この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
モニタリングおよびトラブルシューティング サービスは、すべての Cisco ISE 実行時サービスに対する包括的なアイデンティティ ソリューションであり、次のコンポーネントを使用します。
モニタリング:ネットワーク上のアクセス アクティビティの状態を表す意味のあるデータのリアルタイム表示を提供します。これを把握することにより、操作の状態を簡単に解釈し、作用することができます。
トラブルシューティング:ネットワーク上のアクセスの問題を解決するための状況に応じたガイダンスを提供します。また、ユーザの懸念に対応してタイムリーに解決策を提供できます。
レポート:トレンドを分析し、システム パフォーマンスおよびネットワーク アクティビティをモニタするために使用できる、標準レポートのカタログを提供します。レポートをさまざまな方法でカスタマイズし、今後使用するために保存できます。次のフィールドのすべてのレポートで、ワイルド カードおよび複数値を使用してレコードを検索できます:[ID(Identity)]、[エンドポイントID(Endpoint ID)]、および [ISEノード(ISE Node)](健全性の概要レポートは除く)。
Cisco ISE ダッシュボード(ホーム ページ)は、Cisco ISE 管理コンソールにログインした後に表示されるランディング ページです。ダッシュボードは、ウィンドウの上部に沿って表示されるメトリック メーターと下にあるダッシュレットで構成された、集中化された管理コンソールです。
ダッシュボードのリアルタイム データによって、ネットワークにアクセスしているデバイスおよびユーザの一目で確認できるステータスと、システム健全性の概要が示されます。
![]() (注) | ダッシュレットと対応するすべてのドリル ダウン ページを適切に表示するには、ブラウザに Adobe Flash Player がインストールされている必要があります。 |
ダッシュボードでは、Network Privilege Framework(NPF)上にアクティビティが表示され、さまざまなコンポーネントに関する詳細情報が提供されます。
NPF は、次の表で説明されている 3 つの層で構成されます。
NPF 認証および許可では、イベントのフローが生成されます。異なるソースからのイベントが、Cisco ISE モニタリングおよびトラブルシューティング ツールによって収集され、要約されます。認証および許可の結果をダッシュボードで表示できます。または、任意の数のレポートを実行するように選択できます。
NPF 認証および許可イベント フローでは、次の表に記載されているプロセスが使用されます。
モニタリングおよびトラブルシューティング機能は、デフォルトのユーザ ロールに関連付けられます。実行を許可されるタスクは、割り当てられているユーザ ロールに直接関係します。
Cisco ISE モニタリング サービスでは、データが収集され、特化したモニタリング データベースに格納されます。ネットワーク機能のモニタリングに使用されるデータのレートおよび量によっては、モニタリング専用のノードが必要な場合があります。Cisco ISE ネットワークによって、ポリシー サービス ノードまたはネットワーク デバイスからロギング データが高いレートで収集される場合は、モニタリング専用の Cisco ISE ノードを推奨します。
モニタリング データベースに格納される情報を管理するには、データベースのフル バックアップおよび差分バックアップを実行する必要があります。これには、不要なデータの消去とデータベースの復元が含まれます。
モニタリング ノードにより、ネットワーク上のデバイスからのデータが受信および使用されて、ダッシュボードに表示されます。モニタリング ノードとネットワーク デバイスの間の通信を有効にするには、スイッチおよびネットワーク アクセス デバイス(NAD)を正しく設定する必要があります。
[システム概要(System Summary)] ダッシュレットを使用して、Cisco ISE ダッシュボードからネットワークのプロセス ステータスを表示できます。たとえば、アプリケーション サーバやデータベースなどのプロセスで障害が発生すると、アラームが生成され、[システム概要(System Summary)] ダッシュレットで結果を表示できます。
[認証(Authentications)] ダッシュレットから、成功および失敗したネットワーク認証を表示できます。ここには、ユーザまたはデバイスのタイプ、場所、ユーザまたはデバイスが所属する ID グループに関するデータが示されます。ダッシュレットの上部に沿って表示されるスパークラインは、直近の 24 時間と直近の 60 分での分散を表します。
[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、プロファイルが一致したネットワーク上のエンドポイントに焦点を当てます。各エンドポイントのプロファイル データが表示されます。たとえば、統計情報によってデバイスのタイプ、そのロケーション、およびその IP アドレスを判別できます。ダッシュレットの上部に沿って表示されるスパークラインは、直近の 24 時間と直近の 60 分でのエンドポイント アクティビティを表します。
[プロファイリングされたエンドポイント(Profiled Endpoints)] ダッシュレットは、不明なものも含め、直近の 24 時間にネットワーク上でプロファイリングされたエンドポイントの総数を表します。ネットワーク上で現在アクティブなエンドポイント数ではありません。ダッシュレットの上部に表示されるスパークライン メトリックは、直近の 24 時間と 60 分での時間固有の値を表します。
テストが Cisco フィード サーバに接続できた場合は、テスト接続が成功したことを示すポップアップが表示されます。
接続に失敗した場合は、テスト ボタンの領域に、次の例のようなサーバからの応答が表示されます。メッセージの太字部分はメッセージの重要な部分を示します。
Test result: Failure: FeedService test connection failed : Feed Service unavailable : SocketTimeoutException invoking https://ise.cisco.com:8443/feedserver/feed/serverinfo: sun.security.validator.ValidatorException:PKIX path building failed: Sun.security.provider.certpath.SunCertPathBuilderException Unable to find valid certification path to requested target
考えられるエラー メッセージと実行すべきアクションを次に示します。
ポスチャ コンプライアンス ダッシュレットは、ネットワークにアクセスしているユーザとそのユーザがポスチャ コンプライアンスに適合するかどうかに関する情報を示します。データは、現在ネットワークに接続されているデバイスに関して表示されます。積み上げ棒には、オペレーティング システムやその他の基準に従って配置された非コンプライアンス統計情報が表示されます。スパークラインは、ポスチャ試行の準拠と非準拠のパーセンテージを表します。
アラームは、ネットワークの重大な状態を通知し、[アラーム(Alarms)] ダッシュレットに表示されます。データ消去イベントなど、システム アクティビティの情報も提供されます。システム アクティビティについてどのように通知するかを設定したり、それらを完全に無効にしたりできます。また、特定のアラームのしきい値を設定できます。
大半のアラームには関連付けられているスケジュールがなく、イベント発生後即時に送信されます。その時点で最新の 15,000 件のアラームのみが保持されます。
イベントが繰り返し発生した場合、同じアラームは最小 2 時間抑制されます。イベントが繰り返し発生する間は、トリガーに応じて、アラームが再び表示されるのに最大 3 時間かかる場合があります。
次の表に、すべての Cisco ISE アラームおよびその説明と解決方法を示します。
カスタム アラームを編集または削除できます。システム定義のアラームは削除できません。しかし、これらのアラームを編集することはできます。
アラームを追加するには、次の手順を実行します。
Cisco ISE アラームを有効または無効にし、重大な状態を通知するようにアラーム通知動作を設定できます。特定のアラームに対して、過剰な失敗試行アラームの最大失敗試行数、または高ディスク使用量アラームの最大ディスク使用量などのしきい値を設定できます。
Cisco ISE は、重大なシステム状態が発生するたびに通知するシステム アラームを提供します。Cisco ISE によって生成されたアラームは [アラーム(Alarm)] ダッシュレットに表示されます。これらの通知は、自動的にアラーム ダッシュレットに表示されます。
アラーム ダッシュレットには最近のアラームのリストが表示され、ここから選択してアラームの詳細を表示できます。電子メールおよび syslog メッセージを介してアラームの通知を受信することもできます。
モニタリング サービスはログと設定データを収集し、そのデータを保存してから、レポートおよびアラームを生成するために処理します。展開内の任意のサーバから収集されたログの詳細を表示できます。
システム アラーム通知を syslog メッセージとして送信するようにモニタリング機能を設定した場合は、通知を受信する syslog ターゲットが必要です。アラーム syslog ターゲットは、アラーム syslog メッセージが送信される宛先です。
syslog メッセージを受信するには、syslog サーバとして設定されたシステムも必要です。アラーム syslog ターゲットを作成、編集、および削除できます。
![]() (注) | Cisco ISE モニタリングでは、logging-source interface の設定にネットワーク アクセス サーバ(NAS)の IP アドレスを使う必要があります。Cisco ISE モニタリング用のスイッチを設定する必要があります。 |
[ライブ認証(Live Authentications)] ページから、発生した最近の RADIUS 認証をモニタできます。このページには、直近の 24 時間での上位 10 件の RADIUS 認証が表示されます。この項では、[ライブ認証(Live Authentications)] ページの機能について説明します。
[ライブ認証(Live Authentications)] ページには、認証イベントの発生時に、その認証イベントに対応するライブ認証エントリが表示されます。認証エントリに加えて、このページには、そのイベントに対応するライブ セッション エントリも表示されます。また、目的のセッションをドリルダウンして、そのセッションに対応する詳細レポートを表示することもできます。
[ライブ認証(Live Authentications)] ページには、最近の RADIUS 認証が発生順に表形式で表示されます。[ライブ認証(Live Authentications)] ページの下部に表示される最終更新には、サーバ日付、時刻、およびタイムゾーンが示されます。
1 つのエンドポイントが正常に認証されると、2 つのエントリが [ライブ認証(Live Authentications)] ページに表示されます。1 つは認証レコードに対応し、もう 1 つは(セッション ライブ ビューからプルされた)セッション レコードに対応しています。その後、デバイスで別の認証が正常に実行されると、セッション レコードに対応する繰り返しカウンタの数が増えます。[ライブ認証(Live Authentications)] ページに表示される繰り返しカウンタには、抑制されている重複した RADIUS 認証成功メッセージの数が示されます。
「最近の RADIUS 認証」の項で説明されているデフォルトで表示されるライブ認証データ カテゴリを参照してください。
すべてのカラムを表示するか、選択したデータ カラムのみを表示するように選択できます。表示するカラムを選択した後で、選択を保存できます。
ステップ 1 | の順に選択します。 |
ステップ 2 | データ リフレッシュ レートを変更するには、[更新(Refresh)] ドロップダウン リストから時間間隔を選択します。 |
ステップ 3 | データを手動で更新するには、[更新(Refresh)] アイコンをクリックします。 |
ステップ 4 | 表示されるレコードの数を変更するには、[表示(Show)] ドロップダウン リストからオプションを選択します。 |
ステップ 5 | 時間間隔を指定するには、[次の範囲内(Within)] ドロップダウン リストからオプションを選択します。 |
ステップ 6 | 表示されるカラムを変更するには、[カラムの追加または削除(Add or Remove Columns)] をクリックし、ドロップダウン リストからオプションを選択します。 |
ステップ 7 | ドロップダウン リストの下部にある [保存(Save)] をクリックして、変更を保存します。 |
ステップ 8 | ライブ RADIUS セッションを表示するには、[ライブセッションの表示(Show Live Sessions)] をクリックします。
アクティブな RADIUS セッションを動的に制御できるライブ セッションの動的な許可変更(CoA)機能を使用できます。ネットワーク アクセス デバイス(NAD)に再認証または接続解除要求を送信できます。 |
[ライブ認証(Live Authentications)] ページのフィルタを使用して、必要な情報をフィルタリングし、ネットワーク認証の問題を迅速にトラブルシューティングできます。[認証(ライブログ)(Authentication (live logs))] ページのレコードをフィルタして、目的のレコードのみを表示できます。認証ログには多数の詳細が含まれており、特定のユーザまたはロケーションから認証をフィルタリングすると、データをすばやくスキャンするために役立ちます。[ライブ認証(Live Authentications)] ページの各種フィールドで使用できる複数の演算子を使用して、検索基準に基づいてレコードをフィルタリングできます。
「abc」:「abc」を含む
「!abc」:「abc」を含まない
「{}」:空
「!{}」:空でない
「abc*」:「abc」で開始する
「*abc」:「abc」で終了する
「\!」、「\*」、「\{」、「\\」:エスケープ
エスケープ オプションを使用すると、特殊文字を含むテキストをフィルタリングできます(フィルタとして使用される特殊文字を含む)。特殊文字の前にバック スラッシュ(\)を付ける必要があります。たとえば、「Employee!」という ID を持つユーザの認証レコードを確認する場合は、ID フィルタ テキスト ボックスに "Employee\!" と入力します。この例では、Cisco ISE は感嘆符(!)を特殊文字ではなくリテラル文字と見なします。
また、[ステータス(Status)] フィールドでは、成功した認証レコード、失敗した認証、ライブ セッションなどのみをフィルタリングできます。緑色のチェック マークは以前発生したすべての成功した認証をフィルタリングします。赤い十字マークはすべての失敗した認証をフィルタリングします。青い [i] アイコンはすべてのライブ セッションをフィルタリングします。これらのオプションの組み合わせを表示することも選択できます。
Cisco ISE ホーム ページの上部にあるグローバル検索ボックスを使用して、エンドポイントを検索できます。次の条件を使用してエンドポイントを検索できます。
データを表示するには、[検索(Search)] フィールドに任意の検索条件の少なくとも 3 文字以上を入力する必要があります。
検索結果には、エンドポイントの現在のステータスに関する詳細および概要の情報が表示され、これをトラブルシューティングに使用することができます。検索結果には、上位 25 のエントリのみが表示されます。結果を絞り込むためにフィルタを使用することを推奨します。
左パネルの任意のプロパティを使用して、結果をフィルタリングします。エンドポイントをクリックして、エンドポイントに関する次のような詳細情報を表示することもできます。
Cisco ISE ホーム ページの上部にあるグローバル検索ボックスを使用して、特定のエンドポイントのセッション情報を取得できます。基準に基づいて検索する場合は、エンドポイントのリストを取得します。エンドポイントのセッション トレース情報を表示するには、そのエンドポイントをクリックします。次の図に、エンドポイントに表示されるセッション トレース情報の例を示します。
![]() (注) | 検索に使用されるデータ セットは、インデックスとしてのエンドポイント ID に基づいています。したがって、認証が行われる場合、検索結果セットにそれらを含めるには、認証にエンドポイントのエンドポイント ID が必要です。 ![]() |
上部にあるクリック可能なタイムラインを使用すると、主な許可の遷移を確認できます。[結果のエクスポート(Export Results)] ボタンをクリックして、.csv 形式で結果をエクスポートすることもできます。レポートはブラウザにダウンロードされます。
特定のエンドポイントの認証、アカウンティング、およびプロファイラの詳細情報を表示するには、[エンドポイントの詳細(Endpoint Details)] リンクをクリックします。次の図に、エンドポイントに対して表示されたエンドポイントの詳細情報の例を示します。
次のように、セッションが、モニタリングおよびトラブルシューティング ノード上のセッション ディレクトリから削除されます。
認証要求に関連する属性に基づいて、特定のユーザ、デバイス、または検索条件についてネットワーク アクセスをトラブルシューティングできます。このことは、認証概要レポートを実行して行います。
診断ツールは、Cisco ISE ネットワークの問題の診断およびトラブルシューティングに役立ち、問題解決方法の詳細な手順を提供します。これらのツールを使用して、認証をトラブルシューティングし、TrustSec デバイスなどのネットワーク上のネットワーク デバイスの設定を評価できます。
このツールを使用すると、予期せぬ認証結果がある場合に、RADIUS 認証または RADIUS 認証に関連する Active Directory を検索および選択して、トラブルシューティングを実行することができます。認証が成功すると予想していたのに失敗した場合、またはユーザやマシンが特定の特権レベルを持っていると予想したのにユーザやマシンがこれらの特権を持っていなかった場合は、このツールを使用できます。
トラブルシューティングのために、ユーザ名、エンドポイント ID、ネットワーク アクセス サービス(NAS)の IP アドレス、および認証失敗理由に基づいて RADIUS 認証を検索すると、Cisco ISE はシステム(現在)の日付の認証だけを表示します。
トラブルシューティングのために NAS ポートに基づいて RADIUS 認証を検索すると、Cisco ISE は前月の初めから現在までのすべての NAS ポート値を表示します。
![]() (注) | NAS IP アドレスおよび [エンドポイント ID(Endpoint ID)] フィールドに基づいて RADIUS 認証を検索する場合、検索はまず運用データベースで実行され、その後設定データベースで実行されます。 |
ステップ 1 | を選択します。 |
ステップ 2 | 必要に応じてフィールドに検索基準を指定します。 |
ステップ 3 | [検索(Search)] をクリックして、検索条件に一致する RADIUS 認証を表示します。 AD 関連の認証を検索する際に、展開に Active Directory サーバが設定されていない場合は、「AD が設定されていない」ことを示すメッセージが表示されます。 |
ステップ 4 | テーブルから RADIUS 認証レコードを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。 AD 関連の認証をトラブルシューティングする必要がある場合は、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] > [AD ノード(AD node)] で、診断ツールに移動します。 |
ステップ 5 | [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。 |
ステップ 6 | [完了(Done)] をクリックします。 |
ステップ 7 | トラブルシューティングが完了したら、[結果概要の表示(Show Results Summary)] をクリックします。 |
ステップ 8 | 診断、問題を解決するための手順、およびトラブルシューティング概要を表示するには、[完了(Done)] をクリックします。 |
Execute Network Device Command 診断ツールを使用すると、ネットワーク デバイスに対して show コマンドを実行することができます。結果は、コンソールに表示される場合とまったく同じ形式であり、デバイスの設定における問題を特定するために使用できます。設定が間違っていると思われる場合や、設定を検証したい場合、または単にどのように設定されているか関心がある場合に、使用することができます。
この診断ツールを使用して、ネットワーク デバイスの設定を評価し、設定の問題を特定できます。Expert Troubleshooter によって、デバイスの設定が標準設定と比較されます。
ステップ 1 | を選択します。 |
ステップ 2 | 設定を評価するデバイスのネットワーク デバイス IP アドレスを入力し、必要に応じて他のフィールドを指定します。 |
ステップ 3 | 推奨テンプレートと比較する設定オプションを選択します。 |
ステップ 4 | [実行(Run)] をクリックします。 |
ステップ 5 | [ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。 |
ステップ 6 | 分析するインターフェイスの隣のチェックボックスをオンにして、[送信(Submit)] をクリックします。 |
ステップ 7 | [結果概要の表示(Show Results Summary)] をクリックします。 |
[ポスチャのトラブルシューティング(Posture Troubleshooting)] ツールは、ポスチャ チェック エラーの原因を見つけ、次のことを識別するのに役立ちます。
ユーザ名、MAC アドレス、ポスチャ ステータスなどのパラメータに基づいて要求をフィルタリングすることによって、この情報を特定します。
Cisco ISE は、Cisco IronPort トンネル インフラストラクチャを使用して、ISE サーバに接続してシステムの問題をトラブルシューティングするための、シスコ テクニカル サポート エンジニア用のセキュア トンネルを作成します。Cisco ISE は SSH を使用して、トンネル経由のセキュアな接続を作成します。
管理者として、トンネル アクセスを制御できます。サポート エンジニアにアクセス権を付与する時期と期間を選択できます。シスコ カスタマー サポートは、ユーザの介入なしにトンネルを確立できません。サービス ログインに関する通知を受信します。任意の時点でトンネル接続をディセーブルにできます。デフォルトでは、テクニカル サポート トンネルは 72 時間開いたままになりますが、すべてのトラブルシューティング作業が完了したら、ご自身またはサポート エンジニアがトンネルを閉じることを推奨します。必要に応じて、72 時間を超えてトンネルを延長することもできます。
tech support-tunnel enable コマンドを使用して、トンネル接続を開始できます。
tech support-tunnel status コマンドでは、接続のステータスが表示されます。このコマンドでは、接続が確立されたかどうか、または認証エラーがあるかどうか、あるいはサーバが到達不能であるかどうかに関する情報が提示されます。トンネル サーバは到達可能であるが ISE が認証できない場合、ISE は 30 分にわたり 5 分ごとに再認証を試行し、その後トンネルは無効になります。
tech support-tunnel disable コマンドを使用してトンネル接続を無効にできます。このコマンドでは、サポート エンジニアが現在ログインしている場合も既存のトンネルが切断されます。
ISE サーバからのトンネル接続をすでに確立している場合は、生成される SSH キーを ISE サーバで使用できます。後でサポート トンネルをイネーブルにしようとすると、システムによって、以前に生成された SSH キーを再使用するよう指示されます。同じキーを使用するか、または新しいキーを生成するかを選択できます。また、tech support-tunnel resetkey コマンドを使用してキーを手動でリセットすることもできます。トンネル接続が有効な場合にこのコマンドを実行すると、先に接続をディセーブルにするよう求めるプロンプトが表示されます。既存の接続を続け、無効にしないことを選択した場合、キーは既存の接続が無効になった後でリセットされます。接続を無効にすることを選択した場合、トンネル接続はドロップされ、キーは即座にリセットされます。
トンネル接続の確立後に、tech support-tunnel extend コマンドを使用して拡張することができます。
tech support-tunnel コマンドの使用上のガイドラインについては、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
Cisco ISE コマンドライン インターフェイス(CLI)からセキュア トンネルを確立できます。
ステップ 1 | Cisco ISE CLI から、次のコマンドを入力します。
tech support-tunnel enable トンネルのパスワードとニックネームの入力が求められます。 |
ステップ 2 | パスワードを入力します。 |
ステップ 3 | (任意)トンネルのニックネームを入力します。
システムによって SSH キーが生成され、パスワード、デバイスのシリアル番号および SSH キーが表示されます。サポート エンジニアがシステムに接続できるように、この情報をシスコ カスタマー サポートに渡す必要があります。 |
ステップ 4 | パスワード、デバイスのシリアル番号および SSH キーをコピーし、シスコ カスタマー サポートに送信します。
これで、サポート エンジニアが ISE サーバに安全に接続できるようになります。サービス ログに関する定期的な通知を受信します。 |
これは、予想されたパケットが実際にノードに到達したことを調査する場合に、パケットをスニッフィングするツールです。たとえば、レポートに示されている着信認証またはログがない場合、着信トラフィックがないのではないか、または着信トラフィックが Cisco ISE に到達できないのではないかと疑われる場合があります。このような場合、検証するためにこのツールを実行できます。
TCP ダンプ オプションを設定し、ネットワーク トラフィックからデータを収集して、ネットワークの問題をトラブルシューティングすることができます。
![]() 注意 | TCP ダンプを起動すると、以前のダンプ ファイルは自動的に削除されます。以前のダンプ ファイルを保存するには、新しい TCP ダンプ セッションを開始する前に、「TCP ダンプ ファイルの保存」の項の説明に従ってタスクを実行します。 |
[TCP ダンプ(TCP Dump)] ページの [ネットワーク インターフェイス(Network Interface)] ドロップダウン リストには、IPv4 または IPv6 アドレスが設定されているネットワーク インターフェイス カード(NIC)のみが表示されます。デフォルトでは、すべての NIC は VMware に接続されるため、NIC は、IPv6 アドレスを使用して設定され、[ネットワーク インターフェイス(Network Interface)] ドロップダウン リストに表示されます。
tcpdump ファイルを表示するには、Cisco ISE 管理ノードに Adobe Flash Player がインストールされている必要があります。
ステップ 1 | を選択します。 |
ステップ 2 | TCP ダンプ ユーティリティのソースとして [ホスト名(Host Name)] を選択します。 |
ステップ 3 | モニタする [ネットワーク インターフェイス(Network Interface)] をドロップダウン リストから選択します。 |
ステップ 4 | オプション ボタンをクリックして、オンかオフにして、無差別モードを設定します。デフォルトは [オン(On)] です。
無差別モードは、ネットワーク インターフェイスがシステムの CPU にすべてのトラフィックを渡すデフォルト パケット スニッフィング モードです。[オン(On)] のままにしておくことを推奨します。 |
ステップ 5 | [フィルタ(Filter)] テキスト ボックスに、フィルタリングのもとになるブール演算式を入力します。 |
ステップ 6 | [開始(Start)] をクリックして、ネットワークのモニタリングを開始します。 |
ステップ 7 | 十分な量のデータが収集された時点で [停止(Stop)] をクリックするか、最大パケット数(500,000)が累積されてプロセスが自動的に終了するまで待機します。 |
![]() (注) | Cisco ISE は、1500 より大きいフレーム(ジャンボ フレーム)の MTU をサポートしません。 |
「ネットワーク トラフィックのモニタリングでの TCP ダンプの使用」の項の説明に従って、タスクを完了しておく必要があります。
![]() (注) | Cisco ISE CLI を使用して TCPdump にアクセスすることもできます。詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。 |
出力ポリシー診断ツールでは、次の表に示すプロセスを使用して比較が行われます。
指定した IP アドレスを使用してデバイスに接続し、送信元 SGT と宛先 SGT の各ペアに対するアクセス コントロール リスト(ACL)を取得します。 |
|
Cisco ISE に設定された出力ポリシーをチェックし、送信元 SGT と宛先 SGT の各ペアに対する ACL を取得します。 |
|
ネットワーク デバイスから取得された SGACL ポリシーと、Cisco ISE から取得された SGACL ポリシーを比較します。 |
|
ポリシーが一致しない送信元 SGT と宛先 SGT のペアを表示します。また、追加情報として、一致するエントリも表示します。 |
ステップ 1 | を選択します。 |
ステップ 2 | ネットワーク デバイスのネットワーク デバイス IP アドレスを入力し、[選択(Select)] をクリックします。 |
ステップ 3 | [実行(Run)] をクリックし、[ユーザ入力必須(User Input Required)] をクリックして、必要なフィールドを変更します。
Expert Troubleshooter によって、ネットワーク デバイスから TrustSec SXP 接続が取得されて、ピア SXP デバイスを選択するように再度要求するプロンプトが表示されます。 |
ステップ 4 | [ユーザ入力必須(User Input Required)] をクリックし、必要な情報を入力します。 |
ステップ 5 | SXP マッピングを比較するピア SXP デバイスのチェックボックスをオンにして、共通接続パラメータを入力します。 |
ステップ 6 | [送信(Submit)] をクリックします。 |
ステップ 7 | [結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。 |
TrustSec ソリューションが有効なデバイスの場合、RADIUS 認証によって各ネットワーク デバイスに SGT 値が割り当てられます。デバイス SGT 診断ツールは、(提供された IP アドレスを使用して)ネットワーク デバイスに接続し、ネットワーク デバイス SGT 値を取得します。次に RADIUS 認証レコードをチェックして、割り当てられた最新の SGT 値を特定します。最後に、デバイス SGT ペアを表形式で表示して、SGT 値が同じであるかどうかを特定します。
モニタリング ノードからネットワークに接続するエンドポイントの統計データをダウンロードできます。ロード、CPU 使用率、認証トラフィック データを含む主要パフォーマンス メトリック(KPM)が使用可能で、ネットワークの問題の監視およびトラブルシューティングに使用できます。日次 KPM 統計情報または過去 8 週間の KPM 統計情報をそれぞれダウンロードするには、Cisco ISE コマンドライン インターフェイス(CLI)から、application configure ise コマンドを使用し、オプション 12 または 13 を使用します。
このコマンドの出力では、エンドポイントに関する次のデータが提供されます。
ネットワーク上のエンドポイントの総数
正常な接続を確立したエンドポイントの数
認証に失敗したエンドポイントの数。
毎日の接続済みの新しいエンドポイントの総数
毎日のオンボーディングしたエンドポイントの総数
出力には、タイムスタンプの詳細、展開内の各ポリシー サービス ノード(PSN)を介して接続したエンドポイントの総数、エンドポイントの総数、アクティブ エンドポイント、負荷、および認証トラフィックの詳細も含まれています。
このコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
Cisco ISE を使用すると、管理者ポータルから、サポートおよびトラブルシューティング情報をダウンロードできます。サポート バンドルを使用して、Cisco Technical Assistance Center(TAC)が Cisco ISE の問題をトラブルシューティングするための診断情報を準備できます。
![]() (注) | サポート バンドルおよびデバッグ ログにより、高度なトラブルシューティング情報が TAC に提供されます。サポート バンドルおよびデバッグ ログは解釈が困難です。Cisco ISE で提供されるさまざまなレポートおよびトラブルシューティング ツールを使用して、ネットワークで直面している問題を診断およびトラブルシューティングできます。 |
サポート バンドルに含めるログを設定できます。たとえば、特定のサービスのログをデバッグ ログに含めるように設定できます。また、日付に基づいてログをフィルタリングできます。
完全な設定データベース:Cisco ISE 設定データベースは、人間が読み取れる XML 形式でダウンロードされます。問題をトラブルシューティングしようとするときに、このデータベース設定を別の Cisco ISE ノードにインポートして、シナリオを再現できます。
デバッグ ログ:ブートストラップ、アプリケーション設定、ランタイム、展開、公開キー インフラストラクチャ(PKI)情報、およびモニタリングとレポートが取得されます。
デバッグ ログによって、特定の Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。デバッグ ログを有効にするには、第 11 章「ログ」を参照してください。デバッグ ログを有効にしない場合、情報メッセージ(INFO)はすべてサポート バンドルに含まれます。詳細については、Cisco ISE デバッグ ログを参照してください。
コア ファイル:クラッシュの原因の特定に役立つ重要な情報が含まれています。これらのログは、アプリケーションがクラッシュし、アプリケーションにヒープ ダンプが含まれている場合に作成されます。
システム ログ:Cisco Application Deployment Engine(ADE)関連の情報が含まれています。
ポリシー設定:Cisco ISE で設定されたポリシーが人間が読み取れる形式で含まれます。
これらのログは、Cisco ISE CLI から backup-logs コマンドを使用してダウンロードできます。詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
これらのログを管理者ポータルからダウンロードすることを選択した場合、次の操作を実行できます。
モニタリング ログによって、モニタリング、レポート、およびトラブルシューティング機能に関する情報が提供されます。ログのダウンロードの詳細については、Cisco ISE ログ ファイルのダウンロードを参照してください。
サポート バンドルは、単純な tar.gpg ファイルとしてローカル コンピュータにダウンロードできます。サポート バンドルは、日付とタイム スタンプを使用して、ise-support-bundle_ise-support-bundle-mm-dd-yyyy--hh-mm.tar..gpg という形式で名前が付けられます。ブラウザに、適切な場所にサポート バンドルを保存するように要求するプロンプトが表示されます。サポート バンドルの内容を抽出し、README.TXT ファイルを表示できます。このファイルには、サポート バンドルの内容と、ISE データベースがサポート バンドルに含まれている場合はその内容をインポートする方法が示されています。
ネットワークでの問題のトラブルシューティング時に、Cisco ISE ログ ファイルをダウンロードして、詳細情報を確認できます。
ステップ 1 | を選択します。 |
ステップ 2 | サポート バンドルをダウンロードするノードをクリックします。 |
ステップ 3 | [サポート バンドル(Support Bundle)] タブでは、サポート バンドルに入力するパラメータを選択します。
すべてのログを含めると、サポート バンドルが大きくなりすぎて、ダウンロードに時間がかかります。ダウンロード プロセスを最適化するには、最新の n ファイルのみをダウンロードするように選択します。 |
ステップ 4 | サポート バンドルを生成する開始日と終了日を入力します。 |
ステップ 5 | サポート バンドルの暗号キーを入力し、再入力します。 |
ステップ 6 | [サポート バンドルの作成(Create Support Bundle)] をクリックします。 |
ステップ 7 | [ダウンロード(Download)] をクリックして、新しく作成されたサポート バンドルをダウンロードします。
サポート バンドルは、アプリケーション ブラウザを実行しているクライアント システムにダウンロードされる tar.gpg ファイルです。 |
特定のコンポーネントのデバッグ ログをダウンロードします。
デバッグ ログによって、さまざまな Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。デバッグ ログには、過去 30 日間に生成された重大な警告アラームと、過去 7 日間に生成された情報アラームが含まれています。問題を報告しているときに、これらのデバッグ ログを有効にして、問題の診断と解決のためにこれらのログを送信するよう求められる場合があります。
コンポーネント | デバッグ ログ |
---|---|
Active Directory | ad_agent.log |
Cache Tracker | tracking.log |
Entity Definition Framework (EDF) | edf.log |
JMS | ise-psc.log |
ライセンス | ise-psc.log |
Notification Tracker | tracking.log |
Replication-Deployment | replication.log |
Replication-JGroup | replication.log |
Replication Tracker | tracking.log |
RuleEngine-Attributes | ise-psc.log |
RuleEngine-Policy-IDGroups | ise-psc.log |
accessfilter | ise-psc.log |
admin-infra | ise-psc.log |
boot-strap wizard | ise-psc.log |
cisco-mnt | ise-psc.log |
クライアント | ise-psc.log |
cpm-clustering | ise-psc.log |
cpm-mnt | ise-psc.log |
epm-pdp | ise-psc.log |
epm-pip | ise-psc.log |
anc | ise-psc.log |
anc |
ise-psc.log |
ers | ise-psc.log |
guest | ise-psc.log |
ゲスト アクセス管理 |
guest.log |
ゲスト アクセス |
guest.log |
MyDevices |
guest.log |
ポータル(Portal) |
guest.log |
ポータル セッション マネージャ |
guest.log |
ポータル Web アクション |
guest.log |
guestauth | ise-psc.log |
guestportal | ise-psc.log |
identitystore-AD | ise-psc.log |
infrastructure | ise-psc.log |
mdm | ise-psc.log |
mdm-pip | ise-psc.log |
mnt-alarm | alarms.log |
mnt-report | reports.log |
mydevices | ise-psc.log |
nsf | ise-psc.log |
nsf-session | ise-psc.log |
org-apache | ise-psc.log |
org-apache-cxf | ise-psc.log |
org-apache-digester | ise-psc.log |
ポスチャ | ise-psc.log |
profiler | profiler.log |
provisioning | ise-psc.log |
prrt-JNI | prrt-management.log |
runtime-AAA | prrt-management.log |
runtime-config | prrt-management.log |
runtime-logging | prrt-management.log |
sponsorportal | ise-psc.log |
swiss | ise-psc.log |
モニタリング機能によって利用されるデータ レートおよびデータ量には、これらの目的専用のノード上に別のデータベースが必要です。
ポリシー サービスと同様に、モニタリングには専用のデータベースがあり、この項で説明するトピックのようなメンテナンス タスクを実行する必要があります。
モニタリング データベースは、大量のデータを処理します。時間が経つにつれ、モニタリング ノードのパフォーマンスと効率は、そのデータをどう管理するかによって変わってきます。効率を高めるために、データを定期的にバックアップして、それをリモートのリポジトリに転送することを推奨します。このタスクは、自動バックアップをスケジュールすることによって自動化できます。
![]() (注) | 消去操作の実行中には、バックアップを実行しないでください。消去操作の実行中にバックアップが開始されると、消去操作が停止または失敗します。 |
セカンダリ モニタリング ノードを登録する場合は、最初にプライマリ モニタリング ノードをバックアップしてから、新しいセカンダリ モニタリング ノードにデータを復元することを推奨します。これにより、新しい変更内容が複製されるため、プライマリ モニタリング ノードの履歴が新しいセカンダリ ノードと同期状態となります。
消去プロセスでは、消去中にデータを保持する月数を指定することで、モニタリング データベースのサイズを管理できます。デフォルトは 3 ヵ月間です。この値は、消去用のディスク領域使用率しきい値(ディスク領域のパーセンテージ)に達したときに使用されます。このオプションでは、各月は 30 日で構成されます。デフォルトの 3 ヵ月は 90 日間です。
次に、モニタリング データベースのディスク使用に関連して従うべきガイドラインをいくつか示します。
モニタリング データベースのディスク使用量がしきい値設定の 80% を超えた場合、データベース サイズが割り当てられたディスク サイズを超過したことを示すクリティカル アラームが生成されます。ディスク使用量が 90% より大きい場合は、別のアラームが生成されます。
消去プロセスが実行され、ステータス履歴レポートが作成されます。このレポートは、 を選択して表示できます。消去の完了時に情報(INFO)アラームが生成されます。
消去は、データベースの使用済みディスク領域のパーセンテージにも基づきます。モニタリング データベースの使用済みディスク領域がしきい値(デフォルトは 80%)以上になると、消去プロセスが開始されます。このプロセスは、管理者ポータルの設定に関係なく、過去 7 日間のモニタリング データのみを削除します。ディスク領域が 80% 未満になるまで繰り返しプロセスを続行します。消去では、処理の前にモニタリング データベースのディスク領域制限が常にチェックされます。
ステップ 1 | を選択します。 | ||
ステップ 2 | データを保持する期間を月単位で指定します。指定した期間より前のデータはすべて消去されます。このオプションでは、各月は 30 日で構成されます。デフォルトの 3 ヵ月は 90 日間です。
| ||
ステップ 3 | [送信(Submit)] をクリックします。 | ||
ステップ 4 | データ消去の監査レポートを表示して、データ消去が成功したかどうかを確認します。 |
Cisco ISE ログ収集
オンデマンド バックアップの実行