ISEでの高度なモニタリングのためのGrafanaスタックについて
はじめに
このドキュメントでは、Identity Services Engine(ISE)3.3からSystem 360 Advanced MonitoringまでのGrafanaスタックコンポーネントの組み込みについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Identity Service Engine
- Grafanaスタック
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ISE 3.3
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
System 360には、MonitoringおよびLog Analytics機能が含まれています。
監視機能を使用すると、展開内のすべてのノードのアプリケーションとシステムの広範な統計情報、および主要業績評価指標(KPI)を一元化されたコンソールから監視できます。KPIは、ノード環境全体の健全性を把握するのに役立ちます。統計情報は、システム構成と使用率固有のデータを簡略化して表示します。
Log Analyticsは、エンドポイントの認証、許可、アカウンティング(AAA)の詳細な分析とsyslogデータのプロファイリングを行う柔軟な分析システムを提供します。また、Cisco ISEの健全性の概要とプロセスのステータスを分析することもできます。Cisco ISE Counters and Health Summaryレポートに類似したレポートを生成できます。
GrafanaとPrometheusのスタック
Grafanaスタックは、サードパーティのオープンソースソフトウェアスタックで、 特定の環境またはソフトウェアソリューション内で収集された統計情報およびカウンタをグラフィカルまたはテキストベースで表示します。これは、Grafana、Prometheus、およびNode Exporterの各コンポーネントによって適合されます。
- Grafana:Grafanaは、Prometheusと連携する可視化および分析ソフトウェアです。これにより、Prometheusデータベースに保存されているシステムメトリック、ログ、トレースに対するクエリ、視覚化、アラートのオン、調査が簡単に行えます。
- Prometheus:Prometheusは、ノードエクスポータによってキャッシュされた時系列データをプル、収集、および保存します。
- ノードエクスポータ:メモリ、ディスク、CPU使用率などのさまざまなマシンリソースメトリックを常に測定し、それらをキャッシュします。
Grafanaスタックフローチャート
これらのコンポーネントは、さまざまなタイプのシステムメトリックを収集、管理、および分析するための強力なスタックを形成します。これにより、システム管理者は、ネットワークソリューションのステータスとパフォーマンスをリアルタイムで分かりやすく可視化できます。
Grafanaスタックによる高度なISEモニタリング
- ISEは、展開全体を監視するために各ノードにGrafanaスタックの個別のインスタンスを持つ必要はありません。各ノードで実行されるスタックコンポーネントは、各ISEノードが持つロールによって異なります。
- 導入環境内の各ISEノードには、独自のノードエクスポータインスタンスがあります。
- ポリシー管理ノード(PAN)には、独立したGrafanaインスタンスとPrometheusインスタンスがあります。
- Prometheusは最大5 GBまたは7日前のデータを保存できます。これらのしきい値に達すると、最も古いデータが最初に消去されます。
- データの収集、保存、および処理は、MnTコレクタでは処理されません。つまり、この機能を有効にしても、ISEのリソース消費に大きな影響はありません。
- モニタリング機能はデフォルトで有効になっています。
ISEモニタリングのGrafanaフロー
モニタリングの有効化または無効化
モニタリングは、ISEでデフォルトで有効になっている機能です。ただし、この機能はいつでも有効または無効にできます。
Operations > System 360 > Settingsの順に移動し、Monitoringボタンをクリックして機能をEnableまたはDisableにします。
最後に、Saveボタンをクリックします。
モニタリングの有効化または無効化
ISEがGrafanaスタックを初期化またはシャットダウンするまでに約1分かかります。show app stat iseを使用してサービスのステータスを確認できます。
vimontes-ise-33-1/admin#show application status ise ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 81008 Database Server running 134 PROCESSES Application Server running 518925 Profiler Database running 86939 ISE Indexing Engine running 486865 AD Connector running 90383 M&T Session Database running 486437 M&T Log Processor running 2564857 Certificate Authority Service running 245113 EST Service running 583881 SXP Engine Service disabled TC-NAC Service disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ISE Messaging Service running 247148 ISE API Gateway Database Service running 488895 ISE API Gateway Service running 501344 ISE pxGrid Direct Service running 559099 Segmentation Policy Service disabled REST Auth Service disabled SSE Connector disabled Hermes (pxGrid Cloud Agent) disabled McTrust (Meraki Sync Service) disabled ISE Node Exporter running 91058 ISE Prometheus Service running 357191 ISE Grafana Service running 504738 ISE MNT LogAnalytics Elasticsearch running 359800 ISE Logstash Service running 362762 ISE Kibana Service running 365658 ISE Native IPSec Service running 507795 MFC Profiler running 574221
注:各ISEノードで実行されているペルソナによっては、モニタリングが有効になっていてもGrafanaスタックサービスの一部がnot runningステータスになることが予想されます。
ナビゲーションメニュー
Operations > System 360 > Monitoring の順に移動して、Grafana Navigationメニューにアクセスします。 ナビゲーションメニューは、ISEが表示するダッシュボードの左側にあります。
Grafanaナビゲーションメニュー
組み込みダッシュボード
ISEには、デフォルトでISE-DashboardとMFC Profilerという2つの組み込みダッシュボードがあります。 これらのダッシュボードには、メモリ、CPU、ディスクの統計情報など、最も一般的な重要業績評価指標(KPI)が、導入環境内のISEノードごとに個別に表示されます。これらのダッシュボードには、プロセス消費メトリックも表示できます。
これらのダッシュボードにアクセスするには、Operations > System 360 > Monitoringメニューに移動します。デフォルトでは、ISEにISEダッシュボードが表示されます。
注:機能が有効になっていない場合、GUIにモニタリングメニューは表示されません。
ISEノードを選択し、表示される情報の期間とダッシュボードの更新頻度を変更できます。
モニタリングの組み込みダッシュボード
ダッシュボードを切り替えるには、4つの正方形のアイコンをクリックします 
を参照。[ダッシュボードの管理]ウィンドウが開きます。このウィンドウでは、既存の異なるダッシュボードを選択できます。
ダッシュボード間の切り替え
注:データの不一致を回避するには、ISEサーバとクライアントマシンの時刻を同じにする必要があります。時刻の不一致が検出された場合、ISEは組み込みダッシュボードにアクセスした後に次の警告を表示します。「ISEサーバとクライアントマシン間で時刻の不一致が検出され、Grafanaの動作に一貫性がない可能性があります。両方のマシンで時刻を同期してください。」
独自のダッシュボードの作成
提供されている組み込みダッシュボードに加えて、独自のダッシュボードをゼロから作成できます。
ステップ 1:新しいダッシュボードメニューの入力
Operations > System 360 > Monitoringの順に移動します。
Grafana Navigationメニューのプラス(+)アイコンをクリックし、Dashboardをクリックします。
新しいダッシュボードの作成
ステップ 2:パネルを追加する
Add a new panelオプションを選択します。Edit Panelウィンドウが表示されます。
新しいパネルの追加
Edit Panelウィンドウは次のようになります。
ダッシュボードの作成領域
a. Visualization領域: Prometheusデータベースから取得したデータのグラフィック表現が表示されます。
b. Data Queries領域:クエリを選択して、Prometheusデータベースに保存されている特定のメトリックとデータを取得できます。
c.パネルオプション領域:データを表示するグラフィックパネルを変更するための豊富なオプションを提供します。
ステップ 3:クエリーを使用してパネルを作成する
(「トラブルシューティング」)
- Monitoring機能が有効になっていることを確認します。
- 各ISEノードで有効になっているペルソナに応じて、GrafanaスタックサービスがISEノードで実行されていることを確認します。
- 各Grafanaスタックコンポーネントには個別のログがあります。これらのログファイルには、ISE CLIで次のコマンドを使用してアクセスできます。
vimontes-ise-33-1/admin#show logging application ise-prometheus/prometheus.log vimontes-ise-33-1/admin#show logging application ise-node-exporter/node-exporter.log vimontes-ise-33-1/admin#show logging application ise-grafana/grafana.log
注:この機能をトラブルシューティングするためにデバッグレベルに設定する特定のコンポーネントはありません。これらのログファイルを収集するだけで十分です。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
01-Dec-2023 |
初版 |
フィードバック