Cisco ISE ロギング メカニズム
Cisco ISE には、監査、障害管理、およびトラブルシューティングに使用されるロギング メカニズムが備わっています。このロギング メカニズムは、展開されたサービスの障害状態を識別したり、問題のトラブルシューティングを効率的に行う場合に役立ちます。また、プライマリ ノードのモニタリングおよびトラブルシューティングのロギング出力が一貫した形式で生成されます。
仮想ループバック アドレスを使用してローカル システムにログを収集するように Cisco ISE ノードを設定できます。ログを外部に収集するには、ターゲットと呼ばれる外部 syslog サーバを設定します。ログは事前定義された各種のカテゴリに分類されます。ターゲット、重大度レベルなどに応じてカテゴリを編集することにより、ロギング出力をカスタマイズできます。
ベスト プラクティスとして、Cisco ISE のモニタリングおよびトラブルシューティング(MnT)ノードに syslog を送信するようにネットワーク デバイスを設定しないでください。これは、一部のネットワーク アクセス デバイス(NAD)の syslog が失われる可能性があるほか、MnT サーバが過負荷になりロードの問題が発生するためです。
ノードで ISE メッセージング サービスに障害が発生した場合、プロセス ダウン アラームがトリガーされなくなりました。ノードで ISE メッセージング サービスに障害が発生すると、そのノードでメッセージング サービスが再開されるまで、すべての syslog およびプロセス ダウン アラームが失われます。
この場合、管理者は、Cisco ISE のホーム ウィンドウの [アラーム(Alarm)] ダッシュレットにリストされるキュー リンク エラー アラームを検索する必要があります。アラームをクリックすると、[推奨されるアクション(Suggested Actions)] セクションが含まれた新しいウィンドウが開きます。問題を解決するには、次の手順に従ってください。
(注) |
モニタリング ノードがネットワーク デバイスの syslog サーバとして設定されている場合、ロギング ソースが次の形式で正しいネットワーク アクセス サーバ(NAS)の IP アドレスを送信することを確認してください。 <message_number>sequence_number: NAS_IP_address: timestamp: syslog_type: <message_text> そうしないと、これは NAS の IP アドレスに依存する機能に影響を及ぼすことがあります。 |
syslog の消去の設定
このプロセスを使用して、ローカル ログ格納期間を設定し、特定の期間後にローカル ログを削除します。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
[ローカル ログ格納期間(Local Log Storage Period)] フィールドに、設定ソースでログ エントリを保持する最大日数を入力します。 localStore フォルダのサイズが 97 GB に達した場合、ログは設定された [ローカルログの保存期間(Local Log Storage Period)] よりも前に削除されることがあります。 |
ステップ 3 |
格納期間が経過する前に既存のログ ファイルを削除するには、[今すぐログを削除(Delete Logs Now)] をクリックします。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
Cisco ISE メッセージングを介した syslog
UDP syslog に ISE メッセージングサービスを使用すると、MnT ノードにアクセスできなくても、運用データは一定期間保持されます。MnT WAN 存続可能性の期間は約 2 時間 30 分です。
このサービスは、TCP ポート 8671 を使用します。それに応じてネットワークを設定し、展開内の他のすべての ISE ノードから各 ISE ノードの TCP ポート 8671 への接続を許可してください。次の機能では、ISE メッセージングサービス(ライト セッション ディレクトリおよびプロファイラ永続キュー)も使用します。
(注) |
展開で ISE 展開に TCP/Secure syslog を使用する場合、機能は以前のリリースと同じままです。 |
キューリンクアラーム
ISE メッセージングサービスは、内部 CA チェーンによって署名された別の証明書を使用します。queue-link alarm
が表示される場合があります。このアラームは、展開へのノードの登録、PPAN からのノード、非同期状態のノード、またはアプリケーションサービスが再起動しているノードでの同期などの導入操作を実行している場合に想定されます。アラームを解決するには、次のことを確認します。
-
すべてのノードが接続され、同期されている。
-
すべてのノードと ISE メッセージングサービスが機能している。
-
ISE メッセージング サービス ポートは、ファイアウォールなどの外部エンティティによってブロックされていない。
-
各ノードの ISE メッセージング証明書チェーンが破損しておらず、証明書の状態が良好である。
上記の前提条件が満たされている場合は、次のアクションによって queue-link アラームがトリガーされます。
-
PAN または PSN のドメイン名またはホスト名の変更。
-
新しい展開でのバックアップの復元。
-
アップグレード後に古いプライマリ PAN を新しいプライマリ PAN に昇格。
queue-link アラームを解決するには、ISE ルート CA チェーンを再生成します。 をクリックします。[証明書の使用先(Certificate(s) will be used for)] ドロップダウンリストから [ISEルートCA(ISE Root CA)] を選択します。[ISEルートCA証明書チェーンの置き換え(Replace ISE Root CA Certificate chain)] をクリックします。
を選択します。[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests(CSR))]MnT への UDP Syslog の伝送用に ISE メッセージングサービスを有効または無効にするには:
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ログ設定(Log Settings)] の順に選択します。 |
ステップ 2 |
UDP syslog の伝送に ISE メッセージングサービスを使用するには、[MnTにUDP Syslogを伝送するために「ISEメッセージングサービス」を使用(Use “ISE Messaging Service” for UDP Syslogs delivery to MnT)] オプションを切り替えます。 |
ステップ 3 |
[保存(Save)] をクリックします。 |