードから収集されたログ データ内の指定されたイベントが通知されます。たとえば、システム健全性、プロセス ステータス、および認証アクティビティまたは認証非アクティブについて通知するようにアラーム ルールを設定できます。

データ セットに対する条件(ルール)、アラーム ルールを適用する期間、アラームの重大度、および通知の送信方法を定義します。アラーム ルールの条件が満たされると、アラームがトリガーされます。さまざまなタイプのシステム動作をモニタできるようにする、数多くのアラーム ルール カテゴリがあります。

システム アラーム

システム アラームとは、ネットワーク上で深刻な状況が発生したことを知らせるための機能です。データ消去イベントなど、システム アクティビティの情報ステータスも提供されます。システム アラームは定義済みであるため、作成または削除できません。ただし、発生した際の通知方法を設定したり、完全に無効にしたりすることはできます。システム アラームを有効にした場合、システム アラームはアラーム受信トレイに送信されます。

システム アラームには関連付けられているスケジュールがなく、イベント発生後即時に送信されます。システム アラームは、個別ではなく、グループ全体としてだけ有効または無効にすることができます。さまざまなタイプのシステム アラームのリストとそれらの設定方法については、「システム アラーム設定の指定」を参照してください。

スケジュールおよびアラーム ルール

スケジュールは、アラーム ルールの作成時に定義する 1 つ以上の連続または不連続期間で構成されます。たとえば、月曜日から金曜日までの午前 8:00(0800)から午後 5:00(1700)までアクティブなスケジュールを作成できます。このスケジュールをアラーム ルールに割り当てると、指定したアクティブな期間中にだけ、ルールが評価されてアラームが生成されます。

アラーム ルールは、有効なルールの数に応じたサイクルで定期的に評価されます。たとえば、1 ~ 20 個の有効なアラーム ルールがある場合は、評価サイクルが 2 分ごとに発生する場合があります。21 ~ 50 個の有効なルールの場合は評価サイクルが 3 分ごとに発生し、51 ~ 100 個の有効なルールの場合は 5 分ごとに発生する場合があります。


) 現在、ルール数を最大 100 個に制限する制限事項があります。


評価サイクルが開始されると、有効なアラーム ルールがそれぞれ評価されます。スケジュールでルールの実行が許可されている場合は、条件も評価されます。指定したルールの条件が満たされていると、アラームがトリガーされます。

アラーム通知

アラーム通知は、アラーム ルール条件に基づいて生成され、指定された期間(スケジュール)にわたって評価されます。アラーム通知は、ルール条件に達したとき、またはシステム アラームが生成されたときに送信されます。

アラーム通知は、次の場所にあります。

アラーム受信トレイ:アラーム詳細ページ上にある情報が含まれています。アラーム詳細には、通常、アラームをトリガーしたイベントを調査するために役立つ関連レポートへのリンクが 1 つ以上含まれています。コメントを追加でき、確認済みまたは終了であることを示すようにステータスを変更できます。

アラーム受信トレイには、最大 5000 個のアラームが表示され、最新のアラームが一番上に表示されます。確認または終了されたアラームは、リストから削除されます。

電子メール通知:アラーム詳細ページ上にある情報が含まれています。受信者のリストを設定でき、通知をプレーン テキスト形式で受信するか HTML 形式で受信するかを指定できます。

syslog メッセージ:アラーム syslog ターゲットとして設定した Linux または Microsoft Windows マシンに送信されます。最大 2 つのアラーム syslog ターゲットを設定できます。

アラーム概要:Cisco ISE ウィンドウの下部のグローバル ツールバーの右端にある [アラーム(Alarms)] アイコンにマウス カーソルを合わせると、最新のアラームのリストがポップアップ ウィンドウに表示されます。アラームの詳細を表示するには、アラーム リンクをクリックします。

詳細については、「電子メール設定の指定」および「システム アラーム設定の指定」を参照してください。

アラーム syslog ターゲット

アラーム syslog ターゲットは、syslog メッセージが送信される宛先です。アラーム通知は、syslog メッセージの形式で送信されます。syslog メッセージを受信するように設定された syslog サーバがネットワーク上に必要です。詳細については、「アラーム syslog ターゲットの設定」を参照してください。

ライセンスの強制アラーム

ライセンスの強制アラームでは、同時エンドポイントまたはユーザがカウントされ、その数が、特定のライセンスで許可されている合計に対して確認されます。カウントがライセンスで許可されている合計を超えている場合、ライセンス数を超えていることを示す syslog が送信されます。

アラームの表示、編集、および解決

設定されたアラーム ルールを満たしたアラームは、アラーム受信トレイまたはグローバル ツールバー スライドアップ ウィンドウで表示できます。

アラーム受信トレイには最近のアラームのリストが表示され、ここから選択してアラームの詳細を表示できます。アラームの情報を表示した後で、そのステータスの編集、管理者へのアラームの割り当て、およびイベントを追跡するためのメモの追加を行うことができます。

グローバル ツールバーには最新のアラーム数が表示され、スライドアップ ウィンドウにはアラームの読み取り専用リストが表示されます。


) カーソルをページ上のフィールドに合わせて、機能の状況依存ヘルプを表示します。


アラーム概要の表示

グローバル ツールバーからアクセスするアラーム概要ウィンドウから、最近のアラームのリストを表示できます。グローバル ツールバーは、Cisco ISE ウィンドウの下部にあり、常に使用できます。

アラームのリストを表示するには、次の手順を実行します。


ステップ 1 Cisco ISE ウィンドウの下部にあるツールバーで、[アラーム(Alarms)] アイコンにマウス カーソルを合わせます。スライダ ダイアログが表示され、最近のアラームのリストが表示されます。

ステップ 2 (任意)スライダ ダイアログの表示を変更するには、[更新レート(Refresh Rate)] または [表示(Show)] オプションを選択します。

ステップ 3 (任意)[名前(Name)]、[原因(Cause)]、[担当者(Assigned To)]、または [ステータス(Status)] オプションを選択します。必要な情報を入力し、フィールドの右端に表示される矢印をクリックします。

ステップ 4 アラーム リンクをクリックして、アラームを発生させたイベントの詳細な説明を表示します。新しいページが表示されます。

図 24-14 アラーム概要ウィンドウ

 

 


 

アラーム受信トレイを使用したアラームの表示、編集、および解決

次のタスクでは、アラーム受信トレイを使用してアラームを表示および編集する方法を示します。

アラーム受信トレイでアラームを表示および編集するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [アラーム(Alarms)] > [受信トレイ(Inbox)] を選択します。[アラーム受信トレイ(Alarms Inbox)] ページが表示され、最近のアラームのリストが表示されます。

ステップ 2 アラームを表示および編集するには、アラームの [名前(Name)] の左にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3 アラームのステータスを変更するには、[ステータス(Status)] タブをクリックして、次の操作を実行します。

a. [ステータス(Status)] ドロップダウン リストから適切なオプションを選択します。[新規(New)]、[確認済み(Acknowledged)]、または [終了(Closed)] があります。

b. [割り当て済み(Assigned)] フィールドに名前または電子メール アドレスを入力して、アラームを管理者に割り当てます。

c. コメントがあれば [コメント(注記)] フィールドに追加し、[送信(Submit)] をクリックします。

アラーム受信トレイに戻ります。

ステップ 4 アラームを解決するには、アラームの隣にあるチェックボックスをオンにして、次のいずれかを実行します。

アラームを終了するには、[閉じる(Close)] をクリックし、表示されるダイアログボックスに終了メモを入力して、再度 [閉じる(Close)] をクリックします。

アラームを削除するには、[削除(Delete)] をクリックし、表示されるダイアログボックスで [はい(Yes)] をクリックしてアクションを確認します。


 

アラーム スケジュールの表示およびフィルタリング

使用可能なすべてのアラーム スケジュールのリストを表示し、指定した基準でのフィルタリングによって結果を絞り込むことができます。


) マウス カーソルをページ上のフィールドに合わせて、機能の状況依存ヘルプを表示します。


アラーム スケジュールを表示してフィルタリングするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [アラーム(Alarms)] > [スケジュール(Schedules)] を選択します。アラーム スケジュールのリストが表示されます。

ステップ 2 特定のタイプのアラームを検索するには、[フィルタ(Filter)] フィールドに検索条件を入力し、[実行(Go)] をクリックします。結果が表示されます。

ステップ 3 すべてのアラームのリストに戻るには、[クリア(Clear)] をクリックします。


 

アラーム スケジュールの作成、編集、および削除

アラーム スケジュールを作成して、アラーム ルールがいつ実行されるかを指定し、必要に応じてスケジュールを編集および削除できます。アラーム スケジュールは、7 日間(週)のさまざまな時刻に実行できます。デフォルトのアラーム スケジュールはノンストップで、1 日 24 時間、週 7 日間イベントをモニタします。


) カーソルをページ上のフィールドに合わせて、機能の状況依存ヘルプを表示します。


アラーム スケジュールの作成

次のタスクでは、アラーム スケジュールを作成および保存する方法を示します。

アラーム スケジュールを作成するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [アラーム(Alarms)] > [スケジュール(Schedules)] を選択します。

ステップ 2 [作成(Create)] をクリックします。

ステップ 3 適切なフィールドに、一意の名前とスケジュールを説明する意味のある説明を入力します。

ステップ 4 次のいずれかの方法で、スケジュールの日付と時刻を定義します。

個々の四角をクリックして、アラーム スケジュールの時間と日付を選択または選択解除します。四角は、選択されていると色付きで、選択解除されていると空白です。

スケジュールをクリアして再度開始するには、[すべてクリア(Clear All)] または [すべて元に戻す(Undo All)] をクリックします。

1 日 24 時間、週 7 日間実行されるノンストップ アラーム スケジュールを作成するには、[すべて選択(Select All)] をクリックします。

スケジュールをクリアして再度開始するには、[すべてクリア(Clear All)] または [すべて元に戻す(Undo All)] を使用します。

ステップ 5 [送信(Submit)] をクリックしてスケジュールを保存するか、[キャンセル(Cancel)] をクリックしてスケジュールを作成せずに終了します。

スケジュールを送信した場合は、スケジュールのリストに表示されます。


 

アラーム スケジュールの編集または削除

次のタスクでは、アラーム スケジュールを編集および削除する方法を示します。

アラーム スケジュールを編集または削除するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [アラーム(Alarms)] > [スケジュール(Schedules)] を選択します。スケジュールのリストが表示されます。

ステップ 2 スケジュール名の左にあるチェックボックスをオンにして、次のいずれかを実行します。

選択したアラームをリストから削除するには、[削除(Delete)] をクリックし、次に [はい(Yes)] をクリックしてアクションを確認します。

選択したアラームを変更するには、[編集(Edit)] をクリックし、次のいずれかを実行します。

四角を選択および選択解除して、日付と時刻を変更します。四角は、選択されていると色付きで、選択解除されていると空白です。

スケジュールをクリアして再度開始するには、[すべてクリア(Clear All)] または [すべて元に戻す(Undo All)] をクリックし、新しいスケジュールを定義します。

1 日 24 時間、週 7 日間実行されるノンストップ アラーム スケジュールを作成するには、[すべて選択(Select All)] をクリックします。

ステップ 3 [送信(Submit)] をクリックして変更を保存するか、[キャンセル(Cancel)] をクリックして変更を保存せずに終了します。


 

アラーム ルールの作成、割り当て、無効化、および削除

データ セットに対するアラーム ルール条件(ルールとも呼ばれる)、アラーム ルールの(適用)期間、アラームの重大度、および通知の送信方法を定義します。時間要素のために、アラーム ルールはアラーム スケジュールにリンクされている必要があります。

この項では、アラーム ルールを作成してスケジュールに割り当てる方法について説明します。その後で、アラーム ルールを削除する方法について説明します。

前提条件

「アラーム スケジュールの作成、編集、および削除」の説明に従って、アラーム スケジュールを作成しておきます。

アラーム ルールの作成および割り当て

アラーム ルール作成の要件の 1 つは、それをスケジュールに割り当てることです。次のタスクでは、アラーム ルールを作成してスケジュールに割り当てる方法について説明します。

次のデフォルトのアラーム ルールがユーザ インターフェイスに表示されます。

ISE AAA 健全性(ISE AAA Health)

ISE プロセス ステータス(ISE Process Status)

ISE システム エラー(ISE - System Errors)

ISE システム健全性(ISE System Health)

次に示す手順を使用して、次のアラーム ルールを作成できます。

成功した認証(Passed Authentication)

失敗した認証(Failed Authentication)

認証非アクティブ(Authentication Inactivity)

認証されるがアカウンティングは開始されない(Authenticated But No Accounting Start)

未知の NAD(Unknown NAD)

外部 DB が使用不能(External DB Unavailable)

RBACL ドロップ(RBACL Drops)

NAD レポート AAA ダウン(NAD-Reported AAA Down)


) カーソルをページ上のフィールドに合わせて、その機能の状況依存ヘルプを表示します。


アラーム ルールを作成してスケジュールに割り当てるには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [アラーム(Alarms)] > [ルール(Rules)] を選択し、次のいずれかを実行します。

既存のアラーム ルールのコピーを作成するには、ルールの名前を選択するか、名前の隣にあるチェックボックスをオンにして、[複製(Duplicate)] をクリックします。

新しいルールを作成するには、[作成(Create)] をクリックし、このタスクの残りの手順に進みます。

ステップ 2 [一般(General)] タブで、アラーム ルールの名前と説明を入力し、ドロップダウン リストからスケジュールを選択します。

ステップ 3 [基準(Criteria)] タブをクリックして、次の操作を実行します。

a. ドロップダウン リストからルール カテゴリを選択します。

b. カテゴリに必要な詳細を指定します。

c. (任意)必要に応じて、その他の基準を指定します。

 

ステップ 4 [通知(Notifications)] タブをクリックして、ドロップダウン リストから重大度レベルを選択します。次に、必要に応じて、電子メール通知および syslog 通知を指定します。

ステップ 5 [送信(Submit)] をクリックしてルールを作成するか、[キャンセル(Cancel)] をクリックしてルールを作成せずに終了します。


 

詳細情報:

ネットワークに合わせてカスタマイズできる Cisco ISE アラーム ルールの詳細については、「使用可能なアラーム ルール」を参照してください。

アラーム ルールの無効化または削除

アラーム ルールは無効化できます。これにより、削除しなくてもアラーム ルールはオフになります。または、アラーム ルールを完全に削除できます。

アラーム ルールを無効化または削除するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [アラーム(Alarms)] > [ルール(Rules)] を選択します。

ステップ 2 オフにする、または削除するアラーム ルールの隣にあるチェックボックスをオンにします。

ステップ 3 アラーム ルールをオフにするには、[無効(Disable)] をクリックします。

無効なアラーム ルールをオンに戻すには、ルールの隣にあるチェックボックスをオンにして、[有効(Enable)] をクリックします。

ステップ 4 選択したアラーム ルールを完全に削除するには、[削除(Delete)] をクリックします。次に、ダイアログボックスのプロンプトで [はい(Yes)] をクリックして、アクションを確定します。


 

詳細情報:

ネットワークに合わせてカスタマイズできる Cisco ISE アラーム ルールの詳細については、「使用可能なアラーム ルール」を参照してください。

使用可能なアラーム ルール

Cisco ISE では、アラーム ルールに次の標準的なカテゴリがあります。次のアラーム ルールをデフォルトの形式で使用するか、必要に応じてカスタマイズできます。

「成功した認証(Passed Authentication)」

「失敗した認証(Failed Authentication)」

「認証非アクティブ(Authentication Inactivity)」

「ISE 設定変更(ISE Configuration Changes)」

「ISE システム診断(ISE System Diagnostics)」

「ISE プロセス ステータス(ISE Process Status)」

「ISE 健全性システム(ISE Health System)」

「ISE AAA 健全性(ISE AAA Health)」

「認証されるがアカウンティングは開始されない(Authenticated But No Accounting Start)」

「未知の NAD(Unknown NAD)」

「外部 DB が使用不能(External DB Unavailable)」

「RBACL ドロップ(RBACL Drops)」

「NAD レポート AAA ダウン(NAD-Reported AAA Down)」

成功した認証(Passed Authentication)

[成功した認証(Passed Authentication)] ルールが評価されると、指定した時間間隔中(過去 24 時間まで)に発生した成功した認証(RADIUS など)が調べられます。これらの認証レコードは、インスタンス、ユーザ、ID グループなどの共通属性によってグループ化されています。これらの各グループ内のレコード数が計算されます。これらのグループのいずれかのカウントが、指定したルールを超えた場合、アラームがトリガーされます。

たとえば、インスタンスごとに過去 20 分間に 1000 を超える成功した認証に対して設定されたルールが評価されます。次の表に、認証に成功した 3 つのインスタンスを示します。少なくとも 1 つのインスタンスが過去 20 分間に 1000 を超える認証に成功したため、アラームがトリガーされました。

 

Cisco ISE インスタンス
成功した認証のカウント

New York Cisco ISE

1543

Chicago Cisco ISE

879

Los Angeles Cisco ISE

2096

たとえば、ユーザごとに過去 20 分間に 3 未満の成功した認証に対して別のルールを設定した場合、少なくとも 1 つの認証試行があって、成功した認証が 3 未満であるとアラームが生成されます。ゼロは、アラーム生成の対象となる値と見なされません。


) 1 つ以上のフィルタを指定して、ルール評価の対象となる成功した認証を制限できます。各フィルタは認証レコード内の特定の属性に関連付けられており、フィルタ値が指定した値と一致したレコードだけがカウントされます。複数のフィルタを指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。[基準(Criteria)] タブのフィールドを変更して、成功した認証の基準を持つルールを作成できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「成功した認証(Passed Authentications)」を参照してください。

失敗した認証(Failed Authentication)

[失敗した認証(Failed Authentication)] ルールが評価されると、指定した時間間隔中(過去 24 時間まで)に発生した失敗した認証(RADIUS など)が調べられます。これらの認証レコードは、Cisco ISE インスタンス、ユーザ、ID グループなどの共通属性によってグループ化されています。これらの各グループ内のレコード数が計算されます。これらのグループのいずれかで計算されたカウントが、指定したルールを超えた場合、アラームがトリガーされます。

たとえば、表に示されているルールは、デバイス IP ごとに 2 時間で 10 を超える失敗した認証によって設定されています。過去 2 時間に 4 つの IP アドレスに対して次の表に示すように失敗した認証が発生していた場合、アラームがトリガーされます。過去 2 時間に少なくとも 1 つのデバイス IP で失敗した認証が 10 を超えています。

 

デバイス IP
失敗した認証のカウント

a.b.c.d

13

e.f.g.h

8

i.j.k.l

1

m.n.o.p

1


) [基準(Criteria)] タブのフィールドを変更して、失敗した認証の基準を持つルールを作成することもできます。


1 つ以上のフィルタを指定して、ルール評価の対象となる失敗した認証を制限できます。各フィルタは認証レコード内の特定の属性に関連付けられており、フィルタ値が指定した値と一致したレコードだけがカウントされます。複数のフィルタを指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「失敗した認証(Failed Authentications)」を参照してください。

認証非アクティブ(Authentication Inactivity)

[認証非アクティブ(Authentication Inactivity)] ルールが評価されると、指定した時間間隔中(過去 31 日間まで)に発生した認証(RADIUS など)が調べられます。認証が行われなかった場合、アラームがトリガーされます。時間間隔中に特定のインスタンスまたはデバイス IP アドレスで認証が行われなかった場合にアラームを生成するフィルタを指定できます。

認証非アクティブで指定した時間間隔が、集約ジョブの完了にかかった時間よりも短い場合、このアラームは抑制されます。


) [基準(Criteria)] タブのフィールドを変更して、非アクティブな認証に基づくルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「認証非アクティブ(Authentication Inactivity)」を参照してください。

ISE 設定変更(ISE Configuration Changes)

[ISE 設定変更(ISE Configuration Changes)] アラームは、サーバに対する設定変更(ユーザまたはポリシーの追加、更新、削除など)が行われたときに生成されます。Cisco ISE によって、前回と今回のアラーム評価サイクルの間に行われた設定変更が調べられます。1 つ以上の変更が行われていた場合、アラームがトリガーされます。たとえば、新規ユーザの追加、既存のユーザの更新、別のユーザの削除によって、アラームがトリガーされます。新しいソフトウェアのインストールでも、設定変更アラームをトリガーできます。

1 つ以上のフィルタを指定して、ルール評価の対象となる設定変更を制限できます。各フィルタはレコード内の特定の属性に関連付けられており、フィルタ条件と一致したレコードだけがカウントされます。複数のフィルタ値を指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「ISE 設定変更(ISE Configuration Changes)」を参照してください。

ISE システム診断(ISE System Diagnostics)

[ISE システム診断(ISE System Diagnostics)] ルールが評価されると、指定した間隔中に生成されたシステム診断レコードが調べられます。1 つ以上の診断が指定したセキュリティ レベル以上で生成されていた場合、アラームがトリガーされます。


) Cisco ISE システム診断は、指定した重大度レベルに応じて、内部の操作診断データに対して生成されます。


1 つ以上のフィルタを指定して、ルール評価の対象となるシステム診断レコードを制限できます。各フィルタはレコード内の特定の属性に関連付けられており、フィルタ条件と一致したレコードだけがカウントされます。複数のフィルタ値を指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「ISE システム診断(ISE System Diagnostics)」を参照してください。

ISE プロセス ステータス(ISE Process Status)

[ISE プロセス ステータス(ISE Process Status)] ルールが評価され、1 つ以上のエラーが検出されると、アラームがトリガーされます。特定のプロセス、特定の Cisco ISE インスタンス、またはその両方にチェックを制限できます。

たとえば、アプリケーション サーバやデータベースなどのプロセスが失敗すると、アラームが生成され、[システム概要(System Summary)] ダッシュレットを使用して結果を表示できます。


) [基準(Criteria)] タブのフィールドを変更して、Cisco ISE プロセス ステータスに基づくルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「ISE プロセス ステータス(ISE Process Status)」を参照してください。

ISE 健全性システム(ISE Health System)

[ISE 健全性システム(ISE Health System)] ルールが評価されると、指定した時間間隔(過去 60 分間まで)でルールを超えた値の結果として、システム健全性パラメータが調べられます。これらの健全性パラメータには、CPU 使用率やメモリ消費率などが含まれます。パラメータのいずれかがルールを超えた場合、アラームがトリガーされます。デフォルトでは、ルールはすべての Cisco ISE インスタンスに適用されます。ただし、1 つの Cisco ISE インスタンスだけにチェックを制限できます。


) [基準(Criteria)] タブのフィールドを変更して、Cisco ISE システム健全性のルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「ISE システム健全性(ISE System Health)」を参照してください。

ISE AAA 健全性(ISE AAA Health)

[ISE AAA 健全性(ISE AAA Health)] ルールが評価されると、指定した時間間隔(過去 60 分間まで)でルールを超えた ISE 健全性パラメータが調べられます。Cisco ISE では次のパラメータがモニタされます。

RADIUS スループット

RADIUS 遅延

パラメータのいずれかがルールを超えた場合、アラームがトリガーされます。デフォルトでは、ルールはモニタされたすべての Cisco ISE インスタンスに適用されます。ただし、1 つの Cisco ISE インスタンスだけにチェックを制限できます。


) 必要に応じて、[基準(Criteria)] タブのフィールドを変更できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「ISE AAA 健全性(ISE AAA Health)」を参照してください。

認証されるがアカウンティングは開始されない(Authenticated But No Accounting Start)

[認証されるがアカウンティングは開始されない(Authenticated But No Accounting Start)] ルールが評価されると、デバイス IP のアカウンティング開始イベントが受信されていない、指定した数の認証済みセッションが過去 15 分間に発生したかどうかが特定されます。

これらのイベントは、デバイス IP アドレスでグループ化されます。デバイス IP ごとの発生がルールで指定した値を超えた場合、アラームがトリガーされます。フィルタを設定して、評価を 1 つのデバイス IP に制限できます。


) [基準(Criteria)] タブのフィールドを変更して、デバイス IP の認証済みセッションのルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「認証されるがアカウンティングは開始されない(Authenticated But No Accounting Start)」を参照してください。

未知の NAD(Unknown NAD)

[未知の NAD(Unknown NAD)] ルールが評価されると、指定した時間間隔中(過去 24 時間まで)に発生した失敗した RADIUS 認証が調べられます。障害理由が「未知の NAD」の失敗した認証が識別されます。未知の NAD 認証レコードは、Cisco ISE インスタンス、ユーザなどの共通属性によってグループ化されています。各グループ内のレコード カウントが計算され、いずれかのグループのレコードが指定したルールを超えた場合、アラームがトリガーされます。

たとえば、「デバイス IP について過去 1 時間で 5 を超える未知の NAD カウント」というルールについて考えます。

この例では、1 時間後、2 つの異なるデバイス IP アドレスについて、障害理由が「未知の NAD」の失敗した認証が発生します。少なくとも 1 つのデバイス IP アドレスでカウントが 5 を超えているため、結果としてアラームがトリガーされます。次の表に、この例のデータを示します。

 

デバイス IP
未知の NAD 認証レコードのカウント

a.b.c.d

6

e.f.g.h

1

1 つ以上のフィルタを指定して、ルール評価の対象となる失敗した認証を制限できます。各フィルタはレコード内の属性に関連付けられており、フィルタ条件と一致したレコードだけがカウントされます。複数のフィルタ値を指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。


) [基準(Criteria)] タブのフィールドを変更して、未知の NAD のために失敗した認証に基づくルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「未知の NAD(Unknown NAD)」を参照してください。

外部 DB が使用不能(External DB Unavailable)

[外部 DB が使用不能(External DB Unavailable)] ルールが評価されると、指定した時間間隔中(過去 24 時間まで)に発生した失敗した RADIUS 認証が調べられます。障害理由が「外部 DB が使用不能」の失敗した認証が特定されます。この障害理由の認証レコードは、Cisco ISE インスタンス、ユーザなどの共通属性によってグループ化されています。これらの各グループ内のレコード カウントが計算されます。いずれかのグループのレコード カウントがルールを超えた場合、アラームがトリガーされます。

たとえば、「デバイス IP について過去 1 時間で 5 を超える外部 DB が使用不能カウント」というルールについて考えます。

この例では、1 時間後、2 つの異なるデバイス IP アドレスについて、障害理由が「外部 DB が使用不能」の失敗した認証が発生します。少なくとも 1 つのデバイス IP アドレスでカウントが 5 を超えているため、アラームがトリガーされます。次の表に、この例のデータを示します。

 

デバイス IP
外部 DB が使用不能な認証レコードのカウント

a.b.c.d

6

e.f.g.h

1

1 つ以上のフィルタを指定して、ルール評価の対象となる失敗した認証を制限できます。各フィルタはレコード内の属性に関連付けられており、フィルタ条件と一致したレコードだけがカウントされます。複数のフィルタ値を指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。


) [基準(Criteria)] タブのフィールドを変更して、Cisco ISE が接続できない外部データベースに基づくルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「外部 DB が使用不能(External DB Unavailable)」を参照してください。

RBACL ドロップ(RBACL Drops)

[RBACL ドロップ(RBACL Drops)] ルールが評価されると、設定した時間間隔中(過去 24 時間まで)に発生したセキュリティ グループ アクセスの RBACL ドロップが調べられます。RBACL ドロップ レコードは、SGT、DGT などの特定の共通属性によってグループ化されます。グループごとのレコード数が計算されます。いずれかのグループのカウントがルールを超えた場合、アラームがトリガーされます。

たとえば、「SGT 別に過去 4 時間で 10 を超える RBACL ドロップ」というルールについて考えます。

この例では、4 時間で 2 つの異なるソース グループ タグについて RBACL ドロップが発生します。少なくとも 1 つの SGT でカウントが 10 を超えているため、アラームがトリガーされます。次の表に、この例のデータを示します。

 

SGT
RBACL ドロップのカウント

1

17

3

14

1 つ以上のフィルタを指定して、ルール評価の対象となる RBACL ドロップ レコードを制限できます。各フィルタは RBACL ドロップ レコード内の特定の属性に関連付けられており、フィルタ条件と一致したレコードだけがカウントされます。複数のフィルタ値を指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。


) [基準(Criteria)] タブのフィールドを変更して、RBACL ドロップのルールを定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「RBACL ドロップ(RBACL Drops)」を参照してください。

NAD レポート AAA ダウン(NAD-Reported AAA Down)

[NAD レポート AAA(NAD-Reported AAA)] ルールでは、指定した間隔中(過去 24 時間まで)に発生した NAD レポート AAA ダウン イベントが調べられます。次に、AAA ダウン レコードはデバイス IP アドレスやデバイス グループなどの特定の共通属性によってグループ化され、各グループ内のレコード カウントが行われます。いずれかのグループのカウントが指定したルールを超えた場合、アラームがトリガーされます。

たとえば、「デバイス IP 別に過去 4 時間で 10 を超える AAA ダウン カウント」というルール設定について考えます。

この例では、過去 4 時間に NAD レポート AAA ダウン イベントが 3 つの異なるデバイス IP アドレスに対して発生し、少なくとも 1 つのデバイス IP アドレスのカウントが 10 を超えているためアラームがトリガーされます。次の表に、この例のデータを示します。

 

デバイス IP
NAD レポート AAA ダウン イベントのカウント

a.b.c.d

15

e.f.g.h

3

i.j.k.l

9

1 つ以上のフィルタを指定して、ルール評価の対象となる AAA ダウン レコードを制限できます。各フィルタは AAA ダウン レコード内の特定の属性に関連付けられており、フィルタ条件と一致したレコードだけがカウントされます。複数のフィルタ値を指定した場合は、すべてのフィルタ条件と一致したレコードだけがカウントされます。


) [基準(Criteria)] タブのフィールドを変更して、ネットワーク アクセス デバイスによって報告される AAA ダウンタイムに基づくルール基準を定義できます。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「NAD レポート AAA ダウンタイム(NAD-Reported AAA Downtime)」を参照してください。

ライブ認証のモニタリング

[ライブ認証(Live Authentications)] ページから、発生した最近の RADIUS 認証をモニタできます。このページには、直近の 24 時間での上位 10 件の RADIUS 認証が表示されます。この項では、[ライブ認証(Live Authentications)] ページの機能について説明します。

[ライブ認証(Live Authentications)] ページには、最近の RADIUS 認証が発生順に表形式で表示されます。


) [ライブ認証(Live Authentications)] ページの下部に表示される [最終更新(Last update)] は、最新のサーバ日付、時刻、およびタイムゾーンを示しています。


図 24-15 [ライブ認証(Live Authentications)] ページ

 

 

デフォルトで表示されるライブ認証データ カテゴリには、次のものがあります。

[時間(Time)]:収集エージェントによってログが受信された時間が表示されます。このカラムは必須です。選択を解除できません。

[ステータス(Status)]:認証が成功したか失敗したかが表示されます。このカラムは必須です。選択を解除できません。

[詳細(Details)]:虫眼鏡アイコンをクリックするとレポートが表示され、選択した認証シナリオでの詳細情報をドリルダウンして表示できます。このカラムは必須です。選択を解除できません。

[ユーザ名(Username)]:認証に関連付けられているユーザ名が表示されます。

[エンドポイント ID(Endpoint ID)]:エンドポイントの固有識別子が表示されます。通常は、MAC アドレスまたは IP アドレスです。

[IP アドレス(IP Address)]:エンドポイント デバイスの IP アドレスが表示されます。

[ネットワーク デバイス(Network Device)]:ネットワーク アクセス デバイスの IP アドレスが表示されます。

[デバイス ポート(Device Port)]:エンドポイントが接続されているポート番号が表示されます。

[許可プロファイル(Authorization Profiles)]:認証に使用された許可プロファイルが表示されます。

[ID グループ(Identity Group)]:ログが生成される対象となった、ユーザまたはエンドポイントに割り当てられている ID グループが表示されます。

[ポスチャ ステータス(Posture Status)]:ポスチャ検証のステータスおよび認証の詳細が表示されます。

[イベント(Event)]:イベント ステータスが表示されます。

[障害理由(Failure Reason)]:認証が失敗した場合、失敗の詳細な理由が表示されます。

オプションで、次のカテゴリを表示するように選択できます。

[認証方式(Auth Method)]:RADIUS プロトコルによって使用されている認証方式が表示されます。Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2(MS-CHAPv2)、IEE 802.1x、dot1x などです。

[認証プロトコル(Authentication Protocol)]:使用されている認証プロトコルが表示されます。保護拡張認証プロトコル(PEAP)、拡張認証プロトコル(EAP)などです。

[セキュリティ グループ(Security Group)]:認証ログによって識別されているグループが表示されます。

[サーバ(Server)]:ログ生成のもとになったポリシー サービスが表示されます。

[セッション ID(Session ID)]:セッション ID が表示されます。

すべてのカラムを表示するか、選択したデータ カラムのみを表示するように選択できます。表示するカラムを選択した後で、選択を保存できます。

[ライブ認証(Live Authentications)] の表示にアクセスおよび変更するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [認証(Authentications)] を選択します。[ライブ認証(Live Authentications)] ページが表示されます。

ステップ 2 データ更新レートを変更するには、ドロップダウン リストから時間間隔を選択します。

ステップ 3 データを手動で更新するには、[ライブ認証(Live Authentications)] メニュー バーの [最新の情報に更新(Refresh)] アイコンをクリックします。

ステップ 4 表示されるレコード数を変更するには、[表示(Show)] ドロップダウン リストから、[最新の 20 レコード(Latest 20 Records)]、[最新の 50 レコード(Latest 50 Records)]、[最新の 100 レコード(Latest 100 Records)] のいずれかを選択します。

ステップ 5 時間間隔を指定するには、ドロップダウン リストから次のいずれかを選択します。

直近の 24 時間(Last 24 hours)(デフォルト)

直近の 12 時間(Last 12 hours)

直近の 6 時間(Last 6 hours)

直近の 3 時間(Last 3 hours)

直近の 60 分(Last 60 minutes)

直近の 30 分(Last 30 minutes)

直近の 10 分(Last 10 minutes)

直近の 5 分(Last 5 minutes)

直近の 60 秒(Last 60 seconds)

ステップ 6 表示されるカラムを変更するには、[カラムの追加または削除(Add or Remove Columns)] をクリックし、ドロップダウン リストから、次のいずれかを実行します。

カラムを表示から削除するには、チェックボックスをオフにします。チェック マークは消えます。


) [時間(Time)]、[ステータス(Status)]、および [詳細(Details)] カラムは重要であるため、選択解除できません。


カラムを表示に追加するには、空のチェックボックスをオンにします。

表示をデフォルトのカラムにリセットするには、[デフォルトに復元(Restore to Default)] チェックボックスをオンにします。

すべてのカラムを自動的に表示するには、[すべてのカラムを表示(Show All Columns)] チェックボックスをオンにします。変更は自動的に表示されます。

ステップ 7 ドロップダウン リストの一番下にある [保存(Save)] をクリックして変更を保存するか、[キャンセル(Cancel)] をクリックして変更を廃棄します。


 

トラブルシューティング項目

「RADIUS アカウンティング パケット(属性)がスイッチから着信しない」

「Cisco ISE に RADIUS サーバのエラー メッセージ エントリが表示される」

「RADIUS サーバの接続性に関する問題(Cisco ISE にエラー メッセージ エントリが表示されない場合)」

ゲスト アクティビティのモニタリング

ゲストは、制限されたネットワーク アクセスや継続時間など、制限された権限を持つユーザ タイプです。たとえば、ゲストは会社の内部ネットワークにアクセスできず、アカウントは 8 時間で期限切れになる場合があります。

これらのアカウントによって生成される認証によって、現在ネットワーク上に存在するゲストをモニタできます。これを実行する 1 つの方法は、タイプがゲストであるすべてのユーザに対してアラーム ルールを設定し、ライブ認証をモニタすることです。

ゲスト アクティビティをモニタするには、次の手順を実行します。


ステップ 1 「アラーム スケジュールの作成、編集、および削除」の説明に従って、アラームを作成します。

ステップ 2 「アラーム ルールの作成および割り当て」の説明に従って、タイプがゲストであるすべてのユーザに対して「成功した認証(Passed Authentication)」「失敗した認証(Failed Authentication)」、または「認証非アクティブ(Authentication Inactivity)」のルールを指定します。

ステップ 3 「ライブ認証のモニタリング」の説明に従って、ゲスト ユーザ アクティビティを計算します。


 

トラブルシューティング項目

「RADIUS アカウンティング パケット(属性)がスイッチから着信しない」

「Cisco ISE に RADIUS サーバのエラー メッセージ エントリが表示される」

「RADIUS サーバの接続性に関する問題(Cisco ISE にエラー メッセージ エントリが表示されない場合)」

データ収集のモニタリング

モニタリング機能では、Cisco ISE ネットワーク上のノードからログおよび設定データを収集し、そのデータをモニタリング データベースに格納し、それを処理してレポートとアラームを生成します。展開内の任意のサーバから収集されたログの詳細を表示できます。

システムのパフォーマンスおよび健全性のデータ収集をモニタするには、次の手順を実行します。


ステップ 1 「アラーム スケジュールの作成、編集、および削除」の手順を実行します。

ステップ 2 次のアラーム ルールの組み合わせを使用して、「アラーム ルールの作成、割り当て、無効化、および削除」の手順を実行します。

「ISE システム診断(ISE System Diagnostics)」

「ISE プロセス ステータス(ISE Process Status)」

「ISE 健全性システム(ISE Health System)」

「ISE AAA 健全性(ISE AAA Health)」

ステップ 3 「電子メール設定の指定」の手順を実行します。

ステップ 4 「アラーム syslog ターゲットの設定」の手順を実行します。

ステップ 5 「ログ収集の表示」の手順を実行します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「アラーム(Alarms)」を参照してください。

トラブルシューティング項目

「RADIUS アカウンティング パケット(属性)がスイッチから着信しない」

「Cisco ISE に RADIUS サーバのエラー メッセージ エントリが表示される」

「RADIUS サーバの接続性に関する問題(Cisco ISE にエラー メッセージ エントリが表示されない場合)」

ネットワークのトラブルシューティング

ここでは、次のトピックについて取り上げます。

「障害理由の表示および編集」

「ネットワーク アクセスのトラブルシューティング」

「接続テストの実行」

「診断トラブルシューティング ツールの使用」

障害理由の表示および編集

[障害理由エディタ(Failure Reason Editor)] では、障害理由の説明を表示および編集でき、問題を解決する方法も提供されます。

障害理由を表示および編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [モニタリング(Monitoring)] > [障害理由エディタ(Failure Reason Editor)] を選択します。

[障害理由(Failure Reasons)] ページが表示されます。

ステップ 2 障害理由を表示するには、次のいずれかを実行します。

リストから、障害理由のオプション ボタンまたは名前のリンクをクリックします。

[フィルタ(Filter)] テキスト ボックスにテキスト文字列を入力し、[実行(Go)] をクリックして、結果から障害理由をクリックします。

ステップ 3 障害理由を編集するには、次の操作を実行します。

a. 障害理由のオプション ボタンをクリックします

b. [編集(Edit)] をクリックします。

c. 適切なフィールドで、説明を入力または変更し、次に解決手順を入力または変更します。

d. [送信(Submit)] をクリックして変更を保存するか、[キャンセル(Cancel)] をクリックして変更を保存せずに終了します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「トラブルシューティング」を参照してください。

ネットワーク アクセスのトラブルシューティング

認証要求に関連する属性に基づいて、特定のユーザ、デバイス、または検索条件についてネットワーク アクセスをトラブルシューティングできます。これを実行するには、[認証失敗コード ルックアップ(Authentication Failure Code Lookup)] レポートを実行します。


) 指定した MAC アドレス値が規定の形式でない場合は、ユーザ名と見なされ、選択した時間範囲とプロトコルに対してユーザ認証要約レポートが実行されます。


認証要求に基づいてネットワーク アクセスをトラブルシューティングするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [障害理由(Failure Reason)] を選択します。

ステップ 2 [障害理由(Failure Reasons)] で、[認証失敗コード ルックアップ(Authentication Failure Code Lookup)] オプション ボタンをクリックします。

ステップ 3 「レポートの実行、表示、およびナビゲート」の説明に従います。次の点を考慮してください。

[ユーザ名または MAC アドレス(Username or MAC Address)] に aa-bb-cc-dd-ee-ff 形式の値を指定した場合は、この MAC アドレスに対してレポートが実行されます。

[ユーザ名または MAC アドレス(Username or MAC Address)] にその他の形式の値を指定した場合は、値はユーザ名と見なされ、そのユーザに対してレポートが実行されます。

[ユーザ名または MAC アドレス(Username or MAC Address)] フィールドが空の場合は、選択したプロトコルと時間範囲に対してデフォルトのパラメータを使用してレポートが実行されます(カタログ ページで RADIUS 認証レポートを実行する場合と同様)。

[ユーザ名または MAC アドレス(Username or MAC Address)] フィールドに有効な MAC アドレス値を指定し、[要約ビュー(Summary View)] オプションを選択した場合は、エンドポイント要約レポートが実行されます。選択したプロトコルに関係なく、常に RADIUS プロトコルに対してエンドポイント要約レポートが実行されます。

ステップ 4 レポート データを確認して、ネットワーク アクセスの問題をトラブルシューティングします。


 

詳細情報:

「RADIUS 認証のトラブルシューティング」 を参照してください。

接続テストの実行

失敗した認証は、接続の問題によって発生する場合があります。トラブルシューティング ツールの機能を使用すると、接続テストを実行して接続の問題をチェックできます。接続先のネットワーク デバイスのホスト名または IP アドレスを入力して、Web インターフェイスから ping traceroute 、および nslookup コマンドを実行できます。出力はダッシュボード ウィンドウに表示されます。

接続テストを実行するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [接続テスト(Connectivity Tests)] を選択します。

ステップ 2 テストする接続のホスト名または IP アドレスを入力します。

ステップ 3 次のいずれかを実行します。

ping をクリックして、送受信されたパケット、パケット損失(存在する場合)、およびテストが完了するまでにかかる時間を確認します。

traceroute をクリックして、Cisco ISE ノードと指定したホスト名または IP アドレスとの間の中間 IP アドレス(ホップ)、および各ホップの完了までにかかる時間を確認します。

nslookup をクリックして、テスト対象のホスト名または IP アドレスをドメイン ネーム サーバに問い合わせた結果としてのサーバ名および IP アドレスを確認します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「ポリシー(Policy)」を参照してください。

診断トラブルシューティング ツールの使用

診断ツールは、問題解決方法の詳細な手順を備えており、Cisco ISE ネットワークの問題の診断およびトラブルシューティングに役立ちます。これらのツールを使用して、セキュリティ グループ アクセス デバイスなどのネットワーク上のネットワーク デバイスの設定を評価し、成功および失敗した認証をトラブルシューティングできます。

この項では、診断の手順について説明します。次のトピックを扱います。

「RADIUS 認証のトラブルシューティング」

「ネットワーク デバイス コマンドの実行」

「ネットワーク デバイス設定の評価」

「ポスチャ データのトラブルシューティング」

「TCP ダンプによるトラブルシューティング」

「SGACL ポリシーの比較」

「SXP-IP マッピングの比較」

「IP-SGT ペアの比較」

「SGT デバイスの比較」

RADIUS 認証のトラブルシューティング

トラブルシューティング対象の RADIUS 認証を検索して選択するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] を選択します。

ステップ 2 次の情報を指定します。

[ユーザ名(Username)]:認証をトラブルシューティングするユーザのユーザ名を入力するか、または [選択(Select)] をクリックしてリストからユーザ名を選択します。

[MAC アドレス(MAC address)]:トラブルシューティングするデバイスの MAC アドレスを入力するか、または [選択(Select)] をクリックしてリストから MAC アドレスを選択します。

[監査セッション ID(Audit Session ID)]:トラブルシューティングする監査セッション ID を入力します。

[NAS IP]:NAS IP アドレスを入力するか、または [選択(Select)] をクリックしてリストから NAS IP アドレスを選択します。

[NAS ポート(NAS Port)]:NAS ポート番号を入力するか、または [選択(Select)] をクリックしてリストから NAS ポート番号を選択します。

[認証ステータス(Authentication Status)]:[認証ステータス(Authentication Status)] ドロップダウン リストから、RADIUS 認証のステータスを選択します。

成功または失敗(Pass or Fail)

成功(Pass)

失敗(Fail)

[時間範囲(Time Range)]:ドロップダウン リストから時間範囲を選択します。


) [カスタム(Custom)] 時間範囲を選択した場合は、[開始日時(Start Date-Time)] と [終了日時(End Date-Time)] を指定します。


[障害理由(Failure Reason)]:障害理由の説明を表示および編集します。

[取得レコード数(Fetch Number of Records)]:取得するレコード数をドロップダウン リストから選択します。[10]、[20]、[50]、[100]、[200]、または [500] です。

ステップ 3 [検索(Search)] をクリックして、検索条件に一致する RADIUS 認証を表示します。

[検索結果(Search Result)] テーブルに、検索結果が読み込まれます。このテーブルには、[時間(Time)]、[ステータス(Status)]、[ユーザ名(Username)]、[MAC アドレス(MAC Address)]、[監査セッション ID(Audit Session ID)]、[ネットワーク デバイス IP(Network Device IP)]、[障害理由(Failure Reason)]、および [許可されるプロトコル(Allowed Protocol)] というフィールドがあります。

ステップ 4 テーブルから RADIUS 認証レコードを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。

Expert Troubleshooter によって、RADIUS 認証のトラブルシューティングが開始されます。必要に応じて、追加入力が要求されます。

ステップ 5 [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。

[進捗詳細(Progress Details)] ページが表示され、概要が示されます。必要に応じて、追加入力が要求される場合があります。追加入力が必要な場合は、[ユーザ入力必須(User Input Required)] をクリックし、必要な情報を入力します。

ステップ 6 [完了(Done)] をクリックします。

[進捗詳細(Progress Details)] ページは定期的に更新されて、トラブルシューティングの進行中に実行されたタスクが表示されます。

ステップ 7 トラブルシューティングが完了したら、[結果概要の表示(Show Results Summary)] をクリックします。

ステップ 8 [完了(Done)] をクリックして戻り、診断、問題を解決する手順、およびトラブルシューティングの要約を表示します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「[RADIUS 認証のトラブルシューティング(RADIUS Authentication Troubleshooting)]:[進捗詳細(Progress Details)]」を参照してください。

トラブルシューティング項目

「RADIUS アカウンティング パケット(属性)がスイッチから着信しない」

「Cisco ISE に RADIUS サーバのエラー メッセージ エントリが表示される」

「RADIUS サーバの接続性に関する問題(Cisco ISE にエラー メッセージ エントリが表示されない場合)」

ネットワーク デバイス コマンドの実行

[ネットワーク デバイス コマンドの実行(Execute Network Device Command)] 診断ツールを使用すると、集中化された Cisco ISE ダッシュボードから任意のネットワーク デバイス上で show コマンドを実行できます。結果は、コンソールに表示される場合とまったく同じ形式であり、デバイスの設定における問題を特定するために使用できます。

任意のネットワーク デバイス上で show コマンドを実行するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ネットワーク デバイス コマンドの実行(Execute Network Device Command)] を選択します。

ステップ 2 適切なフィールドに、次の情報を入力します。

[ネットワーク デバイス IP(Network Device IP)]:ネットワーク デバイスの IP アドレス

[コマンド(Command)]: show コマンド( show run show vlan など)

ステップ 3 [実行(Run)] をクリックして、指定したネットワーク デバイスでコマンドを実行します。[進捗詳細(Progress Details)] ページが表示され、追加入力が求められます。

ステップ 4 [ユーザ入力必須(User Input Required)] ボタンをクリックし、必要に応じてフィールドを変更します。

ステップ 5 [送信(Submit)] をクリックして、ネットワーク デバイス上でコマンドを実行し、出力を表示します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「進捗詳細(Progress Details)」を参照してください。

ネットワーク デバイス設定の評価

この診断ツールを使用して、ネットワーク デバイスの設定を評価し、設定の問題を特定できます。Expert Troubleshooter によって、デバイスの設定が標準設定と比較されます。

ネットワーク デバイスの設定を評価するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [設定評価バリデータ(Evaluate Configuration Validator)] を選択します。

ステップ 2 設定を評価するデバイスのネットワーク デバイス IP アドレスを入力し、必要に応じて他のフィールドを指定します。

ステップ 3 推奨テンプレートと比較する設定オプションを選択します。次の中から選択します。

[Web 認証(Web Authentication)]:Web 認証設定を比較するには、このチェックボックスをオンにします。

[プロファイラ設定(Profiler Configuration)]:プロファイラ設定を比較するには、このチェックボックスをオンにします。

[CTS]:セキュリティ グループ アクセス設定を比較する場合は、このチェックボックスをオンにします。

[802.1X]:802.1X 設定を比較する場合は、このチェックボックスをオンにします。次のいずれかのオプションをクリックします。

オープン モード(Open Mode)

低影響モード(オープン モード + ACL)(Low Impact Mode (Open Mode + ACL))

高セキュリティ モード(クローズ モード)(High Security Mode (Closed Mode))

ステップ 4 [実行(Run)] をクリックします。[進捗詳細(Progress Details)] ページが表示され、追加入力が求められます。

ステップ 5 [ユーザ入力必須(User Input Required)] ボタンをクリックし、必要に応じてフィールドを変更します。

新しいウィンドウが表示され、設定分析のインターフェイスの選択を要求するプロンプトが表示されます。

ステップ 6 分析するインターフェイスの隣のチェックボックスをオンにして、[送信(Submit)] をクリックします。[進捗詳細(Progress Details)] ページが表示されます。

ステップ 7 [結果概要の表示(Show Results Summary)] をクリックします。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「進捗詳細(Progress Details)」を参照してください。

ポスチャ データのトラブルシューティング

[ポスチャのトラブルシューティング(Posture Troubleshooting)] ツールは、ポスチャ チェック エラーの原因を見つけ、次のことを識別するのに役立ちます。

どのエンドポイントがポスチャに成功し、どのエンドポイントが成功しなかったか。

エンドポイントがポスチャに失敗した場合、ポスチャ プロセスのどの手順が失敗したか。

どの必須および任意のチェックが成功および失敗したか。

ユーザ名、MAC アドレス、ポスチャ ステータスなどのパラメータに基づいて要求をフィルタリングすることによって、この情報を特定します。

ポスチャ インシデントをトラブルシューティングするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)] を選択します。

ステップ 2 次のパラメータを指定します。

[ユーザ名(Username)]:フィルタリングするユーザ名を入力します。

[MAC アドレス(MAC Address)]:フィルタリングする MAC アドレスを xx-xx-xx-xx-xx-xx の形式で入力します。

[ポスチャ ステータス(Posture Status)]:次の認証ステータス フィルタのいずれかを選択します。

任意(Any)

準拠(Compliant)

非準拠(Noncompliant)

不明(Unknown)

[障害理由(Failure Reason)]:障害理由を入力するか、または [選択(Select)] をクリックしてリストから障害理由を選択します。

[時間範囲(Time Range)]:ドロップダウン リストから時間範囲フィルタを選択します。


) [カスタム(Custom)] 時間範囲を選択した場合は、[開始日時(Start Date-Time)] と [終了日時(End Date-Time)] を指定します。


[取得レコード数(Fetch Number of Records)]:一度に表示するレコード数をドロップダウン リストから選択します。[10]、[20]、[50]、[100]、[200]、または [500] です。

ステップ 3 [検索(Search)] をクリックします。

検索結果がウィンドウに表示され、各イベントの時間、ステータス、ユーザ名、MAC アドレス、および障害理由が表示されます。

ステップ 4 説明を見つけ、イベントの解決策を決定するには、リストでイベントを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「出力 SGACL ポリシー(Egress SGACL Policy)」を参照してください。

TCP ダンプによるトラブルシューティング

tcpdump ユーティリティは、特定のブール演算式に一致するネットワーク インターフェイス上のパケットの内容をモニタします。tcpdump ユーティリティを使用して、ネットワーク上の問題をトラブルシューティングできます。Cisco ISE トラブルシューティング診断ツールには、 このユーティリティ 用の直観的なユーザ インターフェイスがあります。

この項では、TCP ダンプ機能を Cisco ISE ダッシュボードから直接使用する方法について説明します。次のトピックを扱います。

「パケットのモニタリングおよび保存」

「ダンプ ファイルの保存」


警告 TCP ダンプを起動すると、以前のダンプ ファイルは自動的に削除されます。以前のダンプ ファイルを保存するには、新しい TCP ダンプ セッションを開始する前に、「ダンプ ファイルの保存」を実行します。


パケットのモニタリングおよび保存

この手順では、ネットワークの問題をトラブルシューティングするために、TCP ダンプのオプションを設定し、ネットワーク トラフィックからデータを収集する方法を示します。

ネットワーク上のパケットをモニタするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] を選択します。

ステップ 2 モニタする [ネットワーク インターフェイス(Network Interface)] をドロップダウン リストから選択します。

これは、ネットワーク トラフィックがモニタ(スニフィング)されるインターフェイスです。

ステップ 3 オプション ボタンをクリックして、[無差別モード(Promiscuous Mode)] を [オン(On)] または [オフ(Off)] に設定します。デフォルトは [オン(On)] です。

無差別モードは、デフォルトのパケット スニッフィング モードです。[オン(On)] のままにしておくことを推奨します。このモードでは、ネットワーク インターフェイスによってすべてのトラフィックがシステムの CPU に渡されます。

ステップ 4 [フィルタ(Filter)] テキスト ボックスに、フィルタリングのもとになるブール演算式を入力します。

次のような、標準的な tcpdump フィルタ式がサポートされています。

host 10.0.2.1 and port 1812

ステップ 5 [開始(Start)] をクリックして、ネットワークのモニタリングを開始します。


) ユーティリティを開始すると、[進行中(In Progress)] ステータスが表示されます。ユーザ インターフェイスで別のページに移動し、後で戻ることができます。[進行中(In Progress)] ステータスにはこれまでに生成されたバイト数が表示され、ステータスはプロセスが終了するかプロセスを手動で停止するまで 30 秒ごとに更新されます。


ファイルの日付、時刻、形式、およびサイズがページの下部に表示されます。

ステップ 6 十分な量のデータが収集された時点で [停止(Stop)] をクリックするか、最大パケット数(500,000)が累積されてプロセスが自動的に終了するまで待機します。


 


) tcpdump を表示するには、管理 ISE ノードに Adobe Flash Player がインストールされている必要があります。


次の手順

「ダンプ ファイルの保存」

トラブルシューティング項目

「Policy Service ISE ノードがトラフィックを渡していない」

ダンプ ファイルの保存

この手順では、トラブルシューティングに使用できるダンプ ファイルを保存する方法を示します。

前提条件

「パケットのモニタリングおよび保存」を正常に完了している必要があります。

以前のダンプ ファイルをダウンロードするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] を選択します。

ステップ 2 [形式(Format)] をドロップダウン リストから選択します。[可読(Human Readable)] がデフォルトです。

ステップ 3 [ダウンロード(Download)] をクリックし、必要な場所に移動して、[保存(Save)] をクリックします。

ステップ 4 最初に以前のダンプ ファイルを保存しないで除去するには、[削除(Delete)] をクリックします。

図 24-16 TCP ダンプ(TCP Dump)

 

 


 


) Cisco ISE コマンドライン インターフェイス(CLI)から tcpdump にアクセスすることもできます。詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。


SGACL ポリシーの比較

セキュリティ グループ アクセス ソリューションが有効なデバイスの場合、Cisco ISE で設定された出力ポリシー マトリクスに基づいて、送信元 SGT と宛先 SGT のペアごとに SGACL が割り当てられます。出力ポリシー診断ツールでは、次のプロセスを使用して比較が行われます。

1. 指定した IP アドレスを使用してデバイスに接続し、送信元 SGT と宛先 SGT の各ペアに対するアクセス コントロール リスト(ACL)を取得します。

2. Cisco ISE に設定された出力ポリシーをチェックし、送信元 SGT と宛先 SGT の各ペアに対する ACL を取得します。

3. ネットワーク デバイスから取得された SGACL ポリシーと、Cisco ISE から取得された SGACL ポリシーを比較します。

4. ポリシーが一致しない送信元 SGT と宛先 SGT のペアを表示します。また、追加情報として、一致するエントリも表示します。

[出力(SGACL)ポリシー(Egress (SGACL) Policy)] ツールを使用して SGACL ポリシーを比較するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [セキュリティ グループ アクセス ツール(Security Group Access Tools)] > [出力(SGACL)ポリシー(Egress (SGACL) Policy)] を選択します。

ステップ 2 SGACL ポリシーを比較するセキュリティ グループ アクセス デバイスのネットワーク デバイス IP アドレスを入力します。

ステップ 3 [実行(Run)] をクリックします。[進捗詳細(Progress Details)] ページが表示され、追加入力が求められます。

ステップ 4 [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。

ステップ 5 [送信(Submit)] をクリックします。[進捗詳細(Progress Details)] ページが表示され、結果概要が示されます。

ステップ 6 [結果概要の表示(Show Results Summary)] をクリックして、診断および推奨される解決手順を表示します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「出力 SGACL ポリシー(Egress SGACL Policy)」を参照してください。

SXP-IP マッピングの比較

セキュリティ グループ アクセス デバイスは、それぞれのピアと通信して、その SGT 値を取得します。セキュリティ交換プロトコル(SXP)-IP Mappings 診断ツールは、指定した IP アドレスのデバイスに接続して、ピア デバイスの IP アドレスおよび SGT 値をリストします。デバイスのピアを 1 つ以上選択する必要があります。このツールは、選択した各ピアに接続し、その SGT 値を取得して、これらの値が以前に取得した値と同じであるかどうかを確認します。

デバイスとそのピアとの間で SXP-IP マッピングを比較するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [セキュリティ グループ アクセス ツール(Security Group Access Tools)] > [SXP-IP マッピング(SXP-IP Mappings)] を選択します。

ステップ 2 ネットワーク デバイスのネットワーク デバイス IP アドレスを入力し、[選択(Select)] をクリックします。

ステップ 3 [実行(Run)] をクリックし、[ユーザ入力必須(User Input Required)] をクリックして、必要なフィールドを変更します。

Expert Troubleshooter によって、ネットワーク デバイスからセキュリティ グループ アクセス SXP 接続が取得されて、ピア SXP デバイスを選択するように再度要求するプロンプトが表示されます。

ステップ 4 [ユーザ入力必須(User Input Required)] をクリックし、必要な情報を入力します。

ステップ 5 SXP マッピングを比較するピア SXP デバイスのチェックボックスをオンにして、共通接続パラメータを入力します。

ステップ 6 [送信(Submit)] をクリックします。[進捗詳細(Progress Details)] ページが表示され、結果概要が示されます。

ステップ 7 [結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。[結果概要(Results Summary)] ページが表示されます。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「SXP-IP マッピング(SXP-IP Mappings)」を参照してください。

IP-SGT ペアの比較

セキュリティ グループ アクセス ソリューションが有効なデバイスの場合、RADIUS 認証によって各ユーザに SGT 値が割り当てられます。IP User SGT 診断ツールは、(指定した IP アドレスの)ネットワーク デバイスに接続して、次のタスクを実行します。

1. ネットワーク デバイス上のすべての IP-SGT 割り当てのリストを取得します。

2. 各 IP-SGT ペアの RADIUS 認証レコードおよびアカウンティング レコードをチェックして、割り当てられた最新のユーザ IP-SGT 値を確認します。

3. IP-SGT ペアを表形式で表示して、割り当てられた最新の SGT 値とデバイス上の SGT 値が同じであるかどうかを特定します。

デバイスの IP-SGT 値と割り当てられた最新の SGT を比較するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [セキュリティ グループ アクセス ツール(Security Group Access Tools)] > [IP User SGT] を選択します。

ステップ 2 次を指定します。

[ネットワーク デバイス IP(Network Device IP)]: ネットワーク デバイスの IP アドレスを入力します。

[ユーザ名(Username)]:レコードをトラブルシューティングするユーザのユーザ名を入力します。

[ユーザ IP アドレス(User IP Address)]:レコードをトラブルシューティングするユーザの IP アドレスを入力します。

[SGT]:ユーザ SGT 値を入力します。

ステップ 3 [実行(Run)] をクリックします。追加入力が要求されます。

ステップ 4 [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。

ステップ 5 [結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「IP User SGT」を参照してください。

SGT デバイスの比較

セキュリティ グループ アクセス ソリューションが有効なデバイスの場合、RADIUS 認証によって各ネットワーク デバイスに SGT 値が割り当てられます。デバイス SGT 診断ツールは、(指定した IP アドレスの)ネットワーク デバイスに接続して、次のタスクを実行します。

1. ネットワーク デバイスの SGT 値を取得します。

2. RADIUS 認証レコードをチェックして、割り当てられた最新の SGT 値を特定します。

3. デバイス SGT ペアを表形式で表示して、SGT 値が同じであるかどうかを特定します。

デバイス SGT と割り当てられた最新の SGT 値を比較するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [セキュリティ グループ アクセス ツール(Security Group Access Tools)] > [デバイス SGT(Device SGT)] を選択します。

ステップ 2 次を指定します。

[ネットワーク デバイス IP(Network Device IPs)]:Cisco ISE によって割り当てられたデバイス SGT と比較するデバイス SGT のネットワーク デバイス IP アドレスをカンマで区切って入力します。

[共通接続パラメータを使用(Use Common Connection Parameters)]:次の共通接続パラメータを比較に使用するには、このチェックボックスをオンにします。

[ユーザ名(Username)]:ネットワーク デバイスのユーザ名を入力します。

[パスワード(Password)]:パスワードを入力します。

[プロトコル(Protocol)]:[プロトコル(Protocol)] ドロップダウン リストからプロトコルを選択します。有効なオプションは、[Telnet] および [SSHv2] です。[Telnet] がデフォルトのオプションです。[SSHv2] を選択した場合は、ネットワーク デバイスで SSH 接続を有効にする必要があります。

[ポート(Port)]:ポート番号を入力します。デフォルトのポート番号は、Telnet は 23、SSH は 22 です。

[有効パスワード(Enable Password)]:有効パスワードがログイン パスワードと異なる場合に入力します。

[ログイン パスワードと同じ(Same as login password)]:有効パスワードがログイン パスワードと同じ場合は、このチェックボックスをオンにします。

ステップ 3 [実行(Run)] をクリックします。

ステップ 4 [結果概要の表示(Show Results Summary)] をクリックして、デバイス SGT 比較の結果を表示します。

[結果概要(Results Summary)] ページが表示されて、診断、解決策、およびトラブルシューティング概要が表示されます。


 

詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「Device SGT」を参照してください。

その他のトラブルシューティング情報の入手

Cisco ISE を使用すると、管理ユーザ インターフェイスから、サポートおよびトラブルシューティング情報をダウンロードできます。サポート バンドルを使用して、Cisco Technical Assistance Center(TAC)が Cisco ISE の問題をトラブルシューティングするための診断情報を準備できます。


) サポート バンドルおよびデバッグ ログにより、高度なトラブルシューティング情報が Cisco TAC に提供されます。サポート バンドルおよびデバッグ ログは解釈が困難です。Cisco ISE で提供されるさまざまなレポートおよびトラブルシューティング ツールを使用して、ネットワークで直面している問題を診断およびトラブルシューティングできます。詳細については、「ネットワークのトラブルシューティング」を参照してください。


この項では、次のトピックを扱います。

「サポート バンドルのダウンロード」

「デバッグ ログのダウンロード」

サポート バンドルのダウンロード

サポート バンドルは、単純な tar.gpg ファイルとしてローカル コンピュータにダウンロードできます。サポート バンドルは、日付とタイム スタンプを使用して、ise-support-bundle_ise-support-bundle- mm - dd - yyyy - hh - mm . tar . gpg という形式で名前が付けられています。ブラウザに、適切な場所にサポート バンドルを保存するように要求するプロンプトが表示されます。

サポート バンドルに含めるログを設定できます。たとえば、特定のサービスのログをデバッグ ログに含めるように設定できます。詳細については、「デバッグ ログ設定について」を参照してください。

ダウンロードできるログは、次のように分類されます。

完全な設定データベース:Cisco ISE 設定データベースは、人間が読み取れる XML 形式でダウンロードされます。問題をトラブルシューティングしようとするときに、このデータベース設定を別の Cisco ISE ノードにインポートして、シナリオを再現できます。

デバッグ ログ:ブートストラップ、アプリケーション設定、ランタイム、展開、モニタリングおよびレポート、および公開キー インフラストラクチャ(PKI)の情報を取得します。

デバッグ ログによって、特定の ISE コンポーネントのトラブルシューティング情報が提供されます。詳細については、「デバッグ ログのダウンロード」を参照してください。デバッグ ログを有効にするには、「ロギング」を参照してください。デバッグ ログを有効にしない場合、情報メッセージ(INFO)はすべてサポート バンドルに含まれます。

ローカル ログ:Cisco ISE で実行されるさまざまなプロセスからの syslog メッセージが含まれています。

コア ファイル:クラッシュの原因の特定に役立つ重要な情報が含まれています。これらのログは、アプリケーションがクラッシュし、アプリケーションにヒープ ダンプが含まれている場合に作成されます。

モニタリングおよびレポート ログ:アラートおよびレポートに関する情報が含まれています。

システム ログ:Cisco Application Deployment Engine(ADE)関連の情報が含まれています。

これらのログは、Cisco ISE CLI から backup-logs コマンドを使用してダウンロードできます。詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


) インライン ポスチャ ノードの場合、Cisco ISE ユーザ インターフェイスからサポート バンドルをダウンロードできません。Cisco ISE CLI から backup-logs コマンドを使用して、インライン ポスチャ ノードのログをダウンロードする必要があります。


これらのログを管理ユーザ インターフェイスからダウンロードすることを選択した場合、次の操作を実行できます。

デバッグ ログやシステム ログなどのログ タイプに基づいて、ログのサブセットのみをダウンロードします。

選択したログ タイプの最新の「 n 」個のファイルのみをダウンロードします。このオプションによって、サポート バンドルのサイズとダウンロードにかかる時間を制御できます。

モニタリング ログによって、モニタリング、レポート、およびトラブルシューティング機能に関する情報が提供されます。

前提条件:

次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者の権限が必要です。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

サポート バンドルをダウンロードするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンス ノード リスト(Appliance node list)] を選択します。

ステップ 2 サポート バンドルをダウンロードするノードをクリックします。

[サポート バンドル(Support Bundle)] タブが表示されます(図 24-17 を参照)。サポート バンドルには、このタブで選択するパラメータが読み込まれます。デバッグ ログ固有の手順については、「デバッグ ログのダウンロード」を参照してください。

図 24-17 ログのダウンロードのパラメータ

 

 

ステップ 3 ダウンロードするログの隣のチェックボックスをオンにし、必要に応じて次のいずれかを指定します。

[すべて(All)] を指定し、選択したログ ファイルをすべて含める

[最新を含める(Include most recent)] を指定し、含めるファイル数を入力する

[過去のファイルを含める(Include files from last)] を指定し、日数を入力する

すべてのログを含めると、サポート バンドルが大きくなりすぎて、ダウンロードに時間がかかります。ダウンロード プロセスを最適化するには、最新の n ファイルのみをダウンロードするように選択します。

ステップ 4 サポート バンドルの暗号キーを入力し、暗号キーを再度入力します。

ステップ 5 [サポート バンドルの作成(Create Support Bundle)] をクリックします。

ステップ 6 [ダウンロード(Download)] をクリックして、新しく作成されたサポート バンドルをダウンロードします。

サポート バンドルは、アプリケーション ブラウザを実行しているクライアント システムにダウンロードされる tar.gpg ファイルです。


 

次の手順:

特定のコンポーネントのデバッグ ログを入手する方法については、「デバッグ ログのダウンロード」を参照してください。

Cisco ISE のサポート バンドル

tar.gpg ファイルの内容を .tar ファイルとして展開し、.tar ファイルを untar してクライアント システムでサポート フォルダを表示する必要があります。サポート フォルダは、Cisco ISE の完全なデータベース設定ログ、システム ログ、デバッグ ログ、ローカル ログ、モニタリングおよびレポート ログのサブ フォルダを含む親フォルダです。

サポート フォルダには、次のフォルダが含まれています。

ade:[システム ログを含める(Include system logs)] オプションによって、サポート バンドルのこのフォルダに ADE.log ファイルが作成されます

apache_conf:[デバッグ ログを含める(Include debug logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

apache_logs:[システム ログを含める(Include system logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

config:[デバッグ ログを含める(Include debug logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

core:[コア ファイルを含める(Include core files)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

db:サポート バンドルに空のフォルダとして存在します

dbexport:[完全な設定データベースを含める(Include full configuration database)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

heapdumps:[デバッグ ログを含める(Include debug logs)] および [システム ログを含める(Include system logs)] オプションによって、サポート バンドルのこのフォルダにログが作成されます

logs:[デバッグ ログを含める(Include debug logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます。ipep および localStore ログは含まれません。[ローカル ログを含める(Include local logs)] および [モニタリングおよびレポート ログを含める(Include monitoring and reporting logs)] オプションによって、サポート バンドルに localStore ログが作成されます。[システム ログを含める(Include system logs)] オプションによって、logs\ipep\log フォルダに clicklog.tar.gz が作成されます。

mntreport:[モニタリングおよびレポート ログを含める(Include monitoring and reporting logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

prrt_config:[デバッグ ログを含める(Include debug logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

psc_config:[デバッグ ログを含める(Include debug logs)] オプションによって、サポート バンドルのこのフォルダにファイルが作成されます

showtech:[デバッグ ログを含める(Include debug logs)]、[ローカル ログを含める(Include local logs)]、および [モニタリングおよびレポート ログを含める(Include monitoring and reporting logs)] オプションによって、サポート バンドルのこのフォルダにログが作成されます

 

表 24-2 Cisco ISE のサポート バンドル

フォルダ名
ファイル

ade

ADE.log

apache_conf

admin.xml

arpserver.xml

backupserver.xml

catalina.policy

catalina.properties

context.xml

guestserver.xml

localapp.xml

logging.properties

mnt.xml

mntreport.xml

nserver.xml

pkcs11.conf

rootkeystore

server.xml

server-https.xml

sponsorserver.xml

web.xml

apache_logs

admin.yyyy-mm-dd.log

catalina.yyyy-mm-dd.log(デバッグ ログ)

catalina.out(デバッグ ログ)

host-manager.yyyy-mm-dd.log

localhost.yyyy-mm-dd.log

manager.yyyy-mm-dd.log

config(デバッグ ログ)

arp.h2.db

arp.lock.db

cpmenv.csh

cpmenv.sh

crontab-oracle

java.security.fips

java.security.nonfips

monitrc

monitrc-base

monitrc-mnt

node-config.rc

pkcs11.conf.fips

pkcs11.conf.nonfips

syslog-entries.txt

core

-

db

-

dbexport

ise-dbconfig-20.txt

heapdumps

java_pid_supportxxxxxxxxxxxxxxxxxxx.hprof

logs

-

ad_agent.log(デバッグ ログ)

deployment.log(デバッグ ログ)

EnableMnTDBRep.log(デバッグ ログ)

isebootstrap-yyyymmdd-xxxxxx.log(デバッグ ログ)

ise-edf.log(デバッグ ログ)

ise-prrt.log(デバッグ ログ)

ise-psc.log(デバッグ ログ)

ise-tracking.log(デバッグ ログ)

mnt-alarm.out(デバッグ ログ)

mnt-collector.out(デバッグ ログ)

mnt-decap.out(デバッグ ログ)

monit.log(デバッグ ログ)

pki.log(デバッグ ログ)

profiler.log(デバッグ ログ)

prrt.log(デバッグ ログ)

ttconnectionresults.out

ttcreateschema.log

isedbupgrade.log

patchinstall.log

logs\ipep\etc\ha.d

harc

README.config

shellfuncs

logs\ipep\logs

clicklog.tar.gz

logs\ipep\var\log

-

logs\localstore

iseLocalStore.log(デバッグ ログ)

logs\oracle

-

logs\timesten

tterrors.log

ttmesg.log

mntreport

reportService.0.hostname.2012Apr11_05_24_13_Pacific_Daylight_Time.0.log

prrt_config

messagecatalog_en_US.properties

RuntimeDebugLog.config

RuntimeDebugLogDefault.config

RuntimeDebugLogEnable.config

prrt_config\logforward

FilterConfig.txt

LogForwardDebugLog.config

psc_config

access-map.xml

antisamy-1.4.3.xml

db.properties

db-priming.properties

db-profiler.properties

log4j.pdp.xml

log4j.xml

pdp_hb_config.xml

showtech

showtech.out

デバッグ ログのダウンロード

デバッグ ログによって、さまざまな Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。問題を報告しているときに、ISE でこれらのデバッグ ログを有効にして、問題の診断と解決のためにこれらのログを送信するよう求められる場合があります。

デバッグ ログの取得は、次の 2 つのステップからなるプロセスです。

1. [デバッグ ログの設定(Debug Log Configuration)] ページで、デバッグ ログを取得するコンポーネントを設定します。さまざまなコンポーネントのデバッグ ログを設定するには、「デバッグ ログ設定について」および「デバッグ ログ レベルの設定」を参照してください。

表 24-3 に、コンポーネントと生成される対応するデバッグ ログのリストを示します。

2. デバッグ ログをダウンロードします。

 

表 24-3 デバッグ ログの設定:コンポーネントと対応するデバッグ ログ

コンポーネント
デバッグ ログ

runtime-AAA

prrt.log

runtime-config

prrt.log

runtime-logging

prrt.log

NotificationTracker

ise-tracking.log

ReplicationTracker

ise-tracking.log

CacheTracker

ise-tracking.log

pep-auth-manager-test

ise-psc.log

net-securent

ise-psc.log

posture

ise-psc.log

provisioning

ise-psc.log

swiss

ise-psc.log

client

ise-psc.log

prrt-JNI

ise-prrt.log

profiler

profiler.log

cisco-mnt

ise-psc.log

guest

ise-psc.log

guestportal

ise-psc.log

sponsorportal

ise-psc.log

guestauth

ise-psc.log

epm-pap

ise-psc.log

epm-pdp

ise-psc.log

epm-pip

ise-psc.log

epm-pap-api.services

ise-psc.log

org-apache

ise-psc.log

org-apache-digester

ise-psc.log

org-displaytag

ise-psc.log

org-apache-cxf

ise-psc.log

identity-store-AD

ise-psc.log

mnt-collector

mnt-collector.log

mnt-alert

mnt-alert.log

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

デバッグ ログをダウンロードするには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンス ノード リスト(Appliance node list)] を選択します。

ステップ 2 デバッグ ログをダウンロードするノードをクリックします。

[サポート バンドルおよびデバッグ ログ(Support Bundle and Debug Logs)] ページが表示されます。

ステップ 3 [デバッグ ログ(Debug Logs)] タブをクリックします。

デバッグ ログ タイプとデバッグ ログのリストが表示されます。このリストは、デバッグ ログの設定に基づいています。詳細については、「デバッグ ログ設定について」を参照してください。

ステップ 4 ダウンロードするログ ファイルをクリックし、クライアント ブラウザを実行しているシステムに保存します。

必要に応じて、このプロセスを繰り返して他のログ ファイルをダウンロードできます。次に示すのは、[デバッグ ログ(Debug Logs)] ページからダウンロードできるその他のデバッグ ログです。

isebootstrap.log:ブートストラップ ログ メッセージを提供します

monit.log:ウォッチドッグ メッセージを提供します

pki.log:サードパーティの暗号ライブラリ ログを提供します

iseLocalStore.log:ローカル ストア ファイルに関するログを提供します

ad_agent.log:Microsoft Active Directory サードパーティ ライブラリ ログを提供します

catalina.log:サードパーティ ログを提供します


 

モニタリング管理

モニタリング機能によって利用されるデータ レートおよびデータ量には、これらの目的専用のノード上に別のデータベースが必要です。

ポリシー サービスと同様に、モニタリングには専用のデータベースがあり、この項で説明するトピックのようなメンテナンス タスクを管理者が実行する必要があります。

「モニタリング データベースのバックアップと復元」

「ログ収集の表示」

「電子メール設定の指定」

「システム アラーム設定の指定」

「アラーム syslog ターゲットの設定」

モニタリング データベースのバックアップと復元

モニタリング機能では、大量のデータが処理されます。時間が経つにつれ、ノードのパフォーマンスと効率は、そのデータをどう管理するかによって変わってきます。効率を高めるために、データを定期的にバックアップして、それをリモートのリポジトリに転送することを推奨します。このタスクは、自動バックアップをスケジュールすることによって自動化できます。


) セカンダリ モニタリング ISE ノードを登録している場合は、最初にプライマリ モニタリング ISE ノードをバックアップしてから、データを新しいセカンダリ モニタリング ISE ノードに復元することを推奨します。これにより、新しい変更が複製されると、プライマリ モニタリング ISE ノードの履歴が新しいセカンダリ ノードと同期されます。詳細については、「オンデマンド バックアップの実行」および「モニタリング データベースの復元」を参照してください。


モニタリング データベースのサイズにより、バックアップ プロセスが完了するまでに時間がかかる可能性があります。時間を短縮するために、データベースの初期のフル バックアップを完了した後は、差分バックアップを実行できます。推奨ステップである、バックアップ プロセス中に不要なデータを消去することによって、データはデータベースから完全に削除されます。これは自動プロセスとして設定できます。

消去プロセスの前後 1.5 時間は、(オンデマンドおよびスケジュールで)モニタリング データベースをバックアップまたは復元できません。消去プロセスは午前 4 時(0400)に開始されます。午前 2:30(0230)と午前 5:30(0530)の間は、モニタリング データベースをバックアップまたは復元できません。


警告 スケジュール バックアップと消去を冗長なモニタリング ISE ノード ペアについて正しく動作させるには、プライマリ ノードとセカンダリ ノードの両方について同じリポジトリを作成および指定する必要があります。リポジトリは、プライマリ ノードとセカンダリ ノードの間で自動的には同期されません。詳細については、「リポジトリの設定」を参照してください。


この項では、効果的にモニタリング データベースを管理し、ディスク領域を最適化する方法について説明します。次のトピックを扱います。

「データ消去の設定」

「フル バックアップおよび差分バックアップのスケジューリング」

「オンデマンド バックアップの実行」

「モニタリング データベースの復元」


) 各管理者アカウントには、1 つ以上の管理ロールが割り当てられています。アカウントに割り当てられているロールに応じて、この項で説明されているオプションを表示または実行できない場合や、手順を実行できない場合があります。詳細については、「ロールおよび管理者グループの影響について」を参照してください。


データ消去の設定

消去プロセスでは、次のオプションを設定することによって、モニタリング データベースのサイズを管理できます。

[ディスク領域のパーセンテージ(Percentage of Disk Space)]:モニタリング データベースの使用率しきい値を、使用済みディスク領域の合計のパーセンテージ(%)として指定します。ユーザが設定可能なオプションのデフォルトは 80% です。最大許容値は 100% です。

消去操作がトリガーされたときに、実際に使用されているデータベース ディスク領域が、設定したしきい値を超えている場合、(この項で説明する [最大データ保持期間(Maximum Stored Data Period)] フィールドで指定した)データ保持期間よりも前のすべてのデータが、消去操作によってモニタリング データベース テーブルから削除されます。

[最大データ保持期間(Maximum Stored Data Period)]:消去時にデータを保持する月数を指定します。デフォルトは 3 ヵ月間です。この値は、消去用のディスク領域使用率しきい値([ディスク領域のパーセンテージ(Percentage of Disk Space)])に達したときに使用されます。


) このオプションでは、各月は 30 日間です。デフォルトの 3 ヵ月は 90 日間です。


[データ リポジトリ(Data Repository)]:消去前のデータのバックアップ先のリポジトリを指定します。ドロップダウン リストからリポジトリを選択します。リポジトリを指定しない場合、データはバックアップされずに消去されます。リポジトリを指定する方法の詳細については、「リポジトリの設定」を参照してください。

モニタリング データベースの消去の条件およびルール

消去プロセスは、24 時間ごとに午前 4 時に実行されます。

消去は常に、データベースの使用済みディスク領域のパーセンテージに基づきます。使用済みデータベース領域がユーザ指定の許可パーセンテージ(デフォルトは 80% で、ユーザ設定可能)以上の場合にのみ、消去プロセスによってテーブルの消去が開始されます。それ以外の場合は、消去プロセスはスキップされます。

モニタリング データベースのディスク使用率がしきい値設定の 95% を超えた場合、データベース サイズが大きすぎることを示す情報(INFO)アラームが生成されます。

モニタリング データベースのディスク使用率が 100% を超えるか、しきい値設定を超えた場合、バックアップが実行されます。データ保持期間設定(デフォルトは 1 ヵ月を 30 日として 3 ヵ月間(90 日))よりも古いモニタリング データは、データベースから削除されます。消去の完了後に情報(INFO)アラームが生成されます。

消去プロセスが実行され、[操作(Operations)] > [レポート(Reports)] > [システム(System)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [履歴の消去(Purging History)] を選択して表示できるステータス履歴レポートが作成されます。消去の完了時に情報(INFO)アラームが生成されます。


) リポジトリを指定しない場合、データはバックアップされません。


モニタリング データベースのディスク使用率がしきい値設定の 125% を超えた場合、バックアップは実行されません。データ保持期間設定よりも古いデータは、自動的にデータベースから削除されます。

消去プロセスが実行され、[操作(Operations)] > [レポート(Reports)] > [システム(System)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [履歴の消去(Purging History)] を選択して表示できるステータス履歴レポートが作成されます。消去の完了時に情報(INFO)アラームが生成されます。

プライマリ モニタリング ISE ノードとセカンダリ モニタリング ISE ノードの両方でバックアップとデータ消去用のリポジトリを設定し、それぞれに同じリポジトリを使用する必要があります。これは、バックアップおよび消去機能を正しく動作させるために重要です。消去は冗長ペアのプライマリ ノードとセカンダリ ノードの両方で実行され、リポジトリはノード間で自動的には同期されません。

たとえば、プライマリ ノードでバックアップおよび消去に 2 つのリポジトリが使用されている場合、セカンダリ ノードに同じリポジトリを指定する必要があります。詳細については、「リポジトリの設定」および「モニタリング データベースのバックアップと復元」を参照してください。

Cisco ISE ノードに管理ペルソナおよびモニタリング ペルソナがある場合(スタンドアロン展開または分散展開)、スケジュール バックアップおよび復元は管理データとモニタリング データの両方に関連します。

専用のモニタリング ISE ノードがある分散環境では、スケジュール バックアップにモニタリングと管理の両方の内容が含まれます。ただし、管理 ISE ノードはネットワーク上でリモートであるため、モニタリング ISE ノードからバックアップされる管理データは古い可能性があります。

このため、専用のモニタリング ISE ノードの復元が完了した後で、モニタリング ISE ノードと管理 ISE ノードを同期することを推奨します。

オンデマンド バックアップでは、モニタリング データのみがバックアップされます。

消去プロセスの前後 1.5 時間は、オンデマンドまたはスケジュール バックアップを実行できません。

消去中に取られるバックアップには、スケジュール バックアップと同じ暗号キーが使用されます。

不要なデータの消去

消去は、データベースの使用済みディスク領域のパーセンテージに基づきます。データベースの使用済みディスク領域がしきい値(デフォルトは 80%)以上の場合、消去プロセスが開始されます。消去では、処理の前にモニタリング データベースのディスク領域制限が常にチェックされます。

最大格納データ期間は、カレンダー月ではなく、30 日単位の月に基づきます。たとえば、サーバの日付が 2011 年 4 月 16 日であり、最大格納データ期間が 1 ヵ月に設定されている場合、2011 年 4 月 16 日にトリガーされた消去では、2011 年 3 月 17 日から 2011 年 4 月 15 日までのデータが保持されます。

消去プロセスは、1 日に一度、午前 4:00 にトリガーされます(設定不可能なデフォルト)。ディスク領域使用率が指定した制限以上の場合、消去がバックグラウンドで実行されます。制限に達していない場合、消去はスキップされます。


警告 スケジュール バックアップと消去をモニタリング冗長ペアのノードで正しく動作させるには、CLI を使用して、プライマリ ノードとセカンダリ ノードの両方で同じリポジトリを設定する必要があります。リポジトリは、2 つのノード間で自動的には同期されません。


前提条件

消去前のデータのバックアップ先のデータ リポジトリを設定します。モニタリング ISE ノードのデータ リポジトリは、システムのコマンドライン インターフェイス(CLI)で repository コマンドを使用して設定できます。CLI コマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。

データ消去を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [データ消去(Data Purging)] を選択します。

ステップ 2 ディスク領域の許容使用率をパーセント値で入力します。ディスク領域使用率が「モニタリング データベースの消去の条件およびルール」以上の場合、このしきい値によって消去がトリガーされます。

ステップ 3 ドロップダウン リストからデータ リポジトリを選択します。リポジトリを指定しない場合、バックアップは行われません。

ステップ 4 ドロップダウン リストから最大格納データ期間(月単位)を選択します。デフォルトは 3 ヵ月間です。


) このオプションでは、各月は 30 日間です。デフォルトの 3 ヵ月は 90 日間です。


ステップ 5 [送信(Submit)] をクリックします。

ステップ 6 履歴の消去レポートを表示して、データ消去が成功したかどうかを確認します。詳細については、「システム レポート」を参照してください。


 

次の手順

次のタスクのいずれかに進みます。

「フル バックアップおよび差分バックアップのスケジューリング」

「オンデマンド バックアップの実行」

フル バックアップおよび差分バックアップのスケジューリング

指定した日時に自動的に実行されるようにフル バックアップをスケジュールできます。差分バックアップのスケジューリングを開始する前に、データベースのフル バックアップを実行する必要があります。差分バックアップでは、最後のバックアップ以降に変更されたデータのみがバックアップされるため、時間とディスク領域を節約できます。


) 消去プロセスの前後 1.5 時間は、フル バックアップまたは差分バックアップをスケジュールできません(午前 2:30(0230)から午前 5:30(0530)の間)。また、フル バックアップと差分バックアップは、2 時間離してスケジュールする必要があります。



) Cisco ISE では、以前の Cisco ISE リリース(ISE 1.0、1.0.4、または 1.1)から新しい Cisco ISE リリース 1.1.1 へは、モニタリング データベースのオンデマンド フル バックアップの復元のみがサポートされています。Cisco ISE リリース間で、スケジュールされたフル バックアップまたは差分バックアップの復元はサポートされていません。


前提条件

いずれかの手順を開始する前に、「データ消去の設定」の説明に従って、消去オプションを正しく設定しておく必要があります。

フル バックアップのスケジューリング

デフォルトでは、スケジュールされた月次バックアップは月の最終日に、スケジュールされた週次バックアップは週の最終日に、スケジュールされた日次バックアップは指定した時刻に実行されます。

データベースのフル バックアップを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [スケジュール バックアップ(Scheduled Backup)] を選択します。

ステップ 2 [暗号キー(Encryption Key)] を入力します。このキーは、バックアップ ファイルの暗号化および解読に使用されます。

ステップ 3 [差分バックアップ(Incremental Backup)] オプション ボタンがオンに設定されていることを確認します。

ステップ 4 [モニタリング データベースのフル バックアップの設定(Configure Full Monitoring Database Backup)] のオプションを次のように指定します。

a. ドロップダウン リストからデータ リポジトリを選択します。

リポジトリを指定する方法の詳細については、「リポジトリの設定」を参照してください。

b. ドロップダウン リストから時、分、および AM または PM を選択して、バックアップを実行する時間をスケジュールします。

c. ドロップダウン リストからバックアップの頻度を選択します。バックアップを毎日、毎週、または毎月実行するかを決定します。

ステップ 5 [送信(Submit)] をクリックします。

ステップ 6 バックアップ履歴レポートを表示して、バックアップが成功したかどうかを確認します。詳細については、「システム レポート」を参照してください。

ステップ 7 バックアップが失敗した場合は、次のことを確認します。

他のジョブまたはバックアップが並行して実行されていないことを確認します。

設定したリポジトリの使用可能なディスク領域を確認します。

データベースのディスク使用量が 120 GB を超え、150 GB(合計データベース サイズ 120 GB の 125%)未満の場合、モニタリング機能は別の消去が実行されるまでバックアップの継続を待機する場合があります。

データベースのディスク使用量が 150 GB を超えている場合は、データベースのディスク使用量を 120 GB 未満に削減するために、バックアップが実行されたかどうかにかかわらず、消去が実行されます。

リポジトリが設定されているかどうかを確認します。


 

次の手順

「モニタリング データベースの復元」

差分バックアップのスケジューリング

差分バックアップでは、時間とディスク領域を節約でき、バックアップが実行される頻度と時間を設定できます。差分バックアップでは、データ更新が別の場所に格納されるため、差分バックアップを開始する前に初期のフル バックアップを実行することが重要です。


) 差分バックアップをスケジュールする前に、データベースのフル バックアップを実行します。差分バックアップ機能を無効にする場合は、差分バックアップに戻る前にフル バックアップを実行します。この注意事項を守ることで、すべてのデータは完全で最新になります。


前提条件

差分バックアップを実行しようとする前に、モニタリング データベースのフル バックアップを正常に実行しておく必要があります。詳細については、「フル バックアップのスケジューリング」または「オンデマンド バックアップの実行」を参照してください。

差分バックアップをスケジュールするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [スケジュール バックアップ(Scheduled Backup)] を選択します。

ステップ 2 [暗号キー(Encryption Key)] を入力します。このキーは、バックアップ ファイルの暗号化および解読に使用されます。

ステップ 3 [差分バックアップ(Incremental Backup)] オプション ボタンがオンに設定されていることを確認します。

ステップ 4 [モニタリング データベースの差分バックアップの設定(Configure Incremental Monitoring Database Backup)] のオプションを次のように指定します。

a. ドロップダウン リストからデータ リポジトリを選択します。

リポジトリを指定する方法の詳細については、「リポジトリの設定」を参照してください。

b. ドロップダウン リストから時、分、および AM または PM を選択して、バックアップを実行する時間をスケジュールします。

c. ドロップダウン リストからバックアップの頻度を選択します。バックアップを毎日、毎週、または毎月実行するかを決定します。

スケジュールされた月次バックアップは月の最終日に、スケジュールされた週次バックアップは週の最終日に、スケジュールされた日次バックアップは指定した時刻に実行されます。

ステップ 5 [送信(Submit)] をクリックします。

ステップ 6 バックアップ履歴レポートを表示して、バックアップが成功したかどうかを確認します。詳細については、「システム レポート」を参照してください。


 

次の手順

差分バックアップからデータを復元し、初期のフル バックアップを開始し、最新の差分バックアップを続行します。データの復元の詳細については、「モニタリング データベースの復元」を参照してください。

オンデマンド バックアップの実行

他のバックアップがすでに進行中でなければ、モニタリング データベースのフル バックアップをいつでもすぐに実行できます。別のバックアップ プロセスが実行中の場合は、それが完了するのを待機する必要があり、その後でオンデマンド バックアップを開始できます。


) オンデマンド バックアップでは、モニタリング データのみがバックアップされます。



) 消去プロセスの前後 1.5 時間は、オンデマンド バックアップを実行できません(午前 2:30(0230)から午前 5:30(0530)の間)。


前提条件

「不要なデータの消去」の説明に従って、データ消去を設定しておきます。

フル バックアップをすぐに生成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [オンデマンド フル バックアップ(Full Backup On Demand)] を選択します。

ステップ 2 ドロップダウン リストからデータ リポジトリを選択します。

リポジトリを指定しない場合、データは消去され、バックアップは実行されません。リポジトリを指定する方法の詳細については、「リポジトリの設定」を参照してください。

[暗号キー(Encryption Key)] を入力します。このキーは、バックアップ ファイルの暗号化および解読に使用されます。

ステップ 3 [すぐにバックアップ(Backup Now)] をクリックします。

ステップ 4 バックアップ履歴レポートを表示して、バックアップが成功したかどうかを確認します。詳細については、「システム レポート」を参照してください。


 

次の手順

「モニタリング データベースの復元」

モニタリング データベースの復元

データの復元機能を使用して、差分バックアップまたはフル バックアップからデータを復元できます。差分バックアップ データの復元を選択する場合、最初にフル データ バックアップが復元され、その後で後続のすべての差分バックアップが順番に復元されます。

モニタリング データベースを復元するプロセスは、展開のタイプによって異なります。次の項では、スタンドアロン展開および分散展開でモニタリング データベースを復元する方法について説明します。

スタンドアロン展開の復元

管理ペルソナとモニタリング ペルソナの両方が Cisco ISE ノード上で実行されているスタンドアロン展開では、モニタリング データベース バックアップの復元によって管理データベースも復元されます。詳細については、「スタンドアロン環境でのモニタリング バックアップの復元」を参照してください。

分散展開の復元

モニタリング バックアップの復元に、次の 2 つのシナリオを使用できます。

Cisco ISE ノードへのモニタリング バックアップと管理ペルソナおよびモニタリング ペルソナの復元。

Cisco ISE ノードへのモニタリング バックアップとモニタリング ペルソナのみの復元。

詳細については、「分散環境でのモニタリング バックアップの復元」を参照してください。


警告 データが取得されたノードとは別のノードにデータを復元しようとする場合、新しいノードを指すロギング ターゲット設定を設定する必要があります。これにより、モニタリング syslog が正しいノードに送信されるようになります。詳細については、「アラーム syslog ターゲットの設定」を参照してください。


スタンドアロン環境でのモニタリング バックアップの復元

モニタリング データベースをスタンドアロン ノードに復元するには、次の手順を使用します。

前提条件

次の手順を正常に実行している必要があります。

「データ消去の設定」

「フル バックアップおよび差分バックアップのスケジューリング」または「オンデマンド バックアップの実行」

差分バックアップおよびフル バックアップのデータを復元するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [データ管理(Data Management)] > [モニタリング ノード(Monitoring Node)] > [データの復元(Data Restore)] を選択します。

ステップ 2 差分バックアップまたはフル バックアップの名前をリストから選択します。

差分バックアップ ファイルを選択した場合、以前の差分バックアップがすべて、初期のフル バックアップとともに表示されます。

バックアップ時に使用した [暗号キー(Encryption Key)] を入力します。

ステップ 3 [復元(Restore)] をクリックします。


 

分散環境でのモニタリング バックアップの復元

分散環境でモニタリング バックアップを復元するには、この項で説明する手順を使用します。

前提条件

次の手順を正常に実行している必要があります。

「データ消去の設定」

「フル バックアップおよび差分バックアップのスケジューリング」または「オンデマンド バックアップの実行」

Cisco ISE ノードへモニタリング バックアップと管理ペルソナおよびモニタリング ペルソナを復元するには、次の手順を実行します。


ステップ 1 別の Cisco ISE ノードをプライマリ管理 ISE ノードとしてプロモートする準備を行います。そのためには、このノードを、バックアップする既存のプライマリ ノードと同期します。詳細については、「分散環境でのプライマリ ノードとセカンダリ ノードの同期」を参照してください。

これにより、プロモートする Cisco ISE ノードの設定は最新になります。

ステップ 2 新しく同期した管理 ISE ノードをプライマリ ステータスにプロモートします。詳細については、「プライマリ管理 Cisco ISE ノードの設定」を参照してください。

ステップ 3 バックアップされるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。詳細については、「ノード ペルソナとサービスの変更」を参照してください。


) 展開には少なくとも 1 つの動作するモニタリング ISE ノードが必要です。


ステップ 4 バックアップされるノードを登録解除します。詳細については、「展開からのノードの削除」を参照してください。

ステップ 5 「スタンドアロン環境でのモニタリング バックアップの復元」の説明に従って、モニタリング バックアップを新しく登録解除されたノードに復元します。

ステップ 6 新しく復元されたノードを現在の管理 ISE ノードに登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。

ステップ 7 新しく復元され、登録されたノードをプライマリ管理 ISE ノードとしてプロモートします。詳細については、「プライマリ管理 Cisco ISE ノードの設定」を参照してください。


 

Cisco ISE ノードへモニタリング バックアップとモニタリング ペルソナのみを復元するには、次の手順を実行します。


ステップ 1 復元されるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。詳細については、「ノード ペルソナとサービスの変更」を参照してください。


) 展開には少なくとも 1 つの動作するモニタリング ISE ノードが必要です。


ステップ 2 復元されるノードを登録解除します。詳細については、「展開からのノードの削除」を参照してください。


) 登録解除が完了するのを待機してから、復元に進みます。復元を続行する前に、ノードがスタンドアロン状態になっている必要があります。


ステップ 3 「スタンドアロン環境でのモニタリング バックアップの復元」の説明に従って、モニタリング バックアップを新しく登録解除されたノードに復元します。

ステップ 4 新しく復元されたノードを現在の管理 ISE ノードに登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。

ステップ 5 新しく復元され、登録されたノードをプライマリ管理 ISE ノードとしてプロモートします。詳細については、「プライマリ管理 Cisco ISE ノードの設定」を参照してください。


 

ログ収集の表示

モニタリング機能では、ログおよび設定データが収集され、データが格納され、収集されたデータが処理されてレポートおよびアラームが生成されます。展開内の任意のサーバから収集されたログの詳細を表示できます。詳細については、「ロギング」を参照してください。

電子メール設定の指定

モニタリング ログ メッセージで使用するために、電子メール サーバの電子メール アドレスおよびこのアドレスについて表示される名前を指定できます。詳細については、「電子メール設定の指定」を参照してください。


) アカウントに割り当てられているロールに応じて、次の手順で説明する操作を実行できる場合とできない場合があり、説明しているオプションが表示される場合と表示されない場合があります。詳細については、「ロールおよび管理者グループの影響について」を参照してください。


システム アラーム設定の指定

システム アラームとは、深刻な状況が発生したことを知らせるための機能です。システム アラームは標準であり、作成や削除はできません。システム アラームは有効および無効にすることができ、通知を受け取る方法を設定できます。アラーム通知を電子メールで、および syslog メッセージとして送信するかどうかを選択できます。

システム アラームの設定方法については、「システム アラーム設定の指定」を参照してください。


) syslog メッセージを正常に送信するには、syslog メッセージの宛先となるアラーム syslog ターゲットを設定する必要があります。 「アラーム syslog ターゲットの設定」 を参照してください。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「システム アラーム設定(System Alarm Settings)」を参照してください。

アラーム syslog ターゲットの設定

システム アラーム通知を syslog メッセージとして送信するようにモニタリング機能を設定した場合は、通知を受信する syslog ターゲットが必要です。アラーム syslog ターゲットは、アラーム syslog メッセージが送信される宛先です。

syslog メッセージを受信するには、syslog サーバとして設定されたシステムも必要です。アラーム syslog ターゲットを作成、編集、および削除できます。詳細については、「アラーム syslog ターゲットの設定」を参照してください。


警告 Cisco ISE モニタリングでは、logging source-interface 設定でネットワーク アクセス サーバ(NAS)の IP アドレスを使用する必要があります。Cisco ISE モニタリング用のスイッチを設定する方法については、「ISE モニタリング用の logging source-interface の設定」を参照してください。


詳細情報:

付録 A「ユーザ インターフェイスのリファレンス」 「アラーム Syslog ターゲット(Alarm Syslog Targets)」を参照してください。