この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Monitoring REST API では、ネットワークでモニタリング ノードを使用して、セッションおよびノード固有の情報を収集することができます。セッションは、目的のノードにアクセスしてから情報の収集に必要な操作を完了するまでの期間として定義されます。
Monitoring REST API コールを使用すると、ネットワークで、個々のエンドポイントに格納されている重要なリアルタイムのセッション ベースの情報を検索、監視、収集することができます。モニタリング ノードを通じてこの情報にアクセスできます。
収集するリアルタイムのセッション ベースの情報は、Cisco ISE 操作を理解するのに役立ち、状態や問題の診断を支援することができます。また、モニタリング動作に影響を及ぼす可能性のあるエラー条件、またはアクティビティや動作をトラブルシュートするために使用できます。図 1-1 に示すように、Monitoring REST API コールは、モニタリング ノードにアクセスして Cisco ISE 導入のエンドポイントに格納されている重要なセッション ベースの情報を取得する目的で使用されます。
図 1-1 分散展開での Monitoring REST API コール
Monitoring REST API を使用して操作を実行するには、次の管理者グループのいずれかにユーザを割り当て、Cisco ISE の内部データベース(内部管理者ユーザ)に保存されているクレデンシャルに対して認証する必要があります。
次の Monitoring REST API のカテゴリがサポートされています。
Monitoring ペルソナによって監視されているエンドポイントに関する情報を収集するために、これらの API を使用できます。このガイドの残りの部分では、Cisco ISE ノードの Monitoring ペルソナを説明するため、「モニタリング ノード」を使用します。
これらのカテゴリを Cisco ISE アプライアンスの Policy service ペルソナに関する情報の収集に使用しようとすると、エラーが発生します。Cisco ISE ノードおよびペルソナに関する詳細については、『Cisco Identity Services Engine Admin Guide』を参照してください。
API コールをモニタリング ノードで正常に呼び出す前に、監視するノードが有効なノードであることを確認しておく必要があります。
(注) パブリック Monitoring REST API を使用できるようにするには、最初に有効なクレデンシャルを使用して Cisco ISE で認証を受ける必要があります。
ステップ 1 有効なログイン クレデンシャル(ユーザ名とパスワード)を [Cisco ISE ログイン(Cisco ISE Login)] ウィンドウに入力し、[ログイン(Login)] をクリックします。
Cisco ISE ダッシュボードとユーザ インターフェイスが表示されます。
ステップ 2 [許可(Authorization)] > [システム(System)] > [展開(Deployment)] の順に選択します。
展開されたすべての設定済みノードがリストされた [展開ノード(Deployment Nodes)] ページが表示されます。
ステップ 3 [展開ノード(Deployment Nodes)] ページの [ロール(Roles)] カラムで、モニタするターゲット ノードのロールがモニタリング ノードとしてリストされていることを確認します。
次の表で、さまざまな種類の API コールを説明し、API コールの形式の例を示します。
Cisco ISE でサポートされる Monitoring REST API を使用して認証を受けるため、汎用プログラマチック インターフェイスを使用する計画の場合、Cisco ISE と使用するツールを接続する REST ベースのクライアントを最初に作成する必要があります。次に、この REST クライアントを使用して Cisco ISE Monitoring REST API で認証を受け、API 要求を変換してモニタリング ノードに送信します。そして、API 応答を再変換し、指定されたツールに引き渡します。
|
|
---|---|
https://<ISEhost>/admin/API/mnt/Session/ActiveCount (注) アクティブなセッションの数を表示するには、認証クレデンシャルのある HTTP 認証ヘッダーを追加する必要があります。 |
|
https://<ISEhost>/admin/API/mnt/Session/PostureCount (注) ポスチャとは、Cisco ISE ネットワークに接続しているすべてのエンドポイントの状態(またはポスチャ)の確認を支援するサービスです。Cisco ISE は、デバイスのポスチャ コンプライアンスを確認するために NAC Agent を使用します。 |
|
アクティブなプロファイラ サービス セッションの数をリストします。 https://<ISEhost>/admin/API/mnt/Session/ProfilerCount (注) プロファイラとは、Cisco ISE ネットワークにあるすべての接続エンドポイントの機能の識別、検索、確認を支援するサービスです。 |
|
(注) セッション リストには、MAC アドレス、ネットワーク アクセス デバイス(NAD)の IP アドレス、ユーザ名、セッションに関連付けられているセッション ID 情報が含まれます。 |
|
https://<ISEhost>/admin/API/mnt/Session/ActiveList (注) このリリースの Cisco ISE では、表示可能な認証されたエンドポイント セッションの最大数が 250,000 に制限されています。 |
|
https://<ISEhost>/admin/API/mnt/Session/AuthList/<parameteroptions>
(注) すべての Cisco ISE ノードは、タイム ゾーンを使用して設定されます。推奨されるタイム ゾーンは UTC です。 4 つのパラメータ オプションをすべて示すサンプルについては、null/null オプションを使用した AuthList API コールから返されるサンプル データを参照してください。 |
|
指定した MAC アドレスを含む最新のセッションについてデータベースを検索します。 https://<ISEhost>/admin/API/mnt/Session/MACAddress/<macaddress> (注) XX:XX:XX:XX:XX:XX は MAC アドレス形式です。大文字と小文字は区別されません(例:0a: 0B: 0c: 0D: 0e: 0F)。 (注) MAC アドレスは、監視対象の正しいセッションを検索する唯一の一意のキーとして機能します。MAC アドレスの検索のベースとすることが可能なアクティブなすべてのセッションと MAC アドレスをリストするには ActiveList API コールを使用します。 |
|
指定したユーザ名を含む最新のセッションについてデータベースを検索します。 https://<ISEhost>/admin/API/mnt/Session/UserName/<username> (注) ユーザ名は、ネットワーク ユーザ名に使用しているのと同じ Cisco ISE パスワード ポリシーに準拠している必要があります。Monitoring REST API の唯一の無効な文字はバックスラッシュ(\)文字です。詳細については、『Cisco Identity Services Engine User Guide, Release 1.1』の「User Password Policy」を参照してください。 |
|
指定した NAS IP アドレス(IPv4 または IPv6 アドレス)を含む最新のセッションについてデータベースを検索します。 https://<ISEhost>/admin/API/mnt/Session/IPAddress/<nasipaddress> (注) xxx.xxx.xxx.xxx は NAS IP アドレス形式(例:10.10.10.10)です。 https://<ISEhost>/admin/API/mnt/Session/IPAddress/<nasipv6address> (注) xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx は NAS IPv6 アドレス形式です(例:2001:cdba:0:0:0:0:3247:9651)。 |
|
指定した監査セッション ID を含む最新のセッションについてデータベースを検索します。 https://<ISEhost>/admin/API/mnt/Session/Active/SessionID/<audit-session-id>/0 (注) 監査セッション ID の検索のベースとすることが可能なアクティブなすべてのセッションと監査セッション ID をリストするには ActiveList API コールを使用します。または、管理者ポータルの [ライブセッション(Live Sessions)] ページから監査セッション ID を取得できます。 |
セッション管理用の Cisco ISE API コールの詳細については、Chapter 2, “セッション管理クエリー API”を参照してください。
|
|
---|---|
https://<ISEhost>/admin/API/mnt/Version ノードのタイプは、次の値(0 ~ 3)のいずれかです。 (注) STAND_ALONE_MNT_NODE は、分散展開で機能しないモニタリング ノードであることを意味します。 |
|
https://<ISEhost>/admin/API/mnt/FailureReasons 各障害理由は、次の例に示すように、エラーコード(failureReason id)、簡単な説明(code)、障害理由(cause)、および可能な対処(resolution)を表示します。 <failureReason id="100009"> (注) FailureReasons API コールは、モニタリング ノードから情報を収集するために一度だけ呼び出されます。使用しているファイル システムまたはデータベースに、返された障害理由の内容を保存する必要があります。これらの API コールの返信内容はあくまでも参照用に使用することを目的としています。認証中に問題が発生した場合、認証応答で提供される障害理由コードと、ユーザのファイル システムまたはデータベースに保存した障害理由のリストを比較する必要があります。 Cisco ISE 障害理由の完全なリストについては、 付録 A「Cisco ISE 障害理由レポート」 を参照してください。 |
|
https://<ISEhost>/admin/API/mnt/AuthStatus/MACAddress/<macaddress>/<numberofseconds>/<numberofrecordspermacaddress>/All (注) seconds パラメータ <numberofseconds> は、0 秒から 432000 秒(5 日)の範囲でユーザが設定できます。 |
|
特定の期間内のすべてのセッションのアカウンティング ステータスを示します。 https://<ISEhost>/admin/API/mnt/AcctStatusTT/MACAddress/ (注) seconds パラメータ <numberofseconds> は、0 秒から 432000 秒(5 日)の範囲でユーザが設定できます。 |
トラブルシューティング用の Cisco ISE API コールの詳細については、Chapter 2, “セッション管理クエリー API”を参照してください。
Cisco ISE 認可変更 API コールに関する詳細については、Chapter 4, “認可変更 REST API”を参照してください。
表 1-2 の AuthStatus API コールと同様に、クライアントがアカウント ステータスを取得できるようにする API コールの HTTP PUT バージョンがあります。Monitoring REST API は、HTTP GET コールについて記述したこのマニュアルの例で示すように、HTTP PUT と HTTP GET の両方のコールをサポートします。HTTP PUT は、パラメータの入力が必要なコールの必要性に対処します。次のスキーマ ファイルの例は、アカウント ステータスの要求です。