Cisco ISE 2.7 管理者ガイド: メンテナンスとモニタ

適応型ネットワーク制御

適応型ネットワーク制御（ANC）は、管理ノードで実行されるサービスで、エンドポイントのネットワークアクセスのモニタリングと制御に使用できます。 ANC は、ISE 管理者が管理 GUI で呼び出すことも、サードパーティシステムから pxGrid を介して呼び出すこともできます。 ANC は有線展開とワイヤレス展開をサポートしており、 Plus ライセンスが必要です。

ANC を使用すると、システムの認証ポリシー全体を変更することなく認可状態を変更できます。 ANC を使用すると、 ANCPolicy を確認してネットワークアクセスを制限または拒否するように認証ポリシーが定義されている場合、確立された認証ポリシーの結果としてエンドポイントを隔離するときの認可状態を設定することができます。エンドポイントを隔離解除して、フルネットワークアクセスを可能にできます。ネットワークからエンドポイントを接続解除する Network Attached System（NAS）上のポートをシャットダウンすることもできます。

一度に隔離できるユーザの数に制限はなく、また隔離期間の長さにも制限はありません。

ANC によってネットワークアクセスをモニタおよび制御するには、次の操作を実行します。

隔離：例外ポリシー（許可ポリシー）を使用して、ネットワークへのエンドポイントアクセスを制限または拒否することができます。 ANCPolicy に応じて異なる認証プロファイル（権限）を割り当てるために、例外ポリシーを作成する必要があります。隔離状態に設定すると、基本的に、デフォルトの VLAN から指定した隔離 VLAN にエンドポイントが移動します。エンドポイントと同じ NAS でサポートされる隔離 VLAN を事前に定義する必要があります。
隔離解除：エンドポイントのネットワークへのフルアクセスを許可し、エンドポイントを元の VLAN に戻す隔離ステータスを反転することができます。
シャットダウン：NAS 上のポートを非アクティブ化し、ネットワークからエンドポイントを接続解除することができます。エンドポイントが接続されている NAS 上のポートがシャットダウンされた後、エンドポイントがネットワークに接続できるようにするには、 NAS 上のポートを手動で再度リセットする必要があります。この操作は無線展開では実行できません。

アクティブエンドポイントに対する隔離および隔離解除操作は、セッションディレクトリレポートからトリガーできます。

注	隔離されていたセッションが隔離解除された場合、新たに隔離解除されたセッションの開始方法は、スイッチ設定で指定されている認証方法によって決まります。

Cisco ISE での適応型ネットワーク制御の有効化

ANC は、デフォルトで無効になっています。pxGrid が有効にされた場合にのみ有効になり、管理者ポータルでサービスを手動で無効にするまで有効のままになります。

ネットワークアクセスの設定

ANC によって、ネットワークアクセスステータスをリセットして、ポートを隔離、隔離解除、またはシャットダウンすることができます。この操作により、ネットワークアクセスステータスに応じたネットワークへの許可が定義されます。

エンドポイントの隔離や隔離解除、またはエンドポイントが接続されているネットワークアクセスサーバ（NAS）ポートのシャットダウンを行うには、エンドポイントの IP アドレスまたは MAC アドレスを使用します。同時に実行しない限り、同じエンドポイントに複数回、隔離操作および隔離解除操作を実行できます。ネットワーク上に悪意のあるエンドポイントを見つけた場合は、 ANC を使用してそのエンドポイントのアクセスをシャットダウンし、NAS ポートを閉じることができます。

ANC ポリシーをエンドポイントに割り当てるには、次の手順を実行します。

はじめる前に

ANC を有効にする必要があります。
ANC の認証プロファイルおよび例外タイプの認証ポリシーを作成する必要があります。

手順

ステップ 1	[操作（Operations）] > [適応型ネットワーク制御（Adaptive Network Control）] > ポリシーリスト（Policy List）] の順に選択します。
ステップ 2	[追加（Add）] をクリックします。
ステップ 3	ANC ポリシーの名前を入力し、ANC アクションを指定します。次のオプションを使用できます。検疫（Quarantine）シャットダウン（Shut_Down）ポートバウンス（Port_Bounce） 1 つまたは複数のアクションを選択できますが、[シャットダウン（Shut_Down）] および [ポートバウンス（Port_Bounce）] を他の ANC アクションと組み合わせることはできません。
ステップ 4	[ポリシー（Policy）] > [ポリシーセット（Policy Sets）] を選択して、ポリシーセットを展開します。
ステップ 5	ANCPolicy 属性を使用して ANC ポリシーを対応する許可ポリシーに関連付けます。
ステップ 6	[操作（Operations）] > [適応型ネットワーク制御（Adaptive Network Control）] > [エンドポイント割り当て（Endpoint Assignment）] の順に選択します。
ステップ 7	[追加（Add）] をクリックします。
ステップ 8	エンドポイントの IP アドレスまたは MAC アドレスを入力し、[ポリシー割り当て（Policy Assignment）] ドロップダウンリストからポリシーを選択します。
ステップ 9	[送信（Submit）] をクリックします。

ANC によるネットワークアクセスの認証プロファイルの作成

ANC に使用する認証プロファイルを作成する必要があります。認証プロファイルは、標準認証プロファイルのリストに表示されます。エンドポイントはネットワークで認証および許可されますが、ネットワークへのアクセスが制限されています。

手順

ステップ 1	[ポリシー（Policy）] > [ポリシー要素（Policy Elements）] > [認証（Authorization）] > [認証プロファイル（Authorization Profiles）] を選択します。
ステップ 2	[追加（Add）] をクリックします。
ステップ 3	認証プロファイルの一意の名前と説明を入力し、[アクセスタイプ（Access Type）] は [ACCESS_ACCEPT] のままにします。
ステップ 4	[DACL名（DACL Name）] チェックボックスをオンにし、ドロップダウンリストから [DENY_ALL_TRAFFIC] を選択します。
ステップ 5	[送信（Submit）] をクリックします。

例外認証ポリシーは、特別な条件や権限、または緊急の要件を満たすために制限付きアクセスを許可することを目的としています。ANC 認証用に、すべての標準認証ポリシーの前に処理される隔離例外ポリシーを作成する必要があります。次の条件で例外ルールを作成する必要があります：Session:ANCPolicy EQUALS Quarantine

ANC 隔離と隔離解除フロー

選択したエンドポイントのネットワークへのアクセスを制限するために、 ANC を使用してこれらを隔離できます。エンドポイントを隔離し、ステータスに応じて異なる認証プロファイルを割り当てる例外認証ポリシーを確立できます。認証プロファイルは認証ポリシーで定義される権限のコンテナとして機能し、認証ポリシーによって特定のネットワークサービスへのアクセスが許可されます。認証が完了すると、ネットワークアクセス要求に権限が付与されます。エンドポイントの妥当性が認められた場合には、エンドポイントの隔離を解除してネットワークへのフルアクセスを許可できます。

この図は、隔離フローを示しています。認証ルールが設定され、 ANC セッションが確立されていることを前提としています。

クライアントデバイスがワイヤレスデバイス（WLC）を通じてネットワークにログインし、隔離の REST API コールが管理ノード（PAP）からモニタリングノード（MnT）に発行されます。
続いてモニタリングノードは、ポリシーサービス ISE ノード（PDP）を通じて PrRT をコールし、CoA を呼び出します。
クライアントデバイスが切断されます。
その後、クライアントデバイスが再認証および再接続されます。
クライアントデバイスに対する RADIUS 要求が、モニタリングノードに返送されます。
チェックが行われている間、クライアントデバイスは隔離されます。
Q プロファイル認証ポリシーが適用され、クライアントデバイスの妥当性が確認されます。
クライアントデバイスの隔離が解除され、ネットワークにフルアクセスできるようになります。

ANC NAS ポートのシャットダウンフロー

エンドポイントの IP アドレスまたは MAC アドレスを使用して、エンドポイントの接続先 NAS ポートをシャットダウンできます。

シャットダウンでは、MAC アドレスに対して指定された IP アドレスに基づいて NAS ポートを閉じることが可能です。また、手動でポートを復元して、エンドポイントをネットワークに戻す必要があります。この操作は、有線メディアで接続されたエンドポイントのみに有効です。

シャットダウンはすべてのデバイスでサポートされているわけではありません。ただし、大部分のスイッチでシャットダウンコマンドがサポートされています。 getResult() コマンドを使用すると、シャットダウンが正常に実行されたかどうかを確認できます。

この図は、 ANC のシャットダウンフローを示しています。図のクライアントデバイスでは、このクライアントデバイスがネットワークにアクセスするために使用する NAS でシャットダウン操作が実行されます。

エンドポイントの消去の設定

[管理（Administration）] > [IDの管理（Identity Management）] > [設定（Settings）] > [エンドポイント消去（Endpoint Purge）] を使用して、ID グループおよび他の条件に基づいて、設定ルールによってエンドポイント消去ポリシーを定義できます。指定したエンドポイントを消去しないことや、選択したプロファイリング条件に基づいてエンドポイントを消去することを選択できます。

エンドポイント消去ジョブをスケジュールできます。このエンドポイント消去スケジュールはデフォルトで有効です。Cisco ISE はデフォルトで、 30 日よりも古い登録デバイスとエンドポイントを削除します。消去ジョブは、プライマリ PAN で設定された時間帯に基づいて毎日午前 1 時に実行されます。

エンドポイントの消去では、3 分ごとに 5000 エンドポイントが削除されます。

次に、エンドポイントの消去に使用できる条件と例の一部を示します。

InactivityDays：エンドポイントでの最後のプロファイリングアクティビティまたは更新からの日数。
- この条件によって、時間の経過に伴って蓄積した古いデバイス（一般的には一時的なゲストやパーソナルデバイス）、または廃止されたデバイスが消去されます。これらのエンドポイントは、ネットワーク上でアクティブでないか、近い将来に使用される可能性が低いため、ほとんどの展開でノイズとなる傾向があります。それらが再度接続した場合は、必要に応じて再検出、プロファイリング、登録などが行われます。
- エンドポイントから更新が発生すると、InactivityDays はプロファイリングが有効である場合にのみ 0 にリセットされます。
ElapsedDays：オブジェクトが作成されてからの日数。
- この条件は、ゲストまたは請負業者のエンドポイント、ネットワークアクセスに WebAuth を利用する従業員などの、未認証アクセスまたは条件付きアクセスが一定期間認められたエンドポイントに使用できます。許可された接続猶予期間が経過した後、それらは完全に再認証および登録される必要があります。
PurgeDate：エンドポイントを消去する日付。
- このオプションは、作成または開始時間に関係なく一定期間のアクセスを許可する、特別なイベントやグループに使用できます。このオプションでは、すべてのエンドポイントを同時に消去できます。たとえば、展示会、会議、または毎週メンバーが入れ替わる週ごとのトレーニングクラスでは、絶対的な日/週/月ではなく、特定の週や月にアクセスを許可する場合に使用します。

隔離済みエンドポイントがポリシー変更の後に認証を更新しない

問題

ポリシー変更または ID の追加後に認証が失敗し、再認証が行われません。認証が失敗するか、問題のエンドポイントがネットワークに接続できなくなります。この問題は、ユーザロールに割り当てられるポスチャポリシーごとのポスチャ評価に失敗するクライアントマシンで頻繁に発生します。

考えられる原因

クライアントマシンで認証タイマーが正しく設定されていないか、またはスイッチ上で認証間隔が正しく設定されていません。

ソリューション

この問題には、解決策がいくつか考えられます。

Cisco ISE で、指定された NAD またはスイッチの Session Status Summary レポートを検査し、インターフェイスに適切な認証間隔が設定されていることを確認します。
NAD/スイッチ上で「show running configuration」と入力し、適切な「authentication timer restart」設定でインターフェイスが設定されていることを確認します。（たとえば、「authentication timer restart 15」および「authentication timer reauthenticate 15」）。
NAD/スイッチ上で「interface shutdown」および「no shutdown」と入力してポートをバウンスし、 Cisco ISE で変更があったと考えられる場合には再認証を適用します。

注	CoA は MAC アドレスまたはセッション ID を必要とするので、 Network Device SNMP レポートに表示されるポートをバウンスしないように推奨しています。

ANC 操作は IP アドレスまたは MAC アドレスが見つからない場合に失敗する

エンドポイントで実行する ANC 操作は、そのエンドポイントのアクティブなセッションに IP アドレスに関する情報が含まれていない場合に失敗します。これは、そのエンドポイントの MAC アドレスおよびセッション ID にもあてはまります。

注	ANC を介してエンドポイントの許可状態を変更する場合は、エンドポイントの IP アドレスまたは MAC アドレスを指定する必要があります。IP アドレスまたは MAC アドレスがエンドポイントのアクティブなセッションで見つからない場合、「この MAC アドレス、IP アドレスまたはセッション ID のアクティブなセッションが見つかりません（No active session found for this MAC address, IP Address or Session ID）」というエラーメッセージが表示されます。

外部認証された管理者が ANC 操作を実行できない

外部認証された管理者がライブセッションから CoA 隔離を発行しようとすると、 Cisco ISE は次のエラーメッセージを返します。

「 xx: xx: xx: xx: xx: xx に対する隔離の CoA アクションを開始できません。（CoA Action of Quarantine for xx:xx:xx:xx:xx:xx can not be initiated）原因：内部でユーザが見つかりません。（Cause:User not found internally.）サポートされていない外部認証されたユーザを使用している可能性があります（Possible use of unsupported externally authenticated user）」

外部認証された管理者が、エンドポイントの IP アドレスまたは MAC アドレスを使用して、Cisco ISE 管理者ポータル内の [操作（Operations）] > [適応型ネットワーク制御（Adaptive Network Control）] から ANC 操作を実行すると、Cisco ISE は次のエラーメッセージを返します。

「サーバ障害：内部でユーザが見つかりません。（Server failure: User not found internally）サポートされていない外部認証されたユーザを使用している可能性があります（Possible use of unsupported externally authenticated user）」

Cisco ISE ソフトウェアパッチ

Cisco ISE ソフトウェアパッチは通常累積されます。Cisco ISE では、パッチのインストールおよびロールバックを CLI または GUI から実行できます。

展開内の Cisco ISE サーバにパッチをインストールする作業は、プライマリ PAN から行うことができます。プライマリ PAN からパッチをインストールするには、 Cisco.com からクライアントブラウザを実行しているシステムにパッチをダウンロードします。

GUI からパッチをインストールする場合、パッチは最初にプライマリ PAN に自動的にインストールされます。その後、システムは、 GUI にリストされている順序で、展開内の他のノードにパッチをインストールします。ノードが更新される順序を制御することはできません。また、GUI の [管理者（Administrator）] > [システム（System）] > [メンテナンス（Maintenance）] > [パッチ管理（Patch Management）] ウィンドウから、手動でパッチバージョンをインストール、ロールバック、および表示することもできます。

CLI からパッチをインストールする場合は、ノードの更新順序を制御できます。ただし、最初にプライマリ PAN にパッチをインストールすることを推奨します。

展開全体をアップグレードする前にいくつかのノードでパッチを検証する場合、CLI を使用すると、選択したノードでパッチをインストールできます。パッチをインストールするには、次の CLI コマンドを使用します。

patch install <patch_bundle> <repository_that_stores_patch_file>

詳細については、『Cisco Identity Services Engine CLI Reference Guide』の「CISCO ISE CLI COMMANDS In EXEC Mode」の章にある「install Patch」のセクションを参照してください。

必要なパッチバージョンを直接インストールすることができます。たとえば、Cisco ISE 2.x を使用していて、 Cisco ISE 2.x パッチ 5 をインストールする場合、以前のパッチ（Cisco ISE 2.x パッチ 1 ～ 4 など）をインストールしなくても、Cisco ISE 2.x パッチ 5 を直接インストールできます。CLI でパッチバージョンを表示するには、次の CLI コマンドを使用します。

show version

ソフトウェアパッチインストールのガイドライン

ISE ノードにパッチをインストールすると、インストールの完了後にノードが再起動されます。再びログインできる状態になるまで、数分かかることがあります。メンテナンスウィンドウ中にパッチをインストールするようにスケジュール設定し、一時的な機能停止を回避することができます。

インストールするパッチが、ネットワーク内に展開されている Cisco ISE のバージョンに適用されるものであることを確認してください。Cisco ISE はパッチファイルのバージョンの不一致とあらゆるエラーをレポートします。

Cisco ISE に現在インストールされているパッチよりも低いバージョンのパッチはインストールできません。同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco ISE にインストール済みの場合、ロールバックはできません。たとえば、パッチ 3 が Cisco ISE サーバにインストール済みの場合に、パッチ 1 または 2 をインストールしたり、パッチ 1 または 2 にロールバックしたりすることはできません。

分散展開の一部であるプライマリ PAN からパッチのインストールを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリノードとすべてのセカンダリノードにインストールされます。パッチのインストールがプライマリ PAN で成功すると、 Cisco ISE はセカンダリノードでパッチのインストールを続行します。プライマリ PAN で失敗した場合は、インストールはセカンダリノードに進みません。ただし、何らかの理由でセカンダリノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリノードでインストールが実行されます。

2 ノード展開の一部であるプライマリ PAN からパッチのインストールを実行するときは、Cisco によってそのパッチが展開内のプライマリノードとセカンダリノードにインストールされます。パッチのインストールがプライマリ PAN で成功すると、Cisco はセカンダリノードでパッチのインストールを続行します。プライマリ PAN で失敗した場合は、インストールはセカンダリノードに進みません。

ソフトウェアパッチのインストール

はじめる前に

スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。
[管理（Administration）] > [システム（System）] > [展開（Deployment）] > [PANのフェールオーバー（PAN Failover）] に移動し、[PANの自動フェールオーバーを有効にする（Enable PAN Auto Failover）] チェックボックスがオフになっていることを確認します。このタスクの期間中は、PAN の自動フェールオーバー設定を無効にする必要があります。

手順

ステップ 1

[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [パッチ管理（Patch Management）] > [インストール（Install）] を選択します。

ステップ 2

[参照（Browse）] をクリックし、Cisco.com からダウンロードしたパッチを選択します。

ステップ 3

[インストール（Install）] をクリックしてパッチをインストールします。

PAN でのパッチのインストールが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

注	パッチインストールの進行中は、[パッチ管理（Patch Management）] ページ上の機能のうち、アクセスできるのは [ノードステータスを表示（Show Node Status）] のみです。

ステップ 4

[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [パッチ管理（Patch Management）] を選択して、[パッチのインストール（Patch Installation）] ページに戻ります。

ステップ 5

セカンダリノードにインストールしたパッチの横のオプションボタンをクリックし、[ノードステータスを表示（Show Node Status）] をクリックしてインストールが完了したことを確認します。

次の作業

1 つ以上のセカンダリノードでパッチをインストールする必要がある場合は、ノードが動作中であることを確認し、プロセスを繰り返して残りのノードにパッチをインストールします。

ソフトウェアパッチのロールバック

複数のノードの展開の一部である PAN からパッチのロールバックを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリノードとすべてのセカンダリノードにロールバックされます。

はじめる前に

スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

手順

ステップ 1

[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [パッチ管理（Patch Management）] を選択します。

ステップ 2

変更をロールバックするパッチバージョンのオプションボタンをクリックしてから、[ロールバック（Rollback）] をクリックします。

注	パッチのロールバックの進行中は、[パッチ管理（Patch Management）] ページ上の機能のうち、アクセスできるのは [ノードステータスを表示（Show Node Status）] のみです。 PAN からのパッチのロールバックが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

ステップ 3

ログイン後に、ページの一番下にある [アラーム（Alarms）] リンクをクリックしてロールバック操作のステータスを表示します。

ステップ 4

[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [パッチ管理（Patch Management）] を選択します。

ステップ 5

パッチのロールバックの進行状況を表示するには、[パッチ管理（Patch Management）] ページでパッチを選択し、[ノードステータスを表示（Show Node Status）] をクリックします。

ステップ 6

パッチのオプションボタンをクリックし、セカンダリノード上で [ノードステータスを表示（Show Node Status）] をクリックして、そのパッチが展開内のすべてのノードからロールバックされたことを確認します。

そのパッチがロールバックされていないセカンダリノードがある場合は、そのノードが稼働中であることを確認してから、プロセスをもう一度実行して残りのノードから変更をロールバックしてください。Cisco ISE は、このバージョンのパッチがインストールされているノードからのみパッチをロールバックします。

ソフトウェアパッチロールバックのガイドライン

展開の Cisco ISE ノードからパッチをロールバックするには、最初に PAN から変更をロールバックします。これに成功すると、セカンダリノードからパッチがロールバックされます。PAN でロールバックプロセスが失敗した場合は、セカンダリノードからのパッチのロールバックは行われません。ただし、いずれかのセカンダリノードでパッチのロールバックが失敗しても、展開内の次のセカンダリノードからのパッチのロールバックは継続されます。

Cisco ISE によるセカンダリノードからのパッチロールバックが進行中のときも、引き続き PAN GUI から他のタスクを実行できます。セカンダリノードは、ロールバック後に再起動されます。

パッチのインストールおよびロールバックの変更の表示

インストールされているパッチに関連するレポートを表示するには、次の手順を実行します。

はじめる前に

スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [パッチ管理（Patch Management）] ページで、パッチをインストールまたはロールバックできます。展開内の各ノードで特定のパッチのステータス（[インストール済み（installed）]、[処理中（in-progress）]、[未インストール（not installed）]）を確認できます。このためには、特定のパッチを選択し、[ノードステータスを表示（Show Node Status）] ボタンをクリックします。

手順

ステップ 1	[操作（Operations）] > [レポート（Reports）] >[監査（Audit）] > [操作監査（Operations Audit）] を選択します。デフォルトでは、過去 7 日間のレコードが表示されます。
ステップ 2	[フィルタ（Filter）] ドロップダウンをクリックして [クイックフィルタ（Quick Filter）] または [高度なフィルタ（Advanced Filter）] を選択し、必要なキーワード（例：patch install iniated）を使用して、インストール済みのパッチを示すレポートを生成します。

バックアップデータのタイプ

Cisco ISE では、プライマリ PAN とモニタリングノードからデータをバックアップすることができます。バックアップは CLI またはユーザインターフェイスから実行できます。

Cisco ISE では次のタイプのデータのバックアップが可能です。

設定データ：アプリケーション固有および Cisco ADE オペレーティングシステム両方の設定データが含まれます。バックアップは、 GUI または CLI を使用してプライマリ PAN を介して実行できます。
運用データ：モニタリングおよびトラブルシューティングデータが含まれます。バックアップは、プライマリ PAN GUI を介して、またはモニタリングノードの場合は CLI を使用して実行できます。

Cisco ISE が VMware で実行されている場合、ISE データをバックアップするのに、VMware スナップショットはサポートされていません。

注

Cisco ISE は、ISE データのバックアップ用の VMware スナップショットをサポートしていません。これは、VMware スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。シスコは、データのアーカイブおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。

VMware スナップショットまたはサードパーティのバックアップを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。バックアップが VMware または CommVault SAN レベルのバックアップのようなサードパーティによって開始された場合、ファイルシステムを休止してクラッシュ整合を維持するため、 ISE のフリーズを引き起こします。ISE のサービスを再開するには再起動が必要です。

例：VM スナップショット、CommVault SAN レベルのバックアップなど。

復元操作は、以前のバージョンの Cisco ISE のバックアップファイルを使用して実行でき、以降のバージョンで復元できます。たとえば、Cisco ISE リリース 1.3 または 1.4 からの ISE ノードのバックアップがある場合、そのバックアップを Cisco ISE リリース 2.1 で復元できます。

Cisco ISE リリース 2.7 は、リリース 2.2 以降から取得したバックアップからの復元をサポートしています。

バックアップ/復元リポジトリ

Cisco ISE では管理者ポータルを使用してリポジトリを作成および削除することができます。次のタイプのリポジトリを作成できます。

ディスク（DISK）
FTP
SFTP
NFS
CD-ROM
HTTP
HTTPS

注	リポジトリは、各デバイスに対してローカルです。

どのタイプの展開（小規模、中規模、大規模）であっても、最低でも 100 GB のリポジトリサイズを用意することを推奨します。

次の表に、Cisco ISE 操作と外部リポジトリタイプのサポート情報を示します。

表 1.外部リポジトリのサポートマトリックス
リポジトリタイプ（Repository Type）	バックアップの設定	復元の設定	アップグレード	操作バックアップ	復元操作	サポートバンドル	ユーザインターフェイスからの検証	ユーザインターフェイスからのレポートのエクスポート	ユーザインターフェイスからのポリシーのエクスポート
[FTP]	√	√	√	√	√	√	√	√	√
[SFTP]	√	√	√	√	√	√	√	√	√
TFTP	√	√	√	√	√	√	X	√	√
[HTTP]	X	X	√	X	X	X	X	X	X
HTTPS	X	X	√	X	X	X	X	X	X
NFS	√	√	√	√	√	√	√	√	√

リポジトリの作成

リポジトリを作成するには、CLI と GUI を使用します。次の理由により、GUI を使用することを推奨します。

CLI で作成されたリポジトリはローカルに保存され、他の展開ノードに複製されません。これらのリポジトリは、GUI のリポジトリページに表示されません。
プライマリ PAN で作成されたリポジトリは、他の展開ノードに複製されます。

キーはプライマリ PAN でのみ GUI で生成されます。このためアップグレード時に、新しいプライマリ管理ノードの GUI でキーを再生成して、SFTP サーバにエクスポートする必要があります。展開からノードを除去する場合、非管理ノードの GUI でキーを生成し、SFTP サーバにエクスポートする必要があります。

RSA 公開キー認証を使用する Cisco ISE の SFTP リポジトリを設定できます。データベースとログを暗号化するために管理者が作成したパスワードを使用する代わりに、セキュアキーを使用する RSA 公開キー認証を選択できます。RSA 公開キーを使用して作成された SFTP リポジトリの場合、GUI から作成されたリポジトリは CLI では複製されず、CLI から作成されたリポジトリは GUI では複製されません。CLI と GUI で同じリポジトリを設定するには、CLI と GUI の両方で RSA 公開キーを生成し、この両方のキーを SFTP サーバにエクスポートします。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
RSA 公開キー認証を使用する SFTP リポジトリを作成する場合は、次を実行してください。
- SFTP リポジトリの RSA 公開キー認証を有効にします。
- crypto host_key add コマンドを使用して Cisco ISE CLI から SFTP サーバのホストキーを入力します。ホストキー文字列は、リポジトリの設定ページで、[パス（Path）] フィールドに入力したホスト名と一致する必要があります。
- GUI でキーペアを生成し、ローカルシステムに公開キーをエクスポートします。 Cisco ISE CLI から crypto key generate rsa passphrase test123 コマンドを使用してキーペアを生成し（この場合パスフレーズは 5 文字以上でなければなりません）、キーを任意のリポジトリ（ローカルディスクまたは設定されているその他のリポジトリ）にエクスポートします。
- エクスポートした RSA 公開キーを PKI 対応の SFTP サーバにコピーし、「authorized_keys」ファイルに追加します。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [リポジトリ（Repository）] を選択します。
ステップ 2	[追加（Add）] をクリックして、新しいリポジトリを追加します。
ステップ 3	新しいリポジトリのセットアップの必要に応じて値を入力します。[リポジトリの設定（Repository Settings）] フィールドの説明については、を参照してください。
ステップ 4	[送信（Submit）] をクリックしてリポジトリを作成します。
ステップ 5	左側の [操作（Operations）] ナビゲーションウィンドウで [リポジトリ（Repository）] をクリックするか、このページ上部の [リポジトリリスト（Repository List）] リンクをクリックし、リポジトリのリストページに移動して、リポジトリが正常に作成されていることを確認します。

次の作業

作成したリポジトリが有効であることを確認します。これは、リポジトリのリストページから行います。リポジトリを選択し、[確認（Validate）] をクリックします。また、Cisco ISE コマンドラインインターフェイスから次のコマンドを実行することもできます。

show repository repository_name

ここで、 repository_name は作成したリポジトリの名前です。

注	リポジトリの作成時に指定したパスが存在しない場合、「%無効なディレクトリです（%Invalid Directory）」というエラーが表示されます。

オンデマンドバックアップを実行するかバックアップのスケジュールを設定します。

リポジトリの設定

次の表では、リポジトリを作成してバックアップファイルを保存するために使用できる [リポジトリリスト（Repository List）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理（Administration）] > [システム（System）] > [メンテナンス（Maintenance）] > [リポジトリ（Repository）] です。

表 2.リポジトリの設定

フィールド

使用上のガイドライン

リポジトリ（Repository）

リポジトリの名前を入力します。最大 80 文字の英数字を使用できます。

プロトコル

使用する使用可能なプロトコルの 1 つを選択します。

サーバ名（Server Name）

（TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須）リポジトリの作成先サーバのホスト名または IP アドレス（IPv4 または IPv6）を入力します。

注	IPv6 アドレスを使用してリポジトリを追加する場合は、IPv6 アドレスを使用して ISE eth0 インターフェイスが設定されていることを確認します。

パス

リポジトリへのパスを入力します。このパスは、リポジトリの作成時に有効であり、存在している必要があります。

この値は、サーバのルートディレクトリを示す 2 つのスラッシュ（//）または単一のスラッシュ（/）で開始できます。ただし、FTP プロトコルの場合は、単一のスラッシュ（/）はルートディレクトリではなく FTP ユーザのホームディレクトリを示します。

PKI 認証を有効にします。

（任意：SFTP リポジトリにのみ適用） SFTP リポジトリで RSA 公開キー認証を有効にするには、このチェックボックスをオンにします。

ユーザ名（User Name）

（FTP、SFTP で必須）指定されたサーバに対する書き込み権限を持つユーザ名を入力します。使用できる文字は英数字のみです。

[パスワード（Password）]

（FTP、SFTP で必須）指定されたサーバへのアクセスに使用するパスワードを入力します。パスワードに使用できる文字は、 0 ～ 9、a ～ z、A ～ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。

SFTP リポジトリでの RSA 公開キー認証の有効化

SFTP サーバでは、各ノードに 2 つの RSA 公開キー（CLI 用と GUI 用にそれぞれ 1 つずつ）が必要です。 SFTP リポジトリの RSA 公開キー認証を有効にするには、以下の手順に従います。

手順

ステップ 1

/etc/ssh/sshd_config.file を編集する権限を持つアカウントで SFTP サーバにログインします。

注	sshd_config ファイルの場所は、インストールされているオペレーティングシステムによって異なる可能性があります。

ステップ 2

vi /etc/ssh/sshd_config コマンドを入力します。

sshd_config ファイルの内容がリストされます。

ステップ 3

RSA 公開キー認証を有効にするには、以下の行の「#」記号を削除します。

RSAAuthentication yes

PubkeyAuthentication yes

Note

Public Auth Key が no の場合は yes に変更してください。

AuthorizedKeysFile ~/.ssh/authorized_keys

オンデマンドおよびスケジュールバックアップ

プライマリ PAN およびプライマリモニタリングノードのオンデマンドバックアップを設定できます。バックアップデータがすぐに必要な場合にオンデマンドバックアップを実行します。

システムレベルのバックアップは、1 回のみ、毎日、毎週、または毎月実行するようにスケジュールできます。バックアップ操作は長時間かかる場合がありますが、スケジュールできるため中断が発生することはありません。管理者ポータルからバックアップをスケジュールできます。

注	内部 CA を使用している場合は、CLI を使用して証明書とキーをエクスポートする必要があります。管理ポータルのバックアップでは、CA チェーンはバックアップされません。詳細については、『Cisco Identity Services Engine Administrator Guide』の「Basic Setup」の章にある「Export Cisco ISE CA Certificates and Keys」のセクションを参照してください。

オンデマンドバックアップの実行

オンデマンドバックアップを実行して、即座に設定データまたはモニタリング（運用）データをバックアップすることができます。復元操作では、バックアップ取得時の設定状態に Cisco ISE が復元されます。

重要

バックアップと復元を行う場合、復元によって、ターゲットシステムの信頼できる証明書のリストがソースシステムの証明書のリストによって上書きされます。バックアップおよび復元機能に内部認証局（CA）の証明書に関連付けられた秘密キーが含まれないことに注意することが非常に重要です。

1 つのシステムから別のシステムにバックアップと復元を行う場合は、エラーを回避するために、次のオプションのいずれかを選択する必要があります。

オプション 1：

CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲットシステムに CLI を使用してインポートします。

長所：ソースシステムからエンドポイントに発行されたすべての証明書が引き続き信頼されます。ターゲットシステムによって発行された新しい証明書は、同じキーによって署名されます。

短所：復元機能を使用する前にターゲットシステムによって発行された証明書は信頼されないため、再発行する必要があります。
オプション 2：

復元処理の後、内部 CA のすべての新しい証明書を生成します。

長所：このオプションは推奨される適切な方法です。元のソースの証明書も元のターゲットの証明書も使用されません。元のソースシステムによって発行された証明書は引き続き信頼されます。

短所：復元機能を使用する前にターゲットシステムによって発行された証明書は信頼されないため、再発行する必要があります。

はじめる前に

この作業を実行する前に、 Cisco ISE のバックアップデータのタイプの基本を理解している必要があります。
バックアップファイルを格納するリポジトリを作成したことを確認します。
ローカルリポジトリを使用してバックアップしないでください。リモートモニタリングノードのローカルリポジトリで、モニタリングデータをバックアップすることはできません。
バックアップを取得する前に、すべての証明書関連の変更を実行します。

次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。

注	バックアップ/復元操作では、次のリポジトリタイプはサポートされていません。CD-ROM、HTTP、 HTTPS、または TFTP。これは、これらのリポジトリタイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。バックアップを復元するには、リポジトリを選択し、[復元（Restore）] をクリックします。

手順

ステップ 1

[管理（Administration）] > [システム（System）] > [バックアップと復元（Backup and Restore）] を選択します。

ステップ 2

バックアップのタイプ（[設定（Configuration）] または [動作中（Operational）]）を選択します。

ステップ 3

[すぐにバックアップ（Backup Now）] をクリックします。

ステップ 4

バックアップを実行するために必要な値を入力します。

ステップ 5

[Backup] をクリックします。

ステップ 6

バックアップが正常に完了したことを確認します。

Cisco ISE はタイムスタンプを持つバックアップファイル名を付け、指定されたリポジトリにファイルを保存します。タイムスタンプに加えて、Cisco ISE は設定バックアップには CFG タグ、操作バックアップには OPS タグを追加します。バックアップファイルが指定リポジトリにあることを確認します。

分散展開では、バックアップの実行中にノードのロールを変更したり、ノードの設定を行ったりすることはできません。バックアップの実行中にノードのロールを変更すると、すべてのプロセスがシャットダウンし、データに不一致が生じる場合があります。ノードのロールを変更する際は、バックアップが完了するまで待機してください。

バックアップの実行中はノードを昇格しないでください。昇格すると、すべてのプロセスがシャットダウンし、バックアップを同時に実行中の場合はデータに不一致が生じる場合があります。ノードを変更する際は、バックアップが完了するまで待ってください。

注	バックアップが実行されているときに、高い CPU 使用率が観察されたり、[負荷平均が高い（High Load Average）] アラームが表示されたりする可能性があります。バックアップが完了すると、CPU 使用率は通常に戻ります。

オンデマンドバックアップの設定

次の表では、バックアップを任意の時点で取得するために使用できる [オンデマンドバックアップ（On-Demand Backup）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理（Administration）] > [システム（System）] > [バックアップ/復元（Backup & Restore）] です。

表 3.オンデマンドバックアップの設定
フィールド	使用上のガイドライン
バックアップ名（Backup Name）	バックアップファイルの名前を入力します。
リポジトリ名（Repository Name）	バックアップファイルを保存するリポジトリ。ここにリポジトリ名を入力することはできません。ドロップダウンリストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。
暗号化キー（Encryption Key）	このキーは、バックアップファイルの暗号化および解読に使用されます。

バックアップのスケジュール

オンデマンドバックアップを実行して、即座に設定データまたはモニタリング（運用）データをバックアップすることができます。復元操作では、バックアップ取得時の設定状態に Cisco ISE が復元されます。

重要

バックアップと復元を行う場合、復元によって、ターゲットシステムの信頼できる証明書のリストがソースシステムの証明書のリストによって上書きされます。バックアップおよび復元機能に内部認証局（CA）の証明書に関連付けられた秘密キーが含まれないことに注意することが非常に重要です。

1 つのシステムから別のシステムにバックアップと復元を行う場合は、エラーを回避するために、次のオプションのいずれかを選択する必要があります。

オプション 1：

CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲットシステムに CLI を使用してインポートします。

長所：ソースシステムからエンドポイントに発行された証明書は、すべて引き続き信頼されます。ターゲットシステムによって発行された新しい証明書は、同じキーによって署名されます。

短所：復元機能を使用する前にターゲットシステムによって発行された証明書は信頼されないため、再発行する必要があります。
オプション 2：

復元処理の後、内部 CA のすべての新しい証明書を生成します。

長所：このオプションは推奨される適切な方法です。元のソースの証明書も元のターゲットの証明書も使用されません。元のソースシステムによって発行された証明書は引き続き信頼されます。

短所：復元機能を使用する前にターゲットシステムによって発行された証明書は信頼されないため、再発行する必要があります。

はじめる前に

この作業を実行する前に、Cisco ISE のバックアップデータのタイプの基本を理解している必要があります。
リポジトリが設定済みであることを確認します。
ローカルリポジトリを使用してバックアップしないでください。リモートモニタリングノードのローカルリポジトリで、モニタリングデータをバックアップすることはできません。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
Cisco ISE 1.1 以前のリリースから Cisco ISE 1.2 にアップグレードする場合、バックアップのスケジュールを再設定する必要があります。『Cisco Identity Services Engine Upgrade Guide, Release 1.2』の「Known Upgrade Issues」のセクションを参照してください。

注	バックアップ/復元操作では、次のリポジトリタイプはサポートされていません。CD-ROM、HTTP、 HTTPS、または TFTP。これは、これらのリポジトリタイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [バックアップと復元（Backup and Restore）] を選択します。
ステップ 2	[スケジュール（Schedule）] をクリックして、設定または操作バックアップをスケジュールします。
ステップ 3	必要に応じてバックアップをスケジュールするための値を入力します。
ステップ 4	[保存（Save）] をクリックして、バックアップをスケジュールします。
ステップ 5	次のいずれかの操作を実行します。 [リポジトリの選択（Select Repository）] ドロップダウンリストから、必要なリポジトリを選択します。 [リポジトリの追加（Add Repository）] リンクをクリックして新しいリポジトリを追加します。
ステップ 6	[更新（Refresh）] リンクをクリックして、スケジュールバックアップのリストを表示します。作成できる設定または操作バックアップのスケジュールは 1 回に 1 つだけです。スケジュールバックアップは有効化または無効化できますが、削除はできません。

スケジュールバックアップの設定

次の表では、フルバックアップまたは差分バックアップの復元に使用できる [スケジュールバックアップ（Scheduled Backup）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理（Administration）] > [システム（System）] > [バックアップ/復元（Backup and Restore）] です。

表 4.スケジュールバックアップの設定
フィールド	使用上のガイドライン
名前（Name）	バックアップファイルの名前を入力します。任意の説明的な名前を入力できます。Cisco ISE は、バックアップファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。一連のバックアップを設定しても、バックアップファイル名は一意になります。 [スケジュールバックアップ（Scheduled Backup）] リストページでは、ファイルが kron occurrence ジョブであることを示すために、バックアップファイル名に「backup_occur」が付加されます。 .
説明	バックアップの説明を入力します。
リポジトリ名（Repository Name）	バックアップファイルを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウンリストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。
暗号化キー（Encryption Key）	バックアップファイルを暗号化および復号化するためのキーを入力します。
スケジューリングオプション（Schedule Options）	スケジュールバックアップの頻度を選択し、適宜他のオプションに入力します。

CLI を使用したバックアップ

CLI と GUI の両方からバックアップをスケジュールできますが、GUI から実行することを推奨します。ただし、セカンダリモニタリングノードの操作バックアップは、CLI からのみ実行できます。

バックアップ履歴

バックアップ履歴は、スケジュールまたはオンデマンドバックアップに関する基本情報です。バックアップ履歴には、バックアップ名、バックアップファイルのサイズ、バックアップが保存されているリポジトリ、バックアップが取られたタイムスタンプを表示します。この情報は、操作監査レポートまたは、履歴テーブルの [バックアップ/復元（Backup and Restore）] ページから入手できます。

バックアップが失敗すると、Cisco ISE がアラームをトリガーします。バックアップ履歴ページに失敗の原因が表示されます。障害の原因は操作監査レポートにも記載されます。障害の原因が欠落しているか明確でない場合は、Cisco ISE CLI から backup-logs コマンドを実行し、ADE.log でより詳細な情報を確認できます。

バックアップ操作の実行中は、 show backup status CLI CLI コマンドを使用して、バックアップ操作の進行状況を確認することができます。

バックアップ履歴は、 Cisco ADE オペレーティングシステムの設定データとともに保存されています。つまり、アプリケーションのアップグレード後もそこに残っており、 PAN のイメージを再作成した場合にのみ削除されます。

バックアップの失敗

バックアップが失敗した場合は、次を確認してください。

NTP 同期またはサービス障害の問題があるかどうかを確認します。Cisco ISE の NTP サービスが動作していない場合、Cisco ISE では、 [NTPサービスの障害（NTP Service Failure）] アラームが発生します。Cisco ISE が、設定されているすべての NTP サーバと同期できない場合、Cisco ISE では、[NTP同期に失敗（NTP Sync Failure）] アラームが発生します。NTP サービスがダウンしている場合、または同期の問題がある場合は、Cisco ISE のバックアップが失敗する可能性があります。バックアップ操作を再試行する前に、[アラーム（Alarm）] ダッシュレットを確認し、NTP 同期またはサービスの問題を修正してください。
他のバックアップが同時に実行されていないことを確認します。
設定したリポジトリの使用可能なディスク領域を確認します。
- （操作）バックアップのモニタリングは、モニタリングデータがモニタリングデータベースに割り当てられたサイズの 75% を超えると失敗します。たとえばモニタリングノードに 600 GB 割り当てられており、モニタリングデータがストレージの 450 GB を超える領域を消費すると、モニタリングのバックアップは失敗します。
- データベースのディスク使用量が 90% を超える場合、消去が発生してデータベースを割り当てられたサイズの 75% 以下のサイズにします。
消去が進行中かどうかを確認します。消去の進行中はバックアップ/復元操作は動作しません。
リポジトリが正しく設定されていることを確認します。

Cisco ISE 復元操作

プライマリまたはスタンドアロン管理ノードで設定データを復元できます。プライマリ PAN にデータを復元したら、手動でセカンダリノードをプライマリ PAN と同期する必要があります。

運用データを復元するプロセスは、展開のタイプによって異なります。

注	Cisco ISE の新しいバックアップ/復元ユーザインターフェイスでは、バックアップファイル名にメタデータが使用されます。したがって、バックアップが完了後に、バックアップファイル名を手動で変更しないでください。バックアップファイルの名前を手動で変更すると、Cisco ISE バックアップ/復元ユーザインターフェイスがそのバックアップファイルを認識できなくなります。バックアップファイル名を変更しなければならない場合は、バックアップの復元に Cisco ISE CLI を使用する必要があります。

データの復元に関するガイドライン

次は、Cisco ISE バックアップデータを復元する場合に従うべきガイドラインです。

Cisco ISE では、ある ISE ノード（A）からバックアップを取得して、別の ISE ノード（B）に復元することができます。両方のノードは同じホスト名（IP アドレスは異なる）です。ただし、ノード B 上のバックアップを復元した後は、証明書とポータルグループタグの問題が生じる可能性があるため、ノード B のホスト名を変更することはできません。
あるタイムゾーン内のプライマリ PAN からバックアップを取得して、別のタイムゾーン内の別の Cisco ISE ノードに復元する場合、復元プロセスが失敗することがあります。この問題は、バックアップファイルのタイムスタンプが、バックアップが復元される Cisco ISE ノードのシステム時刻より新しい場合に発生します。同じバックアップを、取得後 1 日経過してから復元すると、バックアップファイルのタイムスタンプが過去のものになり、復元プロセスは成功します。
バックアップを取得したホスト名と別のホスト名を持つプライマリ PAN にバックアップを復元すると、プライマリ PAN はスタンドアロンノードになります。展開が切断し、セカンダリノードは機能しなくなります。スタンドアロンノードをプライマリノードにし、セカンダリノードの設定をリセットしてプライマリノードに再登録する必要があります。Cisco ISE ノードの設定をリセットするには、Cisco ISE CLI から次のコマンドを入力してください。
- application reset-config ise
システムのタイムゾーンは、最初の Cisco ISE インストールおよびセットアップ後に変更しないことを推奨します。
展開の 1 つ以上のノードの証明書設定を変更した場合は、データを復元するための別のバックアップをスタンドアロン Cisco ISE ノードまたはプライマリ PAN から取得する必要があります。そうしないで古いバックアップを使用してデータを復元すると、ノード間の通信が失敗する可能性があります。

プライマリ PAN 上で設定バックアップを復元した後に、以前にエクスポートした Cisco ISE CA 証明書およびキーをインポートできます。

注	Cisco ISE CA 証明書およびキーをエクスポートしなかった場合は、プライマリ PAN 上で設定バックアップを復元した後に、プライマリ PAN およびポリシーサービスノード（PSN）でルート CA および下位 CA を生成します。

適切な FQDN（プラチナデータベースの FQDN）を使用せずにプラチナデータベースを復元する場合は、 CA 証明書を再生成する必要があります。（[管理（Administration）] > [証明書（Certificates）] > [証明書署名要求（Certificate Signing Requests）] > [ISEルートCA証明書チェーンの置き換え（Replace ISE Root CA certificate chain）] を選択します）。ただし、適切な FQDN でプラチナデータベースを復元する場合は、CA 証明書が自動的に再生成されます。
Cisco ISE がバックアップファイルを格納するデータリポジトリが必要です。オンデマンドまたはスケジュール設定されたバックアップを実行する前に、リポジトリを作成する必要があります。

スタンドアロン管理ノードに障害が発生した場合、設定バックアップを実行して復元する必要があります。プライマリ PAN で障害が発生した場合、分散セットアップを使用してセカンダリ管理ノードをプライマリに昇格できます。その後、新しいプライマリ PAN にデータを復元できます。

注	Cisco ISE では、backup-logs CLI コマンドも使用できます。このコマンドを使用して、ログや設定ファイルの収集を行い、これらをトラブルシューティングに利用できます。

CLI からの設定またはモニタリング（操作）バックアップの復元

デフォルト

Cisco ISE CLI から設定データを復元するには、EXEC モードで restore コマンドを使用します。設定または操作バックアップからデータを復元するには、次のコマンドを使用します。

restore filename repository repository-name encryption-key hash|plain encryption-key name include-adeos

構文の説明

restore

設定または操作バックアップからデータを復元するには、このコマンドを入力します。

filename

リポジトリに存在するバックアップファイルのファイル名。最大 120 文字の英数字をサポートします。

注	ファイル名の後に、tar.gpg という拡張子を付ける必要があります（myfile.tar.gpg など）。

リポジトリ

バックアップを含むリポジトリを指定します。

repository-name

バックアップを復元するリポジトリの名前。

encryption-key

（任意）バックアップを復元するユーザ定義の暗号キーを指定します。

ハッシュ

バックアップを復元するためのハッシュされた暗号キー。使用する暗号化された（ハッシュ化された）暗号化キーを指定します。 40 文字までで指定します。

plain

バックアップを復元するためのプレーンテキストの暗号キー。使用する暗号化されたプレーンテキストの暗号化キーを指定します。15 文字までで指定します。

encryption-key name

暗号キーを入力します。

include-adeos

（任意、設定バックアップのみに該当）設定バックアップから ADE-OS 設定を復元する場合に、このコマンドオペレータパラメータを入力します。設定バックアップを復元する場合にこのパラメータを含めないと、Cisco ISE は Cisco ISE アプリケーション設定データのみを復元します。

デフォルトの動作または値はありません。

EXEC

Cisco ISE で restore コマンドを使用すると、Cisco ISE サーバが自動的に再起動します。

データの復元処理で、暗号キーはオプションです。暗号キーを指定しなかった以前のバックアップの復元をサポートするために、暗号キーなしで restore コマンドを使用できます。


ise/admin# restore mybackup-100818-1502.tar.gpg repository myrepository encryption-key plain Lab12345
Restore may require a restart of application services. 「続行しますか?」というメッセージを示すダイアログボックスが開きます。(yes/no) [yes] ? yes
Initiating restore. Please wait...
ISE application restore is in progress.
This process could take several minutes. Please wait...
Stopping ISE Application Server...
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Alert Process...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
Starting ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Application Server...
Starting ISE Monitoring & Troubleshooting Alert Process...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE Monitoring & Troubleshooting Log Processor...
注: ISE プロセスは初期化中です。「show application status ise」
 CLI を使用して、すべてのプロセスが実行状態であることを確認します。
ise/admin#


	説明
backup	バックアップ（Cisco ISE と Cisco ADE OS）を実行して、そのバックアップをリポジトリに保存します。
backup-logs	システムログをバックアップします。
リポジトリ	バックアップ設定のリポジトリサブモードを入力します。
show repository	特定のリポジトリにある使用可能なバックアップファイルを表示します。
show backup history	システムのバックアップ履歴を表示します。
show backup status	バックアップ操作のステータスを表示します。
show restore status	復元操作のステータスを表示します。

いずれかのセカンダリノードでアプリケーション復元後の同期ステータスおよび複製ステータスが [非同期（Out of Sync）] になっている場合、該当セカンダリノードの証明書をプライマリ PAN に再インポートして、手動同期を実行する必要があります。

GUI からの設定バックアップの復元

管理者ポータルで設定バックアップを復元できます。GUI には現在のリリースから取得されたバックアップのみが表示されます。このリリースより前のバックアップを復元するには、CLI から restore コマンドを使用します。

はじめる前に

プライマリ PAN の自動フェールオーバー設定が展開でイネーブルになっている場合はオフにします。設定バックアップを復元すると、アプリケーションサーバプロセスが再起動されます。これらのサービスが再起動されるまで遅延が発生する場合があります。このサービスの再起動の遅延により、セカンダリ PAN の自動フェールオーバーが開始される場合があります。

注	コンフィギュレーションデータベースのバックアップを復元し、プライマリ PAN でのみルート CA を再生成することができます。ただし、登録済みの PAN で設定データベースのバックアップは復元できません。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [バックアップと復元（Backup and Restore）] を選択します。
ステップ 2	バックアップの名前を設定バックアップのリストから選択し、[復元（Restore）] をクリックします。
ステップ 3	バックアップ時に使用した暗号キーを入力します。
ステップ 4	[復元（Restore）] をクリックします。

次の作業

Cisco ISE CA サービスを使用する場合は、次のことを実行する必要があります。

Cisco ISE CA ルートチェーン全体を再生成します。
Cisco ISE CA 証明書およびキーのバックアップをプライマリ PAN から取得し、セカンダリ PAN で復元します。この操作により、プライマリ PAN の障害が発生した場合に、セカンダリ PAN が外部 PKI のルート CA または下位 CA として機能するようになり、セカンダリ PAN をプライマリ PAN に昇格させることができます。

モニタリングデータベースの復元

モニタリングデータベースを復元するプロセスは、展開のタイプによって異なります。次のセクションでは、スタンドアロンおよび分散展開でモニタリングデータベースを復元する方法について説明します。

Cisco ISE の以前のリリースからのオンデマンドモニタリングデータベースのバックアップを復元するには、CLI を使用する必要があります。Cisco ISE リリース間でのスケジュールバックアップの復元はサポートされていません。

注	データが取得されたノードとは別のノードにデータを復元しようとする場合、新しいノードを指すロギングターゲット設定を設定する必要があります。この設定により、モニタリング syslog が正しいノードに確実に送信されます。

スタンドアロン環境でのモニタリング（運用）バックアップの復元

GUI には現在のリリースから取得されたバックアップのみが表示されます。前のリリースから取得されたバックアップを復元するには、CLI から restore コマンドを使用します。

はじめる前に

古いモニタリングデータを消去します。
バックアップをスケジュールするか、オンデマンドバックアップを実行します。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [バックアップと復元（Backup and Restore）] を選択します。
ステップ 2	バックアップの名前を操作バックアップのリストから選択し、[復元（Restore）] をクリックします。
ステップ 3	バックアップ時に使用した暗号キーを入力します。
ステップ 4	[復元（Restore）] をクリックします。

管理およびモニタリングペルソナによるモニタリングバックアップの復元

管理およびモニタリングペルソナを使用して、分散環境でのモニタリングバックアップを復元することができます。

はじめる前に

古いモニタリングデータを消去します。
バックアップをスケジュールするか、オンデマンドバックアップを実行します。

手順

ステップ 1	プライマリとセカンダリ PAN を使用している場合は、PAN と同期します。 PAN と同期する場合、アクティブなプライマリに昇格するように PAN を選択する必要があります。
ステップ 2	モニタリングノードを登録解除する前に、モニタリングペルソナを展開内の別のノードに割り当てます。展開ごとに、機能中のモニタリングノードが少なくとも 1 つ必要です。
ステップ 3	バックアップされるモニタリングノードを登録解除します。
ステップ 4	新しく登録解除されたノードにモニタリングバックアップを復元します。
ステップ 5	現在の管理ノードにより新たに復元されたノードを登録します。
ステップ 6	新たに復元されて登録されたノードをアクティブなモニタリングノードに昇格します。

モニタリングペルソナによるモニタリングバックアップの復元

分散環境のモニタリングバックアップは、モニタリングペルソナによってのみ復元できます。

はじめる前に

古いモニタリングデータを消去します。
バックアップをスケジュールするか、オンデマンドバックアップを実行します。

手順

ステップ 1

復元されるノードを登録解除する準備を行います。そのためには、モニタリングペルソナを展開内の別のノードに割り当てます。

展開内に、機能中のモニタリングノードが少なくとも 1 つ必要です。

ステップ 2

復元されるノードを登録解除します。

注	登録解除が完了するのを待機してから、復元に進みます。復元を続行するには、ノードがスタンドアロン状態である必要があります。

ステップ 3

新しく登録解除されたノードにモニタリングバックアップを復元します。

ステップ 4

現在の管理ノードにより新たに復元されたノードを登録します。

ステップ 5

新たに復元されて登録されたノードを PAN に昇格します。

復元履歴

操作監査レポートからは、すべての復元操作、ログイベント、ステータスに関する情報を取得することができます。

注	ただし操作監査レポートには、前回の復元操作に対応する開始時間に関する情報はありません。

トラブルシューティング情報を入手するには、Cisco ISE CLI から backup-logs コマンドを実行して、ADE.log ファイルを調べる必要があります。

復元操作の進行中は、すべての Cisco ISE サービスは停止します。show restore status CLI コマンドを使用して、復元操作の進行状況を確認できます。

認証および認証ポリシー設定のエクスポート

認証および認可ポリシー設定を XML ファイルの形式でエクスポートし、これをオフラインで読み取って設定エラーを特定し、トラブルシューティングのために使用できます。この XML ファイルには認証および認可ポリシールール、単純および複合ポリシー条件、dACL、および認証プロファイルが含まれます。XML ファイルを電子メールで送信するか、ローカルシステムに保存することを選択できます。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [バックアップと復元（Backup and Restore）] を選択します。
ステップ 2	[ポリシーのエクスポート（Policy Export）] をクリックします。
ステップ 3	必要に応じて値を入力します。
ステップ 4	[エクスポート（Export）] をクリックします。 XML ファイルの内容を表示するには、ワードパッドなどのテキストエディタを使用します。

ポリシーのエクスポート設定のスケジュール

次の表では、[ポリシーのエクスポートのスケジュール（Schedule Policy Export）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理（Administration）] > [システム（System）] > [バックアップ/復元（Backup and Restore）] > [ポリシーのエクスポート（Policy Export）] です。

表 5.ポリシーのエクスポート設定のスケジュール
フィールド	使用上のガイドライン
暗号化（Encryption）
暗号化キー（Encryption Key）	エクスポートデータを暗号化および復号化するためのキーを入力します。このフィールドは、[暗号キーを使用したエクスポート（Export with Encryption Key）] オプションを選択した場合にのみ有効になります。
[接続先（Destination）]
ローカルコンピュータにファイルをダウンロード（Download file to local computer）	ポリシーエクスポートファイルをローカルシステムにダウンロードできます。
[ファイルをメールで送信（Email file to）]	複数の電子メールアドレスをカンマで区切って入力します。
リポジトリ（Repository）	エクスポートデータを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウンリストから利用可能なリポジトリのみを選択できます。ポリシーのエクスポートのスケジュールを設定する前に、リポジトリを作成してください。
今すぐエクスポート（Export Now）	指定したリポジトリにデータをすぐにエクスポートするには、このオプションをクリックします。
スケジュール
スケジューリングオプション（Schedule Options）	エクスポートのスケジュールの頻度を選択し、それに応じてその他の詳細を入力します。

分散環境でのプライマリノードとセカンダリノードの同期

分散環境では、PAN のバックアップファイルの復元後に、プライマリおよびセカンダリノードの Cisco ISE データベースが自動的に同期されないことがあります。この場合には、PAN からセカンダリ ISE ノードへの完全複製を手動で強制実行できます。強制同期は、PAN からセカンダリノードにのみ可能です。同期操作中は、設定を変更することはできません。Cisco ISE では、同期が完全に完了した後にのみ、他の Cisco ISE 管理者ポータルページに移動して設定変更を行うことができます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [展開（Deployment）] を選択します。
ステップ 2	非同期レプリケーションステータスのセカンダリ ISE ノードの横にあるチェックボックスをオンにします。
ステップ 3	[同期を更新（Syncup）] をクリックし、ノードが PAN と同期されるまで待ちます。 Cisco ISE 管理者ポータルへのアクセスは、このプロセスが完了するのを待たなければなりません。

スタンドアロンおよび分散展開での失われたノードの復元

この項では、スタンドアロンおよび分散展開での失われたノードの復元に使用できるトラブルシューティング情報を提供します。次の使用例の一部では、失われたデータの復旧にバックアップと復元機能を使用し、その他の使用例では、複製機能を使用しています。

分散展開での既存 IP アドレスとホスト名の使用による失われたノードの復元

シナリオ

分散展開では、自然災害が全ノードの損失につながります。復元後に、既存 IP アドレスとホストネームを使用します。

たとえば、2 つのノード、N1（プライマリポリシー管理ノードすなわちプライマリ PAN）と N2（セカンダリポリシー管理ノードすなわちセカンダリ PAN）があります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。自然災害のために、N1 と N2 両方のノードに障害が発生しました。

前提

展開内のすべての Cisco ISE ノードが破壊されました。同じホスト名と IP アドレスを使用して、新しいハードウェアのイメージが作成されました。

解決手順（Resolution Steps）

N1 および N2 ノードの両方を置き換える必要があります。N1 および N2 ノードはスタンドアロン構成になりました。
N1 と N2 のノードの UDI を使用してライセンスを取得し、N1 ノードにインストールします。
置き換えた N1 ノードでバックアップを復元する必要があります。復元スクリプトは N2 にデータを同期しようとしますが、N2 はスタンドアロンノードであるため同期は失敗します。N1 のデータは時刻 T1 にリセットされます。
N1 の管理者ポータルにログインして、N2 ノードを削除して再登録する必要があります。これで、N1 および N2 ノードのデータが時刻 T1 にリセットされます。

分散展開での新 IP アドレスとホスト名を使用しての失われたノードの復元

シナリオ

分散展開では、自然災害が全ノードの損失につながります。新しいハードウェアのイメージが新しい場所で再作成され、新しい IP アドレスとホスト名が必要です。

たとえば、2 つの ISE ノード N1（プライマリポリシー管理ノード（プライマリ PAN））と N2（セカンダリポリシーサービスノード）があります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。自然災害のために、N1 と N2 両方のノードに障害が発生しました。Cisco ISE ノードが新しいロケーションで置き換えられ、新しいホスト名は N1A（プライマリ PAN）および N2A（セカンダリポリシーサービスノード）です。N1A および N2A はこの時点ではスタンドアロンノードです。

前提条件

展開内のすべての Cisco ISE ノードが破壊されました。新しいハードウェアのイメージが、異なるホスト名と IP アドレスを使用して異なる場所で作成されました。

解決手順（Resolution Steps）

N1 のバックアップを入手し、これを N1A 上で復元します。復元スクリプトは、ホスト名とドメイン名の変更を認識し、現在のホスト名に基づいて展開設定内のホスト名とドメイン名を更新します。
新しい自己署名証明書を生成する必要があります。
N1A 上の Cisco ISE 管理者ポータルにログインし、[管理（Administration）] > [システム（System）] > [展開（Deployment）] を選択して、次の操作を行う必要があります。

古い N2 ノードを削除します。

新しい N2A ノードをセカンダリノードとして登録します。N1A ノードのデータが N2A ノードに複製されます。

スタンドアロン展開の既存 IP アドレスとホスト名によるノードの復元

シナリオ

スタンドアロン管理ノードがダウンします。

たとえば、スタンドアロン管理ノード N1 があったとします。N1 データベースのバックアップは、時刻 T1 に取得されました。物理的な障害により N1 ノードがダウンし、イメージの再作成または新しいハードウェアが必要です。N1 ノードを、同じ IP アドレスとホスト名を使用して回復させる必要があります。

前提条件

この展開はスタンドアロン展開であり、新規またはイメージを再作成したハードウェアは、同じ IP アドレスとホスト名を持ちます。

解決手順（Resolution Steps）

イメージの再作成後、または同一 IP アドレスとホスト名で新しい Cisco ISE ノードを導入した後に N1 ノードが起動したら、古い N1 ノードから取得したバックアップを復元する必要があります。ロールを変更する必要はありません。

スタンドアロン展開の新 IP アドレスとホスト名によるノードの復元

シナリオ

スタンドアロン管理ノードがダウンします。

たとえば、スタンドアロン管理ノード N1 があったとします。時刻 T1 に取得された N1 データベースのバックアップが利用可能です。物理的な障害により N1 ノードがダウンし、異なる IP アドレスとホスト名を使用した新しいハードウェアに別のロケーションで置き換えられます。

前提条件

これはスタンドアロン展開であり、置き換えられたハードウェアは、異なる IP アドレスとホスト名を持ちます。

解決手順（Resolution Steps）

新しいハードウェアで N1 ノードを置き換えます。このノードはスタンドアロン状態となり、ホスト名は N1B です。
バックアップを N1B ノード上で復元できます。ロールを変更する必要はありません。

設定のロールバック

問題

意図せずに設定を変更してしまい、後でそれが正しくないことがわかる場合があります。たとえば、いくつかの NAD を削除したり、一部の RADIUS 属性を誤って修正したりして、数時間後にこの問題に気付く場合があります。この場合、変更を行う前に取得したバックアップを復元することにより、元の設定に戻すことができます。

考えられる原因

N1（プライマリポリシー管理ノードすなわちプライマリ PAN）と N2（セカンダリポリシー管理ノードすなわちセカンダリ PAN）の 2 つのノードがあり、N1 ノードのバックアップを使用できます。N1 上で誤った変更をいくつか行い、変更を元に戻す必要があります。

ソリューション

誤った設定変更を行う前に取得した N1 ノードのバックアップを入手します。 N1 ノード上でこのバックアップを復元します。復元スクリプトにより、N1 のデータで N2 が同期されます。

分散展開での障害発生時のプライマリノードの復元

シナリオ

マルチノード展開内で、 PAN に障害が発生しました。

たとえば、2 つの Cisco ISE ノード、N1（PAN）と N2（セカンダリ管理ノード）があります。ハードウェアの問題で N1 に障害が発生します。

前提条件

分散展開内のプライマリノードのみに障害が発生します。

解決手順（Resolution Steps）

N2 管理者ポータルにログインします。[管理（Administration）] > [システム（System）] > [展開（Deployment）] を選択して、N2 をプライマリノードとして設定します。

N1 ノードが新しいハードウェアで置き換えられ、イメージが再作成され、スタンドアロン状態となります。
N2 管理者ポータルで、セカンダリノードとして新しい N1 ノードを登録します。

これで、N2 ノードがプライマリノードになり、N1 ノードがセカンダリノードになります。

N1 ノードを再びプライマリノードにするには、N1 の管理者ポータルにログインして、このノードをプライマリノードに設定します。N2 は、自動的にセカンダリサーバとなります。データが失われることはありません。

分散展開での障害発生時のセカンダリノードの復元

シナリオ

マルチノード展開で、 1 台のセカンダリノードに障害が発生しました。復元の必要はありません。

たとえば、N1（プライマリ PAN）、N2（セカンダリ PAN）、N3（セカンダリポリシーサービスノード）、N4（セカンダリポリシーサービスノード）の複数のノードが存在します。セカンダリノードの 1 つである N3 に障害が発生しました。

解決手順（Resolution Steps）

新しい N3A ノードのイメージを再作成して、デフォルトのスタンドアロン状態にします。
N1 の管理者ポータルにログインし、N3 ノードを削除します。
N3A ノードを登録します。

N1 から N3A へ、データが複製されます。復元の必要はありません。

Cisco ISE ロギングメカニズム

Cisco ISE には、監査、障害管理、およびトラブルシューティングに使用されるロギングメカニズムが備わっています。このロギングメカニズムは、展開されたサービスの障害状態を識別したり、問題のトラブルシューティングを効率的に行う場合に役立ちます。また、プライマリノードのモニタリングおよびトラブルシューティングのロギング出力が一貫した形式で生成されます。

仮想ループバックアドレスを使用してローカルシステムにログを収集するように Cisco ISE ノードを設定できます。ログを外部に収集するには、ターゲットと呼ばれる外部 syslog サーバを設定します。ログは事前定義された各種のカテゴリに分類されます。ターゲット、重大度レベルなどに応じてカテゴリを編集することにより、ロギング出力をカスタマイズできます。

ベストプラクティスとして、Cisco ISE のモニタリングおよびトラブルシューティング（MnT）ノードに syslog を送信するようにネットワークデバイスを設定しないでください。これは、一部のネットワークアクセスデバイス（NAD）の syslog が失われる可能性があるほか、MnT サーバが過負荷になりロードの問題が発生するためです。

ノードで ISE メッセージングサービスに障害が発生した場合、プロセスダウンアラームがトリガーされなくなりました。ノードで ISE メッセージングサービスに障害が発生すると、そのノードでメッセージングサービスが再開されるまで、すべての syslog およびプロセスダウンアラームが失われます。

この場合、管理者は、Cisco ISE のホームウィンドウの [アラーム（Alarm）] ダッシュレットにリストされるキューリンクエラーアラームを検索する必要があります。アラームをクリックすると、[推奨されるアクション（Suggested Actions）] セクションが含まれた新しいウィンドウが開きます。問題を解決するには、次の手順に従ってください。

注	モニタリングノードがネットワークデバイスの syslog サーバとして設定されている場合、ロギングソースが次の形式で正しいネットワークアクセスサーバ（NAS）の IP アドレスを送信することを確認してください。 <message_number>sequence_number: NAS_IP_address: timestamp: syslog_type: <message_text> そうしないと、これは NAS の IP アドレスに依存する機能に影響を及ぼすことがあります。

syslog の消去の設定

このプロセスを使用して、ローカルログ格納期間を設定し、特定の期間後にローカルログを削除します。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ローカルログ設定（Local Log Settings）] を選択します。
ステップ 2	[ローカルログ格納期間（Local Log Storage Period）] フィールドに、設定ソースでログエントリを保持する最大日数を入力します。 localStore フォルダのサイズが 97 GB に達した場合、ログは設定された [ローカルログの保存期間（Local Log Storage Period）] よりも前に削除されることがあります。
ステップ 3	格納期間が経過する前に既存のログファイルを削除するには、[今すぐログを削除（Delete Logs Now）] をクリックします。
ステップ 4	[保存（Save）] をクリックします。

Cisco ISE システムログ

Cisco ISE では、システムログはロギングターゲットと呼ばれる場所で収集されます。ターゲットは、ログを収集して格納するサーバの IP アドレスを参照します。ログをローカルで生成して格納することも、FTP ファシリティを使用して外部サーバに転送することもできます。Cisco ISE には、次のデフォルトターゲットがあり、これらはローカルシステムのループバックアドレスに動的に設定されます。

LogCollector：ログコレクタのデフォルトの syslog ターゲット。
ProfilerRadiusProbe：プロファイラ Radius プローブのデフォルトの syslog ターゲット。

デフォルトでは、AAA 診断サブカテゴリとシステム診断サブカテゴリのロギングターゲットは、ディスク領域を減らすために、新規 Cisco ISE インストールまたはアップグレード時に無効になります。これらのサブカテゴリのロギングターゲットを手動で設定できますが、これらのサブカテゴリのローカルロギングは常に有効です。

Cisco ISE インストールの最後にローカルに設定されるデフォルトのロギングターゲットを使用するか、またはログを保存する外部ターゲットを作成することができます。

注	syslog サーバが分散展開で設定されている場合、syslog メッセージは MnT ノードではなく認証 PSN から syslog サーバへ直接送信されます。

リモート syslog 収集場所の設定

Web インターフェイスを使用して、システムログメッセージの送信先になるリモート syslog サーバターゲットを作成できます。ログメッセージは、 syslog プロトコル標準（RFC-3164 を参照）に従ってリモート syslog サーバターゲットに送信されます。syslog プロトコルはセキュアでない UDP です。

メッセージは、イベントが発生したときに生成されます。イベントは、プログラムの終了時に表示されるメッセージやアラームなどのステータスを表示するものである場合があります。カーネル、メール、ユーザレベルなど、異なるファシリティから生成されたさまざまなタイプのイベントメッセージがあります。イベントメッセージは重大度レベルに関連付けられており、管理者はメッセージをフィルタリングし、優先度付けできます。数値コードはファシリティおよび重大度レベルに割り当てられます。syslog サーバはイベントメッセージコレクタで、これらのファシリティからイベントメッセージを収集します。管理者は、重大度レベルに基づいて、メッセージを転送するイベントメッセージコレクタを選択できます。

UDP syslog（ログコレクタ）はデフォルトのリモートロギングターゲットです。このロギングターゲットは、無効にすると、ログコレクタとして動作しなくなり、 [ロギングカテゴリ（Logging Categories）] ページから削除されます。このロギングターゲットを有効にした場合は、 [ロギングカテゴリ（Logging Categories）] ページのログコレクタになります。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [リモートロギングターゲット（Remote Logging Targets）] を選択します。
ステップ 2	[追加（Add）] をクリックします。
ステップ 3	次の必須詳細情報を入力します。
ステップ 4	[保存（Save）] をクリックします。
ステップ 5	[リモートロギングターゲット（Remote Logging Targets）] ページに移動し、新しいターゲットが作成されたことを確認します。その後、ロギングターゲットを、以下のそれぞれのロギングカテゴリにマッピングできます。PSN ノードは、それらのノードで有効になっているサービスに応じて、該当するログをリモートロギングターゲットに送信します。 AAA 監査 AAA の診断アカウンティング（Accounting）外部 MDM パッシブ ID ポスチャおよびクライアントプロビジョニングの監査（Posture and Client Provisioning Audit）ポスチャおよびクライアントプロビジョニングの診断（Posture and Client Provisioning Diagnostics）プロファイラ展開内のすべてのノードによって、次のカテゴリのログがロギングターゲットに送信されます。管理および操作の監査（Administrative and Operational Audit）システム診断システム統計

Cisco ISE メッセージコード

ロギングカテゴリは、ACS の機能、フロー、または使用例を説明するメッセージコードのバンドルです。Cisco ISE では、各ログにはログメッセージの内容に従ってロギングカテゴリにバンドルされているメッセージコードが関連付けられています。ロギングカテゴリは、含まれているメッセージの内容を説明する場合に役立ちます。

ロギングカテゴリはロギング設定で役立ちます。各カテゴリには、アプリケーションの要件に応じて設定可能な名前、ターゲット、および重大度レベルがあります。

Cisco ISE では、サービスに対して事前定義されたロギングカテゴリ（[ポスチャ（Posture）]、[プロファイラ（Profiler）]、[ゲスト（Guest）]、[AAA（認証、許可、アカウンティング）（AAA (authentication, authorization, and accounting)）] など）が提供されており、これらにログターゲットを割り当てることができます。

ロギングカテゴリが [成功した認証（Passed Authentications）] の場合、ローカルロギングを許可するオプションは、デフォルトでは無効になっています。このカテゴリのローカルロギングを有効にすると、運用スペースの使用率が高くなり、 iseLocalStore.log とともに prrt-server.log がいっぱいになります。

[成功した認証（Passed Authentications）] のローカルロギングを有効にする場合は、[管理（Administration）] > [システム（System）] > [ロギング（logging）] > [ロギングカテゴリ（logging Categories）] に移動し、[カテゴリ（category）] セクションから [成功した認証（Passed Authentications）] をクリックして、[ローカルロギング（Local Logging）] のチェックボックスをオンにします。

メッセージコードの重大度レベルの設定

ログの重大度レベルを設定し、選択したカテゴリのログが格納されるロギングターゲットを選択できます。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択します。
ステップ 2	編集するカテゴリの隣のオプションボタンをクリックにして、[編集（Edit）] をクリックします。
ステップ 3	必須フィールドの値を変更します。
ステップ 4	[保存（Save）] をクリックします。
ステップ 5	[ロギングカテゴリ（Logging Categories）] ページに移動し、特定のカテゴリに対して行われた設定の変更内容を確認します。

Cisco ISE メッセージカタログ

可能性があるすべてのログメッセージと説明を表示するために、[メッセージカタログ（Message Catalog）] ページを使用できます。[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [メッセージカタログ（Message Catalog）] を選択します。

[ログメッセージカタログ（Log Message Catalog）] ページが表示されます。このページでは、ログファイルに記録される可能性があるすべてのログメッセージを表示できます。すべての Syslog メッセージを CSV ファイル形式でエクスポートするには、[エクスポート（Export）] を選択します。

Cisco ISE から送信される syslog メッセージの包括的なリスト、syslog メッセージの意味、ローカルおよびリモートターゲットでの syslog メッセージの記録方法については、『Cisco ISE Syslogs』ドキュメントを参照することもできます。

デバッグログ

デバッグログにより、ブートストラップ、アプリケーション設定、ランタイム、展開、モニタリングとレポート、および公開キーインフラストラクチャ（PKI）に関する情報が取得されます。過去 30 日間の重大アラームと警告アラーム、および過去 7 日間の情報アラームがデバッグログに含まれます。

個々のコンポーネントのデバッグログ重大度レベルを設定できます。

ノードまたはコンポーネントで [デフォルトにリセット（Reset to Default）] オプションを使用して、ログレベルを出荷時のデフォルト値に戻すことができます。

ローカルサーバにデバッグログを保存できます。

注	デバッグログの設定は、システムをバックアップから復元した場合やアップグレードした場合には保存されません。

ノードのロギングコンポーネントの表示

手順

ステップ 1

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [デバッグログ設定（Debug Log Configuration）] を選択します。

ステップ 2

ロギングコンポーネントを表示するノードを選択し、[編集（Edit）] をクリックします。

[デバッグレベルの設定（Debug Level Configuration）] ページが表示されます。次の詳細情報を表示できます。

選択したノードで実行中のサービスに基づくロギングコンポーネントのリスト
各コンポーネントの説明
個々のコンポーネントに設定されている現在のログレベル

デバッグログの重大度レベルの設定

デバッグログの重大度レベルを設定できます。

手順

ステップ 1

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [デバッグログ設定（Debug Log Configuration）] を選択します。

ステップ 2

ノードを選択して、[編集（Edit）] をクリックします。

[デバッグログの設定（Debug Log Configuration）] ページには、選択したノードで実行されているサービス、および個別のコンポーネントに対して設定されている現在のログレベルに基づいたコンポーネントのリストが表示されます。

ノードまたはコンポーネントで [デフォルトにリセット（Reset to Default）] オプションを使用して、ログレベルを出荷時のデフォルト値に戻すことができます。

ステップ 3

ログ重大度レベルを設定するコンポーネントを選択し、[編集（Edit）] をクリックします。[ログレベル（Log Level）] ドロップダウンリストから目的のログ重大度レベルを選択し、[保存（Save）] をクリックします。

注	runtime-AAA コンポーネントのログ重大度レベルを変更すると、サブコンポーネント prrt-JNI のログレベルも変更されます。サブコンポーネントのログレベルを変更しても、その親コンポーネントには影響はありません。

エンドポイントのデバッグログコレクタ

特定のエンドポイントの問題をトラブルシューティングするために、 IP アドレスまたは MAC アドレスに基づいて、特定のエンドポイントのデバッグログをダウンロードできます。その特定のエンドポイント固有のログが、展開内のさまざまなノードから 1 つのファイルに収集されるため、迅速かつ効率的に問題をトラブルシューティングできます。このトラブルシューティングツールは、一度に 1 つのエンドポイントに対してのみ実行できます。ログファイルが GUI に表示されます。1 つのノードまたは展開内のすべてのノードからエンドポイントのログをダウンロードできます。

特定のエンドポイントのデバッグログのダウンロード

ネットワーク内の特定のエンドポイントの問題をトラブルシューティングするには、管理者ポータルからデバッグエンドポイントツールを使用できます。または、このツールを [認証（Authentications）] ページから実行できます。[認証（Authentications）] ページの [エンドポイント ID（Endpoint ID）] を右クリックして、[エンドポイントデバッグ（Endpoint Debug）] をクリックします。このツールでは、単一ファイルの特定のエンドポイントに関連するすべてのサービスに関するすべてのデバッグ情報が提供されます。

はじめる前に

デバッグログを収集するエンドポイントの IP アドレスまたは MAC アドレスが必要です。

手順

ステップ 1	[操作（Operations）] > [トラブルシューティング（Troubleshoot）] > [診断ツール（Diagnostic Tools）] > [一般ツール（General Tools）] > [エンドポイントデバッグ（Endpoint Debug）] を選択します。
ステップ 2	[MAC アドレス（MAC Address）] または [IP] オプションボタンをクリックし、エンドポイントの MAC または IP アドレスを入力します。
ステップ 3	一定の時間が経過した後にログ収集を停止する場合は、[n 分後に自動的に無効化（Automatic disable after `n` Minutes）] チェックボックスをオンにします。このチェックボックスをオンにする場合は、 1 ～ 60 分の時間を入力する必要があります。次のメッセージが表示されます。「エンドポイントデバッグによって、展開のパフォーマンスが低下します。続行しますか?（Endpoint Debug degrades the deployment performance. Would you like to continue?）」
ステップ 4	ログを収集するには、[続行（Continue）] をクリックします。
ステップ 5	手動でログの収集を中止する場合は、[停止（Stop）] をクリックします。

収集フィルタ

収集フィルタを設定して、モニタリングサーバおよび外部サーバに送信される syslog メッセージを抑制できます。抑制は、異なる属性タイプに基づいてポリシーサービスノードレベルで実行できます。特定の属性タイプおよび対応する値を使用して複数のフィルタを定義できます。

モニタリングノードまたは外部サーバに syslog メッセージを送信する前に、Cisco ISE は送信する syslog メッセージのフィールドとそれらの値を比較します。一致が見つかった場合、対応するメッセージは送信されません。

収集フィルタの設定

さまざまな属性のタイプに基づいて複数の収集フィルタを設定できます。フィルタ数を 20 に制限することを推奨します。収集フィルタを追加、編集、または削除できます。

手順

ステップ 1	[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [収集フィルタ（Collection Filters）] を選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	次のリストからフィルタタイプを選択します。ユーザ名（User Name） MAC アドレス（MAC Address）ポリシーセット名 NAS IP アドレス Device IP Address（デバイス IP アドレス）
ステップ 4	選択したフィルタタイプの対応する値を入力します。
ステップ 5	ドロップダウンリストから結果を選択します。結果は、[すべて（All）]、[成功（Passed）]、または [失敗（Failed）] になります。
ステップ 6	[送信（Submit）] をクリックします。

イベント抑制バイパスフィルタ

Cisco ISE では、フィルタを設定し、収集フィルタを使用して、一部の syslog メッセージがモニタリングノードおよび他の外部サーバに送信されることを抑制できます。場合によっては、これらの抑制されたログメッセージにアクセスすることが必要になります。Cisco ISE は、設定可能な時間について、ユーザ名などの属性に基づいてイベント抑制をバイパスするオプションを提供します。デフォルトは 50 分ですが、 5 分から 480 分（8 時間）の期間を設定できます。イベント抑制バイパスは、設定した後すぐに有効になります。設定した期間が経過すると、バイパス抑制フィルタは失効します。

抑制バイパスフィルタは、 Cisco ISE ユーザインターフェイスの [収集フィルタ（Collection Filters）] ページから設定できます。この機能を使用して、特定の ID（ユーザ）のすべてのログを表示し、その ID の問題をリアルタイムでトラブルシューティングできます。

フィルタは有効または無効にできます。バイパスイベントフィルタで設定した期間が経過すると、フィルタは再度有効にするまで自動的に無効になります。

Cisco ISE は設定変更監査レポートでこれらの設定変更を取得します。このレポートは、イベント抑制またはバイパス抑制を設定したユーザ、およびイベントが抑制された期間または抑制がバイパスされた期間に関する情報を提供します。

Cisco ISE レポート

モニタリング機能およびトラブルシューティング機能とともに Cisco Identity Services Engine（ISE）レポートを使用して、集中管理する場所からのトレンドの分析、システムパフォーマンスおよびネットワークアクティビティのモニタリングを行います。

Cisco ISE はネットワーク全体からログおよび設定データを収集します。その後、表示と分析のために、データがレポートに集約されます。Cisco ISE には、使用可能な事前定義されたレポートが用意されており、必要に応じてカスタマイズできます。

Cisco ISE レポートは事前設定されており、認証、セッショントラフィック、デバイス管理、設定と管理、およびトラブルシューティングに関する情報の論理カテゴリにグループ化されます。

レポートフィルタ

レポートには、シングルセクションレポートとマルチセクションレポートの 2 種類があります。シングルセクションレポートには 1 つのグリッドが含まれており（RADIUS 認証レポート）、マルチセクションレポートには複数のグリッドが含まれており（認証概要レポート）、データがグラフと表の形式で示されます。シングルセクションレポートの [フィルタ（Filter）] ドロップダウンメニューには、[クイックフィルタ（Quick Filter）] と [拡張フィルタ（Advanced Filter）] があります。マルチセクションレポートでは、拡張フィルタだけを指定できます。

マルチセクションレポートには、入力が必要な必須拡張フィルタが 1 つ以上含まれていることがあります。たとえば、健全性の概要レポート（[操作（Operations）] > [レポート（Reports）] > [診断（Diagnostics）] ページ）をクリックすると、2 つの必須拡張フィルタ（[サーバ（Server）] と [時間範囲（Time Range）]）が表示されます。レポートを生成するには、この両方のフィルタで演算子コマンド、サーバ名、必要な値を指定し、[実行（Go）] をクリックする必要があります。プラス記号（+）をクリックして新しい拡張フィルタを追加できます。マルチセクションレポートは PDF 形式でのみエクスポートできます。特定の時刻または時間間隔で Cisco ISE マルチセクションレポートを実行または再実行するようにスケジュールすることはできません。

注	レポートをクリックすると、デフォルトでは最新のデータが生成されます。ただし一部のマルチセクションレポートでは、時間範囲以外にもユーザが入力する必要のある項目があります。

シングルセクションレポートでは、デフォルトでクイックフィルタが 1 番目の行として表示されます。フィールドには、検索基準を選択できるドロップダウンリストまたはテキストボックスが含まれています。

拡張フィルタには、1 つ以上の内部条件を含む外部条件が含まれています。外部条件では、検索で指定された内部条件すべてに一致する必要があるか、またはいずれかに一致する必要があるかを指定します。内部条件には、カテゴリ（[エンドポイント ID（Endpoint ID）]、 [ID グループ（Identity Group）]）、メソッド（Contains、Does Not Contain などの演算子コマンド）、および時間範囲を条件として指定するために使用される 1 つ以上の条件が含まれています。

[クイックフィルタ（Quick Filter）] を使用すると、[記録日時（Logged At）] ドロップダウンリストから日付または時刻を選択し、過去 30 日以内にログインしたデータセットのレポートを生成できます。30 日より前の日付または時刻のレポートを生成する場合は、[高度なフィルタ（Advanced Filters）] を使用して、ドロップダウンリストの [カスタム（Custom）] オプションの [開始日（From）] と [終了日（To）] のフィールドに必要な時間枠を設定します。

クイックフィルタ条件の作成

ここでは、クイックフィルタ条件の作成方法を説明します。クイックフィルタ条件はシングルセクションレポートでのみ作成できます。

手順

ステップ 1	[操作（Operations）] > [レポート（Reports）] を選択し、必要なレポートをクリックします。
ステップ 2	[設定（Settings）] ドロップダウンリストから必須フィールドを選択します。
ステップ 3	データをフィルタリングするため、必須フィールドでドロップダウンリストから選択するか、または特定の文字を入力できます。検索では Contains 演算子コマンドが使用されます。たとえば、「K」で始まるテキストをフィルタリングするには K と入力し、テキスト内の任意の位置に「geo」が含まれているテキストをフィルタリングするには geo と入力します。また、アスタリスク（）を使用することもできます。たとえば、 abc で始まり *def で終わる正規表現などです。クイックフィルタで使用される条件には、contains、starts with、ends with、starts with or ends with、および OR 演算子で結合する複数の値があります。
ステップ 4	Enter キーを押します。

拡張フィルタ条件の作成

ここでは、拡張フィルタ条件の作成方法を説明します。拡張フィルタは、シングルセクションレポートとマルチセクションレポートで作成できます。シングルセクションレポートの [フィルタ（Filter）] ドロップダウンメニューには、[クイックフィルタ（Quick Filter）] と [拡張フィルタ（Advanced Filter）] があります。マルチセクションレポートでは、拡張フィルタだけを指定できます。

手順

ステップ 1	[操作（Operations）] > [レポート（Reports）] を選択し、必要なレポートをクリックします。
ステップ 2	[フィルタ（Filters）] セクションで [一致（Match）] ドロップダウンリストから次のいずれかのオプションを選択します。指定したすべての条件に一致する必要がある場合は、[すべて（All）] を選択します。指定したいずれか 1 つの条件に一致すればよい場合は、[いずれか（Any）] を選択します。
ステップ 3	[時間範囲（Time Range）] ドロップダウンリストから必要なカテゴリを選択します。
ステップ 4	[演算子コマンド（Operator Commands）] ドロップダウンリストから、必要なコマンドを選択します。たとえば、特定の文字で始まるテキストや（[次の文字で始まる（Begin With）] を使用）、テキスト内の任意の位置に特定の文字が含まれているテキスト（[次の文字を含む（Contains）] を使用）をフィルタリングできます。あるいは、 [ログに記録された時刻（Logged Time）] と対応する [カスタム（Custom）] オプションを選択し、カレンダーからデータをフィルタリングする期間の開始日時と終了日時を指定します。
ステップ 5	[時間範囲（Time Range）] ドロップダウンリストから必要なオプションを選択します。
ステップ 6	[Go] をクリックします。

今後の参照のために、フィルタリングされたレポートを保存し、[フィルタ（Filter）] ドロップダウンリストから取得することができます。

レポートの実行および表示

ここでは、Reports View を使用してレポートを実行、表示、およびナビゲートする方法について説明します。デフォルトでは、レポートをクリックすると過去 7 日間のデータが生成されます。各レポートでは、ページごとに 500 行のデータが表示されます。レポートにデータを表示する時間の増分を指定できます。

手順

ステップ 1	[操作（Operations）] > [レポート（Reports）] > [ISE レポート（ISE Reports）] を選択します。また、各ワークセンターの [レポート（Reports）] リンクに移動して、ワークセンター固有の一連のレポートを確認することもできます。
ステップ 2	使用可能なレポートカテゴリからレポートをクリックします。
ステップ 3	レポートを実行する 1 つ以上のフィルタを選択します。各レポートに、異なるフィルタを使用できます。フィルタの一部は必須で一部は任意選択です。
ステップ 4	フィルタに適切な値を入力します。
ステップ 5	[Go] をクリックします。

レポートのナビゲーション

レポート出力から詳細情報を取得できます。たとえば、5 ヵ月の期間に 1 つのレポートを生成した場合、グラフと表には月単位の目盛りでレポートの集約データが表示されます。

表内の特定の値をクリックすると、この特定のフィールドに関連する別のレポートを表示できます。たとえば、認証概要レポートには、ユーザまたはユーザグループの失敗したカウントが表示されます。失敗したカウントをクリックすると、その特定の失敗したカウントについての認証概要レポートが開きます。

レポートのエクスポート

次のファイル形式でレポートデータをエクスポートできます。

カンマ区切り値（.csv）ファイルとしての Excel スプレッドシート。データをエクスポートすると、レポートの場所を詳細に示した電子メールを受信します。
ローカルディスクに保存できる Microsoft Excel のカンマ区切り値（.csv）ファイル。
ローカルディスクに保存できる Adobe Acrobat Document（.pdf）ファイル。

注	Microsoft Excel 形式の場合、エクスポートできるのは 5000 レコードです。PDF ファイル形式の場合、エクスポートできるのは 1000 レコードです。

次のレポートは PDF ファイル形式でののみエクスポートできます。

認証概要（Authentication Summary）
健全性の概要

RBACL ドロップ概要

注	RBACL 廃棄パケットのフローは、Cisco Catalyst 6500 シリーズスイッチでのみ使用できます。

ゲストスポンサー概要
エンドポイントプロファイルの変更
ネットワークデバイスのセッションステータス

注	レポートをエクスポートした後で英語以外の文字を正しく表示するには、 UTF-8 文字エンコーディングを有効にして Microsoft Excel にファイルをインポートする必要があります。UTF-8 文字エンコーディングを有効にしないで、エクスポートした .csv ファイルを Microsoft Excel で直接開いた場合、レポートの英語以外の文字は文字化けした状態で表示されます。

注	レポートデータは、プライマリ PAN からのみ .csv 形式にエクスポートできます。

手順

ステップ 1	「レポートの実行と表示」の項の説明に従ってレポートを実行します。
ステップ 2	レポートサマリーページの右上隅にある [エクスポート先（Export To）] をクリックします。
ステップ 3	エクスポートするデータカラムを指定します。
ステップ 4	ドロップダウンリストからリポジトリを選択します。
ステップ 5	[エクスポート（Export）] をクリックします。

Cisco ISE レポートのスケジュールと保存

レポートをカスタマイズし、変更内容を新しいレポートとして保存するか、またはレポートサマリーページの右上隅にある [マイレポート（My Reports）] でデフォルトのレポート設定を復元できます。

Cisco ISE レポートをカスタマイズおよびスケジュールして、特定の時間または時間間隔で実行および再実行することもできます。生成されたレポートに関する電子メール通知を送受信することもできます。

時間単位の頻度でレポートをスケジュールする場合は、レポートを複数の日にわたって実行することはできますが、日をまたぐ時間枠を設定することはできません。

たとえば、時間単位のレポートを 2019 年 5 月 4 日から 5 月 8 日までスケジューリングする場合は、時間間隔を各日の午前 6 時から午後 11 時までに設定することはできますが、ある日の午後 6 時から翌日の午前 11 時までに設定することはできません。後者の場合、Cisco ISE は、時間範囲が無効であることを示すエラーメッセージを表示します。

注	外部の管理者（Active Directory の管理者など）が電子メール ID フィールドを指定せずにスケジュール設定されたレポートを作成すると、電子メール通知は送信されません。

次のレポートはスケジュールできません。

認証概要（Authentication Summary）
健全性の概要
RBACL ドロップ概要
ゲストスポンサー概要
エンドポイントプロファイルの変更
ネットワークデバイスのセッションステータス

注	Cisco ISE レポートの保存またはスケジューリング（カスタマイズ）は、PAN からのみ実行できます。

手順

ステップ 1	「レポートの実行と表示」の項の説明に従ってレポートを実行します。
ステップ 2	レポートサマリーページの右上隅の [マイレポート（My Reports）] をクリックします。
ステップ 3	ダイアログボックスに必要な詳細を入力します。
ステップ 4	[新規として保存（Save as New）] をクリックします。

保存済みレポートに戻ると、すべてのフィルタオプションがデフォルトでオンになります。使用しないフィルタはオフにします。

[マイレポート（My Reports）] カテゴリから、保存したレポートを削除することもできます。

Cisco ISE のアクティブな RADIUS セッション

Cisco ISE では、ライブセッション用の動的な許可変更（CoA）機能が提供されます。この機能を使用すると、アクティブな RADIUS セッションを動的に制御できます。次のタスクを実行するために再認証または接続解除要求をネットワークアクセスデバイス（NAD）に送信できます。

認証に関連する問題のトラブルシューティング：[セッション再認証（Session reauthentication）] オプションを使用して、再認証を試みることができます。ただし、アクセスを制限するためにこのオプションを使用しないでください。アクセスを制限するには、シャットダウンオプションを使用します。
問題のあるホストのブロック： [ポートシャットダウンによるセッション終了（Session termination with port shutdown）] オプションを使用して、ネットワークに大量のトラフィックを送信する、ウイルスなどに感染したホストをブロックできます。ただし、RADIUS プロトコルでは、シャットダウンされたポートを再度有効にするための方法は現在サポートされていません。
エンドポイントでの IP アドレス再取得の強制：サプリカントまたはクライアントを持たないエンドポイントに対して [ポートバウンスでのセッション終了（Session termination with port bounce）] オプションを使用し、 VLAN 変更後に DHCP 要求を生成できます。
エンドポイントへの更新された許可ポリシーのプッシュ：[セッション再認証（Session reauthentication）] オプションを使用して、管理者の裁量に基づいた既存のセッションの許可ポリシーの変更などの、更新されたポリシー設定を適用できます。たとえば、ポスチャ確認が有効である場合にエンドポイントが最初にアクセスを許可されると、通常、エンドポイントは隔離されます。エンドポイントのアイデンティティおよびポスチャが確認された後、Session reauthentication コマンドをエンドポイントに送信して、エンドポイントがそのポスチャに基づいて実際の許可ポリシーを取得できるようにすることが可能です。

デバイスによって CoA コマンドが認識されるためには、適切にオプションを設定することが重要です。

CoA が適切に動作するには、動的な許可変更を必要とする各デバイスの共有秘密情報を設定する必要があります。Cisco ISE では、デバイスからのアクセス要求、およびデバイスへの CoA コマンドの発行において、共有秘密情報設定が使用されます。

注	このリリースの Cisco ISE では、表示可能な認証されたエンドポイントセッションの最大数が 100,000 に制限されています。

RADIUS セッションの許可の変更

ネットワークの一部のネットワークアクセスデバイスでは、リロード後にアカウンティング停止パケットまたはアカウンティングオフパケットが送信されないことがあります。このため、[セッションディレクトリ（Session Directory）] の下のレポートでは、有効なセッションと期限切れのセッションの 2 つのセッションが表示される場合があります。

アクティブな RADIUS セッションの許可を動的に変更する場合や、アクティブな RADIUS セッションの接続を解除する場合には、最新のセッションを選択する必要があります。

手順

ステップ 1

[操作（Operations）] > [RADIUSライブログ（RADIUS Livelog）] の順に選択します。

ステップ 2

[ライブセッションの表示（Show Live Session）] にビューを切り替えてください。

ステップ 3

CoA を発行する RADIUS セッションの CoA リンクをクリックし、次のいずれかのオプションを選択します。

[SAnet セッションクエリー（SAnet Session Query）] ：SAnet でサポートされるデバイスからのセッションに関する情報をクエリーするために使用します。
[セッション再認証（Session reauthentication）] ：セッションを再認証します。CoA をサポートする ASA デバイスに確立されるセッションにこのオプションを選択すると、セッションポリシープッシュ CoA が呼び出されます。
[最後の方式でのセッション再認証（Session reauthentication with last）] ：そのセッションに対して、最後に成功した認証方式を使用します。

[再実行によるセッション再認証（Session reauthentication with rerun）] ：設定されている認証方式を最初から実行します。

注	[最後の方式でのセッション再認証（Session reauthentication with last）] オプションおよび [再実行によるセッション再認証（Session reauthentication with rerun）] オプションは、 Cisco IOS ソフトウェアで現在サポートされていません。

[セッション終了（Session termination）] ：単にセッションを終了します。スイッチは、異なるセッションでクライアントを再認証します。
[ポートバウンスでのセッション終了（Session termination with port bounce）] ：セッションを終了し、ポートを再起動します。
[ポートシャットダウンによるセッション終了（Session termination with port shut down）] ：セッションを終了し、ポートをシャットダウンします。

ステップ 4

[実行（Run）] をクリックして、選択した再認証または終了オプションとともに CoA を発行します。

CoA に失敗した場合は、次の理由が考えられます。

デバイスで CoA がサポートされていない。
アイデンティティまたは許可ポリシーに変更があった。
共有秘密が一致しない。

使用可能なレポート

次の表に、事前設定済みレポートをカテゴリ別に分類して示します。また、レポートの機能およびロギングカテゴリについても説明します。

注	Cisco ISE 2.6 では、IPv6 アドレスを使用するユーザが監査レポートにログインして次のイベントを使用します：ログイン/ログアウト、パスワードの変更、および運用変更など。管理者ログイン、ユーザの変更パスワードの監査、および運用監査レポートでは、 IPv4 と IPv6 のレコード別にログをフィルタリングできるようになりました。

レポート名

説明

ロギングカテゴリ

監査（Audit）

適応型ネットワーク制御の監査

適応型ネットワーク制御の監査レポートは、RADIUS アカウンティングに基づきます。つまり、エンドポイントごとにすべてのネットワークセッションの履歴レポートを表示します。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[成功した認証（Passed Authentications）] および [RADIUS アカウンティング（RADIUS Accounting）] を選択します。

管理者ログイン

管理者ログインレポートには、GUI ベースの管理者ログインイベントと成功した CLI ログインイベントに関する情報が提供されます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択して、[管理および操作の監査（Administrative and Operational audit）] を選択します。

変更設定監査

変更設定監査レポートは、指定した期間内の設定変更の詳細を提供します。機能をトラブルシューティングする必要がある場合、このレポートは、最新の設定変更が問題の原因となったかどうかを決定するのに役立ちます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択して、[管理および操作の監査（Administrative and Operational audit）] を選択します。

データ消去の監査

データ消去の監査レポートは、ロギングデータが消去されている時間を記録します。

このレポートは、データ消去の 2 つのソースを反映します。

毎日午前 4 時に、Cisco ISE は、[管理（Administration）] > [メンテナンス（Maintenance）] > [データ消去（Data Purging）] ページで設定した基準に一致するロギングファイルがあるかどうかを確認します。あった場合は、ファイルが削除され、このレポートに記録されます。さらに、Cisco ISE は、常にログファイルに使用される記憶域を最大 80% に維持します。1 時間ごとに、Cisco ISE はこの割合を確認し、 80% のしきい値に再び到達するまで、最も古いデータが削除されます。この情報もこのレポートに記録されます。

高いディスク容量使用率がある場合、しきい値の 80% で「 ISE モニタノードはもうすぐ割り当てられている最大量を超えます（ISE Monitor node(s) is about to exceed the maximum amount allocated）」というアラートメッセージが表示されます。その後、しきい値の 90% で「 ISE モニタノードは割り当てられている最大量を超えました（ISE Monitor node(s) has exceeded the maximum amount allocated）」というアラートメッセージが表示されます。

—

エンドポイントのアクティビティ消去

エンドポイントのアクティビティ消去レポートを使用すると、エンドポイントのアクティビティ消去の履歴を確認できます。このレポートは、プロファイラロギングカテゴリが有効である必要があります。デフォルトでは有効になっています。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[プロファイラ（Profiler）] を選択します。

内部管理者の概要

内部管理者の概要レポートを使用すると、管理者ユーザのエンタイトルメントを確認できます。このレポートから、管理者ログインレポートおよび変更設定監査レポートにもアクセスでき、それにより、管理者ごとにこれらの詳細を表示できます。

—

操作監査

操作監査レポートは、次のような操作の変更に関する詳細を提供します。バックアップの実行、Cisco ISE ノードの登録、またはアプリケーションの再起動。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択して、[管理および操作の監査（Administrative and Operational audit）] を選択します。

pxGrid 管理者の監査

pxGrid 管理者の監査レポートは、プライマリ PAN でのクライアントの登録、クライアントの登録解除、クライアントの承認、トピックの作成、トピックの削除、パブリッシャとサブスクライバの追加、およびパブリッシャとサブスクライバの削除など、 pxGrid の管理処理の詳細を提供します。

すべてのレコードに、ノードで処理を実行した管理者の名前が示されます。

管理者およびメッセージの基準に基づいて、pxGrid 管理者の監査レポートをフィルタできます。

—

セキュアな通信の監査

セキュアな通信の監査レポートには、認証の失敗、ブレークインの可能性がある試み、SSH ログイン、失敗したパスワード、SSH ログアウト、無効なユーザアカウントなどが含まれる、Cisco ISE 管理 CLI のセキュリティ関連イベントに関する監査の詳細が提供されます。

—

User Change Password Audit

User Change Password Audit レポートは、従業員のパスワード変更に関する検証を表示します。

管理および操作の監査（Administrative and Operational audit）

デバイス管理

認証概要（Authentication Summary）

[TACACS 認証概要（TACACS Authentication Summary）] レポートには、最も一般的な認証および認証失敗の理由の詳細が示されています。

TACACS アカウンティング

TACACS アカウンティングレポートは、デバイスセッションのアカウンティングの詳細を提供します。ユーザおよびデバイスの生成された時刻およびログに記録された時刻に関する情報が表示されます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[TACACS アカウンティング（TACACS Accounting）] を選択します。

失敗の理由別上位 N の認証（Top N Authentication by Failure Reason）

[失敗の理由別上位 N の認証（Top N Authentication by Failure Reason）] レポートには、選択したパラメータに基づいて、特定の期間における失敗の理由別の認証の合計数が表示されます。

—

ネットワークデバイス別上位 N の認証（Top N Authentication by Network Device）

[ネットワークデバイス別上位 N の認証（Top N Authentication by Network Device）] レポートには、選択されたパラメータに基づいて、特定の期間におけるネットワークデバイス名ごとの合格および不合格の認証数が表示されます。

—

ユーザ別上位 N の認証（Top N Authentication by User）

[ユーザ別上位 N の認証（Top N Authentication by User）] レポートには、選択したパラメータに基づいて、特定の期間におけるユーザ名ごとの合格および不合格の認証数が表示されます。

—

診断

AAA の診断

AAA の診断レポートは、Cisco ISE とユーザ間のすべてのネットワークセッションの詳細を提供します。ユーザがネットワークにアクセスできない場合、トレンドを識別し、問題が特定のユーザに隔離されているか、またはより広範囲の問題を示しているかを識別するために、このレポートを確認できます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、次のロギングカテゴリを選択します。[ポリシー診断（Policy Diagnostics）]、[ID ストア診断（Identity Stores Diagnostics）]、[認証フロー診断（Authentication Flow Diagnostics）]、および [RADIUS 診断（RADIUS Diagnostics）]。

AD コネクタ操作

AD コネクタ操作レポートは、Cisco ISE サーバのパスワードのリフレッシュ、Kerberos チケットの管理、DNS クエリ、DC 検出、LDAP、および RPC 接続管理など、 AD コネクタが実行する操作のログを提供します。

AD の障害がいくつか発生している場合、このレポートで詳細を確認して考えられる原因を特定できます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[AD コネクタ（AD Connector）] を選択します。

エンドポイントプロファイルの変更

エンドポイント（MAC アドレス）別上位認証レポートは、ネットワークにアクセスするために各エンドポイントの MAC アドレスが Cisco ISE によって許可された回数を表示します。

成功した認証、失敗した試行（Passed Authentications, Failed Attempts）

健全性の概要

健全性の概要レポートは、ダッシュボードのような詳細を提供します。ただし、ダッシュボードは過去 24 時間のデータしか表示しませんが、このレポートを使用するとより多くの履歴データを確認できます。

データの一貫したパターンを調べるためにこのデータを評価できます。たとえば、大多数の従業員が就業時間を開始するときに、非常に高い CPU 使用率が予想されます。これらのトレンドの不整合がわかれば、潜在的な問題を識別できます。

[CPU 使用率（CPU Usage）] テーブルには、各種 Cisco ISE 機能の CPU 使用率（%）が表示されます。show cpu usage CLI コマンドの出力がこのテーブルに表示されるため、これらの値を、展開内で発生している問題と関連付け、原因を特定することができます。

—

ISE カウンタ

ISE カウンタレポートには、さまざまな属性のしきい値が示されます。各種属性の値の収集間隔は異なり、またデータは表形式で表示されます。5 分間隔で収集される属性と 5 分よりも長い間隔で収集される属性があります。

このデータを評価してトレンドを確認し、しきい値よりも高い値を検出した場合には、展開内で発生している問題にこの情報を関連付け、考えられる原因を特定できます。

Cisco ISE はデフォルトでこれらの属性の値を収集します。このデータ収集を無効にするには、Cisco ISE CLI で application configure ise コマンドを使用します。カウンタ属性の収集を有効または無効にするには、オプション 14 を選択します。

—

主要パフォーマンス測定指標

主要パフォーマンス測定指標レポートには、展開に接続しているエンドポイントの数と、 1 時間あたりに各 PAN が処理する RADIUS 要求の数に関する統計情報が表示されます。このレポートには、サーバの平均負荷、要求あたりの平均遅延、および平均トランザクション数/秒が示されます。

—

設定が誤っている NAS

設定が誤っている NAS レポートは、通常、アカウンティング情報を頻繁に送信するときに、アカウンティング頻度が不正確な NAD に関する一般情報を提供します。修正処置を行い、設定が誤っている NAD を修正すると、レポートはレポートに修正済み確認を表示します。

注	レポートを実行するには、RADIUS 抑制を有効にする必要があります。

—

設定が誤っているサプリカント

設定が誤っているサプリカントのレポートは、特定のサプリカントが実行した失敗試行のため、設定が誤っているサプリカントの一覧および統計情報を提供します。修正処置を行い、設定が誤っているサプリカントを修正すると、レポートはレポートに修正済み確認を表示します。

注	レポートを実行するには、RADIUS 抑制を有効にする必要があります。

—

ネットワークデバイスのセッションステータス

ネットワークデバイスのセッションステータス概要レポートを使用すると、直接スイッチにログインせずにスイッチ設定を表示することができます。

Cisco ISE は SNMP クエリを使用してこれらの詳細にアクセスするので、ネットワークデバイスは SNMP v1/v2c を使用して設定されている必要があります。

ユーザにネットワークの問題が発生している場合に、このレポートは、問題が Cisco ISE ではなくスイッチの設定に関連しているかどうかを識別するのに役立ちます。

—

OCSP Monitoring

OCSP モニタリングレポートは、Online Certificate Status Protocol（OCSP）サービスのステータスを指定します。Cisco ISE が正常に証明書サーバに連絡し、証明書ステータス監査を提供できるかどうかを識別します。Cisco ISE によって実行されたすべての OCSP 証明書検証操作の概要が提供されます。適切な/失効したプライマリ/セカンダリ証明書に関連する情報を OCSP サーバから取得します。Cisco ISE は、応答をキャッシュし、後続の OCSP モニタリングレポートの生成に使用します。キャッシュがクリアされる場合は、OCSP サーバから情報を取得します。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[システム診断（System Diagnostics）] を選択します。

RADIUS エラー

RADIUS エラーレポートを使用すると、ドロップされた RADIUS 要求（未知のネットワークアクセスデバイスからの廃棄された認証/アカウンティング要求）、 EAP 接続タイムアウトおよび未知の NAD をチェックできます。

注	ISE は、ユーザ認証が進行中のときにエンドポイントのアカウンティング停止要求をサイレントにドロップする場合があります。ただし、 ISE はユーザ認証が完了すると、すべてのアカウンティング要求の認識を開始します。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[失敗した試行（Failed Attempts）] を選択します。

システム診断

システム診断レポートは Cisco ISE ノードのステータスの詳細を提供します。Cisco ISE ノードが登録できない場合、このレポートを確認して問題をトラブルシューティングすることができます。

このレポートでは、最初に複数の診断ロギングカテゴリを有効にする必要があります。これらのログを収集すると、 Cisco ISE パフォーマンスに悪影響を及ぼすことがあります。したがって、これらのカテゴリはデフォルトで有効ではなく、データを収集するのに十分な時間だけ有効にする必要があります。そうでない場合は、30 分後に自動的に無効になります。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、次のロギングカテゴリを選択します。[内部操作診断（Internal Operations Diagnostics）]、[分散管理（Distributed Management）]、および [管理者の認証と許可（Administrator Authentication and Authorization）]。

エンドポイントとユーザ

認証概要

認証概要レポートは、RADIUS 認証に基づいています。それにより、最も一般的な認証および認証失敗の原因を特定することができます。たとえば、ある Cisco ISE サーバが他のサーバよりもはるかに多くの認証を処理している場合、負荷を適切に分散するためにユーザを別の Cisco ISE サーバに再割り当てする場合があります。

注	認証概要レポートまたはダッシュボードが失敗または成功した認証に対応する最新のデータを収集して表示するため、レポートの内容は数分の遅延の後に表示されます。

—

クライアントプロビジョニング

クライアントプロビジョニングレポートは、特定のエンドポイントに適用されるクライアントプロビジョニングエージェントについて示します。このレポートを使用すると、各エンドポイントに適用されるポリシーを確認してエンドポイントが正しくプロビジョニングされたことを確認することができます。

注	エンドポイントが ISE に接続されない（セッションが確立されない）場合、またはネットワークアドレス変換（NAT）アドレスがセッションで使用される場合、エンドポイントの MAC アドレスは [エンドポイントID（Endpoint ID）] 列に表示されません。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[ポスチャおよびクライアントプロビジョニングの監査（Posture and Client Provisioning Audit）] および [ポスチャおよびクライアントプロビジョニングの診断（Audit and Posture and Client Provisioning Diagnostics）] を選択します。

現在のアクティブなセッション

現在アクティブなセッションレポートを使用すると、指定の期間内のその時点でネットワーク上に存在していた者に関する詳細を含むレポートをエクスポートできます。

ユーザがネットワークにアクセスできない場合、セッションが認証または終了されているかどうか、またはセッションに別の問題があるかどうかを確認できます。

—

外部モバイルデバイス管理

外部モバイルデバイス管理レポートは、Cisco ISE と外部モバイルデバイス管理（MDM）サーバ間の統合に関する詳細を提供します。

このレポートを使用すると、MDM サーバに直接ログインせずに、MDM サーバによってプロビジョニングされたエンドポイントを確認することができます。また、登録および MDM コンプライアンスステータスなどの情報が表示されます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[MDM] を選択します。

パッシブ ID

Passive ID レポートを使用すると、ドメインコントローラへの WMI 接続の状態をモニタし、関連する統計情報（受信した通知の数、1 秒あたりのユーザログイン/ログアウト回数など）を収集することができます。

注	この方法で認証されたセッションには、レポートの認証の詳細がありません。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[ID マッピング（Identity Mapping）] を選択します。

手動証明書プロビジョニング

手動証明書プロビジョニングレポートには、証明書プロビジョニングポータル経由で手動でプロビジョニングされたすべての証明書がリストされます。

—

条件によるポスチャアセスメント

条件によるポスチャアセスメントレポートでは、ISE に設定されたポスチャポリシー条件に基づいてレコードを表示し、最新のセキュリティ設定またはアプリケーションがクライアントマシンで利用可能かどうかを確認できます。

—

エンドポイントによるポスチャアセスメント

[エンドポイントによるポスチャアセスメント（Posture Assessment by Endpoint）] レポートには、エンドポイントの時間、ステータス、PRA アクションなどの詳細な情報が提供されます。 [詳細（Details）] をクリックして、エンドポイントの詳細情報を表示することができます。

注	[エンドポイントによるポスチャアセスメント（Posture Assessment by Endpoint）] レポートでは、エンドポイントのアプリケーションおよびハードウェア属性のポスチャポリシーの詳細は提供されません。[コンテキストの可視性（Context Visibility）] ページでのみこの情報を確認できます。

—

プロファイリングされたエンドポイントの概要

プロファイリングされたエンドポイントの概要レポートは、ネットワークにアクセスしているエンドポイントに関するプロファイリングの詳細を提供します。

注	Cisco IP Phone など、セッション時間を登録しないエンドポイントの場合、[エンドポイント（Endpoint）] セッション時間フィールドに、[該当なし（Not Applicable）] と表示されます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[プロファイラ（Profiler）] を選択します。

RADIUS アカウンティング（RADIUS Accounting）

RADIUS アカウンティングレポートは、ユーザがネットワーク上に存在した時間を識別します。ユーザがネットワークにアクセスできない場合、 Cisco ISE がネットワーク接続問題の原因であるかどうか、このレポートを使用して識別できます。

注	暫定アップデートに、指定されたセッションの IPv4 または IPv6 アドレスの変更に関する情報が含まれている場合、 Radius アカウンティング暫定アップデートは [RADIUS アカウンティング（RADIUS Accounting）] レポートに含まれています。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[RADIUS アカウンティング（RADIUS Accounting）] を選択します。

RADIUS 認証

RADIUS 認証レポートを使用すると、認証失敗および成功の履歴を確認できます。ユーザがネットワークにアクセスできない場合、このレポートの詳細を確認して考えられる原因を識別できます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、次のロギングカテゴリを選択します。[成功した認証（Passed Authentications）] および [失敗した試行（Failed Attempts）]。

登録済みエンドポイント

登録済みエンドポイントレポートは、従業員によって登録されているすべてのパーソナルデバイスを表示します。

—

拒否エンドポイント

拒否エンドポイントレポートには、従業員が登録したパーソナルデバイスのうち、拒否されたデバイスまたはリリースされたデバイスがすべて表示されます。このレポートのデータは、Plus ライセンスをインストールしている場合にのみ使用可能です。

—

サプリカントプロビジョニング

サプリカントプロビジョニングレポートは、従業員のパーソナルデバイスにプロビジョニングされたサプリカントに関する詳細を提供します。

ポスチャおよびクライアントプロビジョニングの監査（Posture and Client Provisioning Audit）

エンドポイントによる上位承認

エンドポイント（MAC アドレス）別上位認証レポートは、ネットワークにアクセスするために各エンドポイントの MAC アドレスが Cisco ISE によって許可された回数を表示します。

成功した認証、失敗した試行（Passed Authentications, Failed Attempts）

ユーザ別上位認証

ユーザ別上位認証レポートは、ネットワークにアクセスするために各ユーザが Cisco ISE によって許可された回数を表示します。

成功した認証、失敗した試行（Passed Authentications, Failed Attempts）

アクセスサービス別上位 N の認証（Top N Authentication by Access Service）

[アクセスサービス別上位 N の認証（Top N Authentication by Access Service）] レポートには、選択されたパラメータに基づいて、特定の期間におけるアクセスサービスタイプごとの合格および不合格の認証数が表示されます。

—

失敗の理由別上位 N の認証（Top N Authentication by Failure Reason）

[失敗の理由別上位 N の認証（Top N Authentication by Failure Reason）] レポートには、選択したパラメータに基づいて、特定の期間における失敗の理由別の認証の合計数が表示されます。

—

ネットワークデバイス別上位 N の認証（Top N Authentication by Network Device）

[ネットワークデバイス別上位 N の認証（Top N Authentication by Network Device）] レポートには、選択されたパラメータに基づいて、特定の期間におけるネットワークデバイス名ごとの合格および不合格の認証数が表示されます。

—

ユーザ別上位 N の認証（Top N Authentication by User）

[ユーザ別上位 N の認証（Top N Authentication by User）] レポートには、選択したパラメータに基づいて、特定の期間におけるユーザ名ごとの合格および不合格の認証数が表示されます。

—

ゲスト

AUP 受け入れステータス

AUP 受け入れステータスレポートには、すべてのゲストポータルからの AUP 承認の詳細が示されます。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[ゲスト（Guest）] を選択します。

ゲストアカウンティング

ゲストアカウンティングレポートは、RADIUS アカウンティングレポートのサブセットです。アクティブなゲストまたはゲスト ID グループに割り当てられたすべてのユーザがこのレポートに表示されます。

—

マスターゲストレポート

マスターゲストレポートは、さまざまなゲストアクセスレポートからデータを結合し、異なるレポートソースからデータをエクスポートできるようにします。マスターゲストレポートは、ゲストユーザがアクセスしている Web サイトに関する詳細も提供します。このレポートは、セキュリティ監査の目的で使用し、ゲストユーザがネットワークにアクセスした時間、およびそこで行った操作を示すことができます。

また、ゲストトラフィックに使用するネットワークアクセスデバイス（NAD）の HTTP インスペクションを有効にする必要もあります。この情報は、NAD によって Cisco ISE に返送されます。

クライアントが最大同時セッションの制限数に到達した時期を確認するには、管理者ポータルから、[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] の順に選択し、次を実行します。

「認証フロー診断」のロギングカテゴリのログレベルを [警告（WARN）] から [情報（INFO）] に上げます。
AAA 診断の [ロギングカテゴリ（Logging Category）] の下で [LogCollectorターゲット（LogCollector Target）] を [使用可能（Available）] から [選択済み（Selected）] に変更します。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択して、[成功した認証（Passed Authentications）] を選択します。

デバイスのログインおよび監査

デバイスのログインおよび監査レポートは、デバイスポータルのデバイスでユーザが実行するログインアクティビティと操作についての詳細を提供します。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[デバイス（My Devices）] を選択します。

スポンサーのログインおよび監査

スポンサーのログインおよび監査レポートは、スポンサーポータルでのゲストユーザのログイン、追加、削除、有効化、一時停止、および更新操作の詳細、ならびにスポンサーのログインアクティビティの詳細を提供します。

ゲストユーザを一括で追加すると、[ゲストユーザ（Guest Users）] カラムの下に表示されます。このカラムは、デフォルトでは非表示です。エクスポート時に、これらの一括処理されたユーザもエクスポートファイルに存在します。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択し、[ゲスト（Guest）] を選択します。

SXP

SXP バインディング

SXP バインディングレポートは、SXP 接続を介して交換される IP-SGT バインディングに関する情報を提供します。

—

SXP 接続

このレポートを使用して、SXP 接続のステータスをモニタしたり、ピア IP、 SXP ノード IP、VPN 名、SXP モードなど、その接続に関連する情報を収集できます。

—

TrustSec

RBACL ドロップ概要

RBACL ドロップ概要レポートは、拡張 Cisco ISE ライセンスのみで使用できる TrustSec 機能に固有です。

また、このレポートでは、ドロップされたイベントの NetFlow イベントを Cisco ISE に送信するようにネットワークデバイスを設定する必要があります。

ユーザが特定のポリシーまたはアクセスに違反した場合、パケットがドロップされ、このレポートに示されます。

注	RBACL 廃棄パケットのフローは、Cisco Catalyst 6500 シリーズスイッチでのみ使用できます。

—

ユーザ別上位 N 個の RBACL ドロップ

ユーザ別上位 N 個の RBACL ドロップレポートは、拡張 Cisco ISE ライセンスのみで使用できる TrustSec 機能に固有です。

また、このレポートでは、ドロップされたイベントの NetFlow イベントを Cisco ISE に送信するようにネットワークデバイスを設定する必要があります。

このレポートは、特定のユーザ別にポリシー違反（パケットドロップに基づく）を表示します。

注	RBACL 廃棄パケットのフローは、Cisco Catalyst 6500 シリーズスイッチでのみ使用できます。

—

TrustSec ACI

このレポートには、IEPG、EEPG、エンドポイント、APIC のサブネット設定と同期された SGT および SXP のマッピングが一覧表示されます。これらの詳細は、TrustSec APIC 統合機能が有効になっている場合にのみ表示されます。

—

TrustSec 展開の検証

このレポートを使用すると、最新の TrustSec ポリシーがすべてのネットワークデバイスで展開されているかどうか、 Cisco ISE とネットワークデバイスで設定されたポリシーに不一致があるかどうかを確認できます。

検証プロセスの結果を表示するには、[詳細（Details）] アイコンをクリックします。次の詳細情報を表示できます。

検証プロセスの開始時期と終了時期
最新の TrustSec ポリシーがネットワークデバイスで正常に展開されているかどうか。また、最新の TrustSec ポリシーを展開するネットワークデバイスの名前および IP アドレスを表示することもできます。
Cisco ISE とネットワークデバイスで設定されたポリシーに不一致があるかどうか。デバイス名、 IP アドレス、および各ポリシーの違いの対応するエラーメッセージが表示されます。

[アラーム（Alarms）] ダッシュレット（[ワークセンター（Work Centers）] > [TrustSec] > [ダッシュボード（Dashboard）] と [ホーム（Home）] > [サマリー（Summary）]）で、TrustSec 展開の検証アラームを表示できます。

注	レポート作成にかかる時間は、展開内のネットワークデバイスと TrustSec グループの数に応じて異なります。 TrustSec 展開の検証レポートのエラーメッセージの長さは、現在 480 文字に制限されています。480 文字を超えるエラーメッセージは切り捨てられます。最初から 480 文字のみがレポートに表示されます。

—

TrustSec ポリシーのダウンロード

このレポートには、ポリシー（SGT/SGACL）のダウンロードのためにネットワークデバイスによって送信された要求と、ISE によって送信された詳細が一覧表示されます。ワークフローモードを有効にしている場合、要求を実稼働マトリックスまたはステージングマトリックスに対してフィルタ処理することができます。

このレポートを表示するには、次の手順を実行する必要があります。

[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging Categories）] を選択します。
[AAA 診断（AAA Diagnostics）] > [RADIUS 診断（RADIUS Diagnostics）] を選択します。
RADIUS 診断の [ログ重大度レベル（Log Severity Level）] を DEBUG に設定します。

脅威中心型 NAC サービス

アダプタのステータス

アダプタのステータスレポートには、脅威および脆弱性のアダプタのステータスが表示されます。

—

COA イベント

脆弱性イベントがエンドポイントに受信されると、Cisco ISE はそのエンドポイントの CoA をトリガーします。CoA イベントレポートには、これらの CoA イベントのステータスが表示されます。また、これらのエンドポイントの新旧の認証ルールとプロファイルの詳細が表示されます。

—

脅威イベント

脅威イベントレポートには、設定したさまざまなアダプタから Cisco ISE が受信した脅威イベントがすべて表示されます。

—

脆弱性アセスメント

脆弱性アセスメントレポートには、エンドポイントで行われているアセスメントに関する情報が提供されます。このレポートを表示して、設定されたポリシーに基づいてアセスメントが行われているかどうかを確認することができます。

—

RADIUS ライブログ

次の表では、最近の RADIUS 認証を表示する [RADIUS ライブログ（RADIUS Live Logs）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[操作（Operations）] > [RADIUS] > [ライブログ（Live Logs）] です。RADIUS ライブログはプライマリ PAN だけで表示されます。

オプション

使用上のガイドライン

時刻（Time）

モニタリングおよび収集エージェントがログを受信した時刻を表示します。このカラムは必須です。選択解除することはできません。

ステータス

認証が成功したか失敗したかを示します。このカラムは必須です。選択解除することはできません。緑色は認証が成功したことを示します。赤色は認証が失敗したことを示します。

詳細（Details）

[詳細（Details）] 列の下にあるアイコンをクリックすると、新しいブラウザウィンドウに [認証詳細レポート（Authentication Detail Report）] が表示されます。このレポートには、認証と関連属性のほか、認証フローに関する情報が記載されています。 [認証の詳細（Authentications Details）] ボックスの [応答時間（Response Time）] には、Cisco ISE で認証フローを処理するのにかかった合計時間が示されます。たとえば、認証が 3 つのラウンドトリップメッセージで構成されている場合（最初のメッセージには 300 ミリ秒、次のメッセージには 150 ミリ秒、最後のメッセージには 100 ミリ秒かかる）、応答時間は、300 + 150 + 100 = 550 750 ミリ秒になります。

注

48 時間を超えるアクティブになっているエンドポイントの詳細を表示することはできません。48 時間を超えるアクティブになっているエンドポイントの詳細アイコンをクリックすると、次のメッセージがページに表示される場合があります：No Data available for this record. Either the data is purged or authentication for this session record happened a week ago. Or if this is an 'PassiveID' or 'PassiveID Visibility' session, it will not have authentication details on ISE but only the session.

繰り返し回数（Repeat Count）

ID、ネットワークデバイス、および許可のコンテキストで変更がなく、直近の 24 時間で認証要求が繰り返された回数を表示します。

ID（Identity）

ログイン済みの認証に関連付けられているユーザ名を示します。

ユーザ名が ID ストアに存在しない場合は、無効と表示されます。その他の原因で認証に失敗した場合は、ユーザ名と表示されます。デバッグをサポートするために、無効なユーザ名の開示（表示）を ISE に強制できます。 [管理（Administration）] > [システム（System）] > [設定（Settings）] > [セキュリティ設定（Security Settings）] で [無効なユーザ名を開示する（Disclose invalid usernames）] チェックボックスをオンにします。また、無効なユーザ名のタイムアウトを設定することもできます。これはオフにする必要がありません。

エンドポイント ID（Endpoint ID）

エンドポイントの一意の識別子を表示します。通常は MAC または IP アドレスです。

エンドポイントプロファイル（Endpoint Profile）

プロファイリングされるエンドポイントのタイプを示します（たとえば、iPhone、 Android、MacBook、Xbox になるようにプロファイリングされます）。

認証ポリシー（Authentication policy）

特定の認証に選択されているポリシーの名前を表示します。

許可ポリシー（Authorization Policy）

特定の許可に選択されているポリシーの名前を表示します。

認証プロファイル（Authorization Profiles）

認証に使用された許可プロファイルを表示します。

IPアドレス（IP Address）

エンドポイントデバイスの IP アドレスを表示します。

ネットワークデバイス（Network Device）

ネットワークアクセスデバイスの IP アドレスを表示します。

デバイスポート（Device Port）

エンドポイントが接続されているポート番号を表示します。

ID グループ（Identity Group）

ログの生成対象となるユーザまたはエンドポイントに割り当てられる ID グループを表示します。

ポスチャステータス（Posture Status）

ポスチャ検証のステータスと認証の詳細を表示します。

サーバ（Server）

ログの生成元になったポリシーサービスが示されます。

MDMサーバ名（MDM Server Name ）

MDM サーバの名前を表示します。

イベント（Event）

イベントステータスを表示します。

失敗の理由（Failure Reason）

認証が失敗した場合、その失敗の詳細な理由を表示します。

認証方式（Auth Method）

Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2（MS-CHAPv2）、IEE 802.1x、dot1x など、 RADIUS プロトコルによって使用される認証方式を表示します。

認証プロトコル（Authentication Protocol）

Protected Extensible Authentication Protocol（PEAP）や拡張認証プロトコル（EAP）など、使用される認証プロトコルを表示します。

セキュリティグループ（Security Group）

認証ログによって識別されるグループを表示します。

セッション ID

セッション ID を表示します。

注	[RADIUS ライブログ（RADIUS Live Logs）] と [TACACS+ ライブログ（TACACS+ Live Logs）] 詳細ペインでは、各ポリシー許可ルールの 1 番目の属性として [照会済み PIP（Queried PIP）] が表示されます。許可ルール内のすべての属性が、以前のルールについてすでに照会されているディクショナリに関連している場合、これ以外に [照会済み PIP（Queried PIP）] エントリは表示されません。

[RADIUS ライブログ（RADIUS Live Logs）] ページで、次を実行できます。

データを csv または pdf ファイル形式でエクスポートします。
要件に基づいて列を表示または非表示にします。
簡易またはカスタムフィルタを使用してデータをフィルタリングします。後で使用するためにフィルタを保存することもできます。
列の順序を変更したり、列の幅を調整します。
列の値をソートします。

注	すべてのユーザのカスタマイズは、ユーザ設定として保存されます。

RADIUS ライブセッション

次の表では、ライブ認証が表示される [RADIUS ライブセッション（RADIUS Live Sessions）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[操作（Operations）] > [RADIUS] > [ライブセッション（Live Sessions）] です。RADIUS ライブセッションはプライマリ PAN だけで表示されます。

表 7.RADIUS ライブセッション

フィールド

説明

開始（Initiated）

セッション開始時のタイムスタンプを表示します。

更新しました

何らかの変更のためにセッションが最後に更新された時点のタイムスタンプを表示します。

アカウントセッション時間（Account Session Time）

ユーザセッションの期間（秒単位）を表示します。

セッションステータス（Session Status）

エンドポイントデバイスの現在のステータスを表示します。

操作

アクティブな RADIUS セッションを再認証するか、またはアクティブな RADIUS セッションを切断するには、[アクション（Actions）] アイコンをクリックします。

繰り返し回数（Repeat Count）

ユーザまたはエンドポイントの再認証回数を示します。

エンドポイント ID（Endpoint ID）

エンドポイントの一意の識別子を表示します。通常は MAC または IP アドレスです。

ID（Identity）

エンドポイントデバイスのユーザ名を表示します。

[IPアドレス（IP Address）]

エンドポイントデバイスの IP アドレスを表示します。

監査セッション ID（Audit Session ID）

固有のセッション ID を表示します。

アカウントセッション ID（Account Session ID）

ネットワークデバイスから提供された固有 ID を表示します。

エンドポイントプロファイル（Endpoint Profile）

デバイスのエンドポイントプロファイルを表示します。

ポスチャステータス（Posture Status）

ポスチャ検証のステータスと認証の詳細を表示します。

セキュリティグループ（Security Group）

認証ログによって識別されるグループを表示します。

サーバ

ログを生成したポリシーサービスノードを示します。

認証方式（Auth Method）

パスワード認証プロトコル（PAP）、チャレンジハンドシェイク認証プロトコル（CHAP）、 IEE 802.1x、dot1x など、RADIUS プロトコルによって使用される認証方式を表示します。

認証プロトコル（Authentication Protocol）

Protected Extensible Authentication Protocol（PEAP）や拡張認証プロトコル（EAP）など、使用される認証プロトコルを表示します。

認証ポリシー（Authentication policy）

特定の認証に選択されているポリシーの名前を表示します。

許可ポリシー

特定の許可に選択されているポリシーの名前を表示します。

認証プロファイル

認証に使用された許可プロファイルを表示します。

NAS IP アドレス

ネットワークデバイスの IP アドレスを表示します。

デバイスポート（Device Port）

ネットワークデバイスに接続されたポートを表示します。

PRA アクション（PRA Action）

ネットワークでのコンプライアンスのためにクライアントが正常にポスチャされた後、そのクライアントで実行される定期的な再評価アクションを表示します。

ANCステータス（ANC Status）

[隔離（Quarantine）]、[隔離解除（Unquarantine）]、または [シャットダウン（Shutdown）] としてデバイスの適応型ネットワーク制御のステータスを表示します。

WLC ローミング（WLC Roam）

エンドポイントがローミング中に WLC 間でハンドオフされたことを追跡するために使用されるブール値（Y/N）を表示します。 cisco-av-pair=nas-update の値は Y または N です。

注	セッションの状態がローミングであるかどうかを判断する場合、Cisco ISE は WLC の nas-update=true 属性に依存しています。元の WLC が nas-update=true のアカウンティング停止属性を送信する場合、再認証を回避するために ISE のセッションは削除されません。何らかの理由でローミングが失敗する場合、ISE は何も操作しない期間が 5 日経過するとセッションを消去します。

パケット入力

受信したパケットの数を表示します。

パケット出力

送信したパケットの数を表示します。

受信バイト数（Bytes In）

受信したバイト数を表示します。

送信バイト数（Bytes Out）

送信したバイト数を表示します。

セッション送信元（Session Source）

RADIUS セッションまたは PassiveID セッションのいずれであるかを示します。

ユーザドメイン名（User Domain Name）

ユーザの登録済み DNS 名を示します。

ホストドメイン名（Host Domain Name）

ホストの登録済み DNS 名を示します。

ユーザNetBIOS名（User NetBIOS Name）

ユーザの NetBIOS 名を示します。

ホストNetBIOS名（Host NetBIOS Name）

ホストの NetBIOS 名を示します。

ライセンスのタイプ（License Type）

使用されているライセンスのタイプ（Base、Plus、Apex、または Plus and Apex）を表示します。

ライセンスの詳細（License Details）

ライセンスの詳細を表示します。

プロバイダー

エンドポイントイベントはさまざまな syslog ソースから学習されます。これらの syslog ソースはプロバイダーと呼ばれます。

Windows Management Instrumentation（WMI）：WMI は、オペレーティングシステム、デバイス、アプリケーション、およびサービスに関する管理情報にアクセスするための共通インターフェイスとオブジェクトモデルを提供する Windows サービスです。
エージェント：クライアントまたは別のプログラムの代わりにクライアントで実行されるプログラム。
syslog：クライアントがイベントメッセージを送信するロギングサーバ。
REST：クライアントはターミナルサーバで認証されます。この syslog ソースの場合、[TS エージェント ID（TS Agent ID）]、[開始送信元ポート（Source Port Start）] 、[終了送信元ポート（Source Port End）]、[最初の送信元ポート（Source First Port）] の値が表示されます。
SPAN：ネットワーク情報は SPAN プローブを使用して検出されます。
DHCP：DHCP イベント。
エンドポイント（Endpoint）

異なるプロバイダーからの 2 つのイベントがエンドポイントセッションから学習されると、ライブセッションページにこれらのプロバイダーがカンマ区切り値として表示されます。

MAC アドレス

クライアントの MAC アドレスを表示します。

[エンドポイントチェック時刻（Endpoint Check Time）]

エンドポイントプローブによってエンドポイントが最後にチェックされた時刻を表示します。

[エンドポイントチェック結果（Endpoint Check Result）]

エンドポイントプローブの結果が表示されます。設定可能な値は次のとおりです。

到達不要
[ユーザログアウト（User Logout）]
[アクティブユーザ（Active User）]

[送信元ポートの開始（Source Port Start）]

（REST プロバイダーの場合にのみ値が表示されます。）ポート範囲の最初のポートの番号を示します。

[送信元ポートの終了（Source Port End）]

（REST プロバイダーの場合にのみ値が表示されます。）ポート範囲の最後のポート番号を示します。

[最初の送信元ポート（Source First Port）]

（REST プロバイダーの場合にのみ値が表示されます。）ターミナルサーバ（TS）エージェントにより割り当てられた最初のポートを示します。

ターミナルサーバ（TS）は、複数のエンドポイントがモデムまたはネットワークインターフェイスなしで接続でき、複数エンドポイントが LAN ネットワークに接続できるようにするサーバまたはネットワークデバイスです。複数のエンドポイントに同一 IP アドレスが割り当てられている場合は、特定ユーザの IP アドレスを識別することが困難になります。このため、特定ユーザを識別する目的で TS エージェントがサーバにインストールされ、各ユーザにポート範囲が割り当てられます。これにより、 IP アドレス - ポート - ユーザのマッピングが作成されます。

[TS エージェント ID（TS Agent ID）]

（REST プロバイダーの場合にのみ値が表示されます。）エンドポイントにインストールされているターミナルサーバ（TS）エージェントの一意の ID を表示します。

[AD ユーザ解決 ID（AD User Resolved Identities）]

（AD ユーザの場合にのみ値が表示されます。）一致したアカウントの候補が表示されます。

[AD ユーザ解決 DN（AD User Resolved DNs）]

（AD ユーザの場合にのみ値が表示されます。）AD ユーザの識別名（例：CN=chris,CN=Users,DC=R1,DC=com）を表示します。

TACACS ライブログ

次の表では、TACACS+ AAA の詳細を表示する [TACACS ライブログ（TACACS Live Logs）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[操作（Operations）] > [TACACS ライブログ（TACACS Live Logs）] です。TACACS ライブログはプライマリ PAN だけで表示されます。

表 8.TACACS ライブログ
フィールド	使用上のガイドライン
生成日時（Generated Time）	特定のイベントがトリガーされた時点に基づいて、syslog の生成日時を示します。
ログに記録された時刻（Logged Time）	syslog がモニタリングノードによって処理され、保存された時刻を示します。このカラムは必須です。選択解除することはできません。
ステータス	認証が成功したか失敗したかを示します。このカラムは必須です。選択解除することはできません。緑色は認証が成功したことを示します。赤色は認証が失敗したことを示します。
詳細（Details）	虫眼鏡アイコンをクリックすると、選択した認証シナリオをドリルダウンし、詳細情報を確認できるレポートが表示されます。このカラムは必須です。選択解除することはできません。
セッションキー（Session Key）	ISE によってネットワークデバイスに返される（EAP の成功メッセージまたはEAP の失敗メッセージにある）セッションキーを示します。
ユーザ名（Username）	デバイス管理者のユーザ名を示します。このカラムは必須です。選択解除することはできません。
タイプ（Type）	[認証（Authentication）] および [承認（Authorization）] の 2 つのタイプで構成されます。認証、承認、またはその両方を通過または失敗したユーザ名を示します。このカラムは必須です。選択解除することはできません。
認証ポリシー（Authentication policy）	特定の認証に選択されているポリシーの名前を表示します。
許可ポリシー（Authorization Policy）	特定の許可に選択されているポリシーの名前を表示します。
ISEノード（ISE Node）	アクセス要求が処理される ISE ノードの名前を示します。
ネットワークデバイス名（Network Device Name ）	ネットワークデバイスの名前を示します。
ネットワークデバイス IP（Network Device IP ）	アクセス要求を処理するネットワークデバイスの IP アドレスを示します。
ネットワークデバイスグループ（Network Device Groups ）	ネットワークデバイスが属する対応するネットワークデバイスグループの名前を示します。
デバイスタイプ（Device Type）	異なるネットワークデバイスからのアクセス要求の処理に使用されるデバイスタイプポリシーを示します。
参照先	ネットワークデバイスからのアクセス要求の処理に使用されるロケーションベースのポリシーを示します。
デバイスポート（Device Port）	アクセス要求が行われるデバイスのポート番号を示します。
失敗の理由（Failure Reason ）	ネットワークデバイスによって行われたアクセス要求を拒否した理由を示します。
リモートアドレス（Remote Address ）	エンドステーションを一意に識別する IP アドレス、MAC アドレス、またはその他の任意の文字列を示します。
一致したコマンドセット（Matched Command Set ）	MatchedCommandSet 属性値が存在する場合はその値を示し、MatchedCommandSet 属性値が空の場合、または属性自体が syslog に存在しない場合は空の値を示します。
シェルプロファイル（Shell Profile ）	ネットワークデバイスでコマンドを実行するためのデバイス管理者に付与された権限を示します。

[TACACS ライブログ（TACACS Live Logs）] ページで、次を実行できます。

データを csv または pdf ファイル形式でエクスポートします。
要件に基づいて列を表示または非表示にします。
簡易またはカスタムフィルタを使用してデータをフィルタリングします。後で使用するためにフィルタを保存することもできます。
列の順序を変更したり、列の幅を調整します。
列の値をソートします。

注	すべてのユーザのカスタマイズは、ユーザ設定として保存されます。

エクスポートサマリ

過去 7 日間のすべてのユーザによってエクスポートされたレポートの詳細をステータスとともに表示できます。エクスポートサマリには、手動レポートとスケジュールされたレポートの両方が含まれます。[エクスポートサマリ（export summary）] ページは、2 分ごとに自動的に更新されます。[更新（Refresh）] アイコンをクリックすると、[エクスポートサマリ（export summary）] ページが手動で更新されます。

ネットワーク管理者は、進行中またはキューに入れられた状態のエクスポートを取り消すことができます。他のユーザは、自分が開始したエクスポートプロセスをキャンセルすることのみが許可されています。

デフォルトでは、任意の時点で 3 つのレポートの手動エクスポートのみを実行でき、残りのトリガーされたレポートの手動エクスポートはキューに入れられます。スケジュールされたレポートのエクスポートには、このような制限はありません。

注	キューに入れられた状態のすべてのレポートが再度スケジューリングされ、Cisco ISE サーバの再起動時に [進行中（In-progress）] または [キャンセル処理中（Cancellation-in-progress）] 状態のレポートには [失敗しました（failed）] とマークがつきます。

注	プライマリ MnT ノードがダウンしている場合、スケジュールされたレポートエクスポートジョブはセカンダリ MnT ノードで実行されます。

次の表では、[エクスポートサマリ（Export Summary）] ページのフィールドについて説明します。このページへのナビゲーションパスは、[操作（Operations）] > [レポート（Reports）] > [エクスポートサマリ（Export Summary）] です。

表 9.エクスポートサマリ

フィールド

説明

エクスポートされたレポート（Report Exported）

レポートの名前を表示します。

エクスポート実行ユーザ（Exported By）

エクスポートプロセスを開始したユーザのロールを示します。

スケジュール済み（Scheduled）

レポートのエクスポートが予定されているものであるかどうかを示します。

トリガー時刻（Triggered On）

システムでエクスポート処理がトリガーされた時刻を示します。

リポジトリ（Repository）

エクスポートされたデータを格納するリポジトリの名前を表示します。

フィルタパラメータ（Filter Parameters）

レポートのエクスポート中に選択されたフィルタパラメータを示します。

ステータス

エクスポートされたレポートのステータスを示します。次のいずれかを設定できます。

キュー（Queued）
進行中（In-progress）
完了
キャンセル処理中（Cancellation-in-progress）
キャンセル
失敗しました（Failed）
省略（Skipped）

注	[失敗しました（Failed）] ステータスは、失敗の理由を示します。スキップされたステータスは、プライマリ MnT ノードがダウンしているため、スケジュールされたレポートのエクスポートがスキップされることを示します。

[エクスポートサマリ（Export Summary）] ページでは、次の操作を実行できます。

要件に基づいて列を表示または非表示にします。
簡易またはカスタムフィルタを使用してデータをフィルタリングします。後で使用するためにフィルタを保存することもできます。
列の順序を変更したり、列の幅を調整します。

Cisco ISE 2.7 管理者ガイド: メンテナンスとモニタ

ダウンロード オプション

偏向のない言語

翻訳について

メンテナンスとモニタ

適応型ネットワーク 制御

Cisco ISE での 適応型ネットワーク制御の有効化

ネットワーク アクセスの設定

はじめる前に

手順

ANC によるネットワークアクセスの認証プロファイルの作成

手順

ANC 隔離と隔離解除フロー

ANC NAS ポートのシャットダウンフロー

エンドポイントの消去 の設定

隔離済みエンドポイントが ポリシー変更の後に認証を更新しない

問題

考えられる原因

ソリューション

ANC 操作は IP アドレスまたは MAC アドレスが 見つからない場合に失敗する

外部認証された管理者が ANC 操作を実行できない

Cisco ISE ソフトウェアパッチ

ソフトウェア パッチ インストールのガイドライン

ソフトウェア パッチのインストール

はじめる前に

手順

次の作業

ソフトウェアパッチのロールバック

はじめる前に

手順

ソフトウェア パッチ ロールバックのガイドライン

パッチのインストールおよびロールバックの変更の表示

はじめる前に

手順

バックアップ データのタイプ

バックアップ/復元リポジトリ

リポジトリの作成

はじめる前に

手順

次の作業

リポジトリの設定

SFTP リポジトリでの RSA 公開 キー認証の有効化

手順

オンデマンドおよびスケジュール バックアップ

オンデマンド バックアップの実行

はじめる前に

手順

オンデマンド バックアップの設定

バックアップのスケジュール

はじめる前に

手順

スケジュール バックアップの設定

CLI を使用したバックアップ

バックアップ履歴

バックアップの失敗

Cisco ISE 復元操作

データの復元に関するガイドライン

CLI からの設定またはモニタリング（操作）バックアップの復元

デフォルト

GUI からの設定バックアップの復元

はじめる前に

手順

次の作業

モニタリング データベースの復元

スタンドアロン環境でのモニタリング（運用）バックアップの復元

はじめる前に

手順

管理およびモニタリング ペルソナによるモニタリングバックアップの復元

はじめる前に

手順

モニタリング ペルソナによるモニタリング バックアップの復元

はじめる前に

手順

復元履歴

認証および認証ポリシー設定 のエクスポート

手順

ポリシーのエクスポート設定のスケジュール

分散環境でのプライマリノードとセカンダリノードの同期

はじめる前に

手順

ダウンロードオプション

適応型ネットワーク制御

Cisco ISE での適応型ネットワーク制御の有効化

ネットワークアクセスの設定

エンドポイントの消去の設定

隔離済みエンドポイントがポリシー変更の後に認証を更新しない

ANC 操作は IP アドレスまたは MAC アドレスが見つからない場合に失敗する

ソフトウェアパッチインストールのガイドライン

ソフトウェアパッチのインストール

ソフトウェアパッチロールバックのガイドライン

バックアップデータのタイプ

SFTP リポジトリでの RSA 公開キー認証の有効化

オンデマンドおよびスケジュールバックアップ

オンデマンドバックアップの実行

オンデマンドバックアップの設定

スケジュールバックアップの設定

モニタリングデータベースの復元

管理およびモニタリングペルソナによるモニタリングバックアップの復元

モニタリングペルソナによるモニタリングバックアップの復元

認証および認証ポリシー設定のエクスポート

スタンドアロン展開の既存 IP アドレスとホスト名によるノードの復元

スタンドアロン展開の新 IP アドレスとホスト名によるノードの復元

設定のロールバック

Cisco ISE システムログ

Cisco ISE メッセージコード

メッセージコードの重大度レベルの設定

Cisco ISE メッセージカタログ

デバッグログ

ノードのロギングコンポーネントの表示

デバッグログの重大度レベルの設定

エンドポイントのデバッグログコレクタ

特定のエンドポイントのデバッグログのダウンロード

イベント抑制バイパスフィルタ

レポートフィルタ

クイックフィルタ条件の作成

拡張フィルタ条件の作成

使用可能なレポート

RADIUS ライブログ