Cisco ISE には、監査、障害管理、およびトラブルシューティングに使用されるロギング メカニズムが備わっています。このロギング メカニズムは、展開されたサービスの障害状態を識別したり、問題のトラブルシューティングを効率的に行う場合に役立ちます。また、プライマリ ノードのモニタリングおよびトラブルシューティングのロギング出力が一貫した形式で生成されます。
仮想ループバック アドレスを使用してローカル システムにログを収集するように Cisco ISE ノードを設定できます。ログを外部に収集するには、ターゲットと呼ばれる外部 syslog サーバを設定します。ログは事前定義された各種のカテゴリに分類されます。ターゲット、重大度レベルなどに応じてカテゴリを編集することにより、ロギング出力をカスタマイズできます。
![]() (注) | モニタリング ノードがネットワーク デバイスの syslog サーバとして設定されている場合、ロギング ソースが次の形式で正しいネットワーク アクセス サーバ(NAS)の IP アドレスを送信することを確認してください。 <message_number>sequence_number: NAS_IP_address: timestamp: syslog_type: <message_text> そうしないと、これは NAS の IP アドレスに依存する機能に影響を及ぼすことがあります。 |
Cisco ISE では、システム ログはロギング ターゲットと呼ばれる場所で収集されます。ターゲットは、ログを収集して格納するサーバの IP アドレスを参照します。ログをローカルで生成して格納することも、FTP ファシリティを使用して外部サーバに転送することもできます。Cisco ISE には、次のデフォルト ターゲットがあり、これらはローカル システムのループバック アドレスに動的に設定されます。
デフォルトでは、AAA 診断サブカテゴリとシステム診断サブカテゴリのロギング ターゲットは、ディスク領域を減らすために、新規 Cisco ISE インストールまたはアップグレード時に無効になります。これらのサブカテゴリのロギング ターゲットを手動で設定できますが、これらのサブカテゴリのローカル ロギングは常に有効です。
Cisco ISE インストールの最後にローカルに設定されるデフォルトのロギング ターゲットを使用するか、またはログを保存する外部ターゲットを作成することができます。
ログ メッセージは、次の syslog メッセージ フォーマットでローカル ストアに送信されます。
timestamp sequence_num msg_ode msg_sev msg_class msg_text attr =valueWeb インターフェイスを使用して、ロギング カテゴリ メッセージがリモート syslog サーバ ターゲットに送信されるように設定できます。ログ メッセージは、syslog プロトコル標準(RFC-3164 を参照)に従ってリモート syslog サーバ ターゲットに送信されます。syslog プロトコルはセキュアでない UDP です。
メッセージは、イベントが発生したときに生成されます。イベントは、プログラムの終了時に表示されるメッセージやアラームなどのステータスを表示するものである場合があります。カーネル、メール、ユーザ レベルなど、異なるファシリティから生成されたさまざまなタイプのイベント メッセージがあります。イベント メッセージは重大度レベルに関連付けられており、管理者はメッセージをフィルタリングし、優先度付けできます。数値コードはファシリティおよび重大度レベルに割り当てられます。Syslog サーバはイベント メッセージ コレクタで、これらのファシリティからイベント メッセージを収集します。管理者は、重大度レベルに基づいて、メッセージを転送するイベント メッセージ コレクタを選択できます。Cisco ISE の重大度レベルについては、「ロギング カテゴリの設定」の項を参照してください。
ログ メッセージは、ローカル ストア syslog メッセージ フォーマットに先行する次の syslog メッセージ ヘッダー フォーマットでリモート syslog サーバに送信されます。
pri_num YYYY Mmm DD hh:mm:ss xx:xx:xx:xx/host_name cat_name msg_id total_seg seg_num
フィールド | 説明 | ||
---|---|---|---|
pri_num |
メッセージのプライオリティ値。メッセージのファシリティ値と重大度値の組み合わせです。プライオリティ値 =(ファシリティ値 * 8)+ 重大度値。セキュリティ レベルについては、「メッセージ コードの重大度レベルの設定」を参照してください。 |
||
時刻 |
生成元の Cisco ISE サーバのローカル クロックに従った、YYYY Mmm DD hh:mm:ss フォーマットでのメッセージ生成の日付。 一部のデバイスは、タイム ゾーンを -/+hhmm のフォーマットで指定するメッセージを送信します。- と + は、Cisco ISE サーバのタイム ゾーンからのオフセット方向を示します。hh はオフセットの時間数、mm はオフセット時間の分数です。たとえば、+02:00 は、タイム スタンプによって示された時刻に、Cisco ISE サーバのタイム ゾーンよりも 2 時間先行する Cisco ISE ノードでメッセージが発生したことを示します。 |
||
xx:xx:xx:xx/host_name |
発信元の Cisco ISE ノードの IP アドレスまたはホスト名。 |
||
cat_name |
先頭に CSCOxxx 文字列が付いたロギング カテゴリ名。 |
||
msg_id |
固有のメッセージ ID。1 ~ 4294967295 です。メッセージ ID は、新しいメッセージごとに 1 つ増加します。メッセージ ID は、アプリケーションが再起動するたびに 1 から再開します。 |
||
total_seg |
ログ メッセージ内のセグメントの総数。長いメッセージは複数のセグメントに分割されます。
|
||
seg_num |
メッセージ内のセグメントの順序番号。この数値を使用して、メッセージのどのセグメントを表示しているかを判断します。 |
syslog メッセージ データまたはペイロードは、ローカル ストア Syslog メッセージ フォーマットと同じです。リモート syslog サーバ ターゲットは、ファシリティ コード名 LOCAL0 ~ LOCAL7 によって識別されます(LOCAL6 がデフォルトのロギング ロケーションです)。リモート syslog サーバに割り当てるログ メッセージは、Linux syslog のデフォルトの場所(/var/log/messages)に送信されますが、サーバで別の場所を設定できます。
UDP syslog(ログ コレクタ)はデフォルトのリモート ロギング ターゲットです。このロギング ターゲットは、無効にすると、ログ コレクタとして動作しなくなり、[ロギング カテゴリ(Logging Categories)] ページから削除されます。このロギング ターゲットを有効にした場合は、[ロギング カテゴリ(Logging Categories)] ページのログ コレクタになります。
ロギング カテゴリは、ACS の機能、フロー、または使用例を説明するメッセージ コードのバンドルです。Cisco ISE では、各ログにはログ メッセージの内容に従ってロギング カテゴリにバンドルされているメッセージ コードが関連付けられています。ロギング カテゴリは、含まれているメッセージの内容を説明する場合に役立ちます。
ロギング カテゴリはロギング設定で役立ちます。各カテゴリには、アプリケーションの要件に応じて設定可能な名前、ターゲット、および重大度レベルがあります。
Cisco ISE では、サービスに対して事前定義されたロギング カテゴリ([ポスチャ(Posture)]、[プロファイラ(Profiler)]、[ゲスト(Guest)]、[AAA(認証、許可、アカウンティング)(AAA (authentication, authorization, and accounting))] など)が提供されており、これらにログ ターゲットを割り当てることができます。
可能性があるすべてのログ メッセージと説明を表示するために、[メッセージ カタログ(Message Catalog)] ページを使用できます。 を選択します。
[ログ メッセージ カタログ(Log Message Catalog)] ページが表示されます。このページでは、ログ ファイルに記録される可能性があるすべてのログ メッセージを表示できます。このページで利用可能なデータは表示専用です。
デバッグ ログにより、ブートストラップ、アプリケーション設定、ランタイム、展開、モニタリングとレポート、および公開キー インフラストラクチャ(PKI)に関する情報が取得されます。過去 30 日間の重大アラームと警告アラーム、および過去 7 日間の情報アラームがデバッグ ログに含まれます。
個々のコンポーネントのデバッグ ログ重大度レベルを設定できます。
ノードまたはコンポーネントで [デフォルトにリセット(Reset to Default)] オプションを使用して、ログ レベルを出荷時のデフォルト値に戻すことができます。
ローカル サーバにデバッグ ログを保存できます。
![]() (注) | デバッグ ログの設定は、システムをバックアップから復元した場合やアップグレードした場合には保存されません。 |
特定のエンドポイントの問題をトラブルシューティングするために、IP アドレスまたは MAC アドレスに基づいて、特定のエンドポイントのデバッグ ログをダウンロードできます。その特定のエンドポイント固有のログが、展開内のさまざまなノードから 1 つのファイルに収集されるため、迅速かつ効率的に問題をトラブルシューティングできます。このトラブルシューティング ツールは、一度に 1 つのエンドポイントに対してのみ実行できます。ログ ファイルが GUI に表示されます。1 つのノードまたは展開内のすべてのノードからエンドポイントのログをダウンロードできます。
ネットワーク内の特定のエンドポイントの問題をトラブルシューティングするには、管理者ポータルからデバッグ エンドポイント ツールを使用できます。または、このツールを [認証(Authentications)] ページから実行できます。[認証(Authentications)] ページの [エンドポイント ID(Endpoint ID)] を右クリックして、[エンドポイント デバッグ(Endpoint Debug)] をクリックします。このツールでは、単一ファイルの特定のエンドポイントに関連するすべてのサービスに関するすべてのデバッグ情報が提供されます。
デバッグ ログを収集するエンドポイントの IP アドレスまたは MAC アドレスが必要です。
ステップ 1 | を選択します。 |
ステップ 2 | [MAC アドレス(MAC Address)] または [IP] オプション ボタンをクリックし、エンドポイントの MAC または IP アドレスを入力します。 |
ステップ 3 | 一定の時間が経過した後にログ収集を停止する場合は、[n 分後に自動的に無効化(Automatic disable after n Minutes)] チェックボックスをオンにします。このチェックボックスをオンにする場合は、1 ~ 60 分の時間を入力する必要があります。
次のメッセージが表示されます。「エンドポイント デバッグによって、展開のパフォーマンスが低下します。続行しますか?(Endpoint Debug degrades the deployment performance.Would you like to continue?)」 |
ステップ 4 | ログを収集するには、[続行(Continue)] をクリックします。 |
ステップ 5 | 手動でログの収集を中止する場合は、[停止(Stop)] をクリックします。 |
収集フィルタを設定して、モニタリング サーバおよび外部サーバに送信される syslog メッセージを抑制できます。抑制は、異なる属性タイプに基づいてポリシー サービス ノード レベルで実行できます。特定の属性タイプおよび対応する値を使用して複数のフィルタを定義できます。
モニタリング ノードまたは外部サーバに syslog メッセージを送信する前に、Cisco ISE は送信する syslog メッセージのフィールドとそれらの値を比較します。一致が見つかった場合、対応するメッセージは送信されません。
さまざまな属性のタイプに基づいて複数の収集フィルタを設定できます。フィルタ数を 20 に制限することを推奨します。収集フィルタを追加、編集、または削除できます。
Cisco ISE では、フィルタを設定し、収集フィルタを使用して、一部の syslog メッセージがモニタリング ノードおよび他の外部サーバに送信されることを抑制できます。場合によっては、これらの抑制されたログ メッセージにアクセスすることが必要になります。Cisco ISE は、設定可能な時間について、ユーザ名などの属性に基づいてイベント抑制をバイパスするオプションを提供します。デフォルトは 50 分ですが、5 分から 480 分(8 時間)の期間を設定できます。イベント抑制バイパスは、設定した後すぐに有効になります。設定した期間が経過すると、バイパス抑制フィルタは失効します。
抑制バイパス フィルタは、Cisco ISE ユーザ インターフェイスの [収集フィルタ(Collection Filters)] ページから設定できます。この機能を使用して、特定の ID(ユーザ)のすべてのログを表示し、その ID の問題をリアルタイムでトラブルシューティングできます。
フィルタは有効または無効にできます。バイパス イベント フィルタで設定した期間が経過すると、フィルタは再度有効にするまで自動的に無効になります。
Cisco ISE は設定変更監査レポートでこれらの設定変更を取得します。このレポートは、イベント抑制またはバイパス抑制を設定したユーザ、およびイベントが抑制された期間または抑制がバイパスされた期間に関する情報を提供します。