Cisco ISE のモニターリングとトラブルシューティング サービス
モニターリングおよびトラブルシューティング(MnT)サービスは、すべての Cisco ISE 実行時サービスを対象とした包括的なアイデンティティ ソリューションです。[操作(Operations)] メニューには次のコンポーネントが表示されます。このメニューはポリシー管理ノード(PAN)からのみ表示できます。[操作(Operations)] メニューはプライマリ モニターリング ノードに表示されないことに注意してください。
-
モニターリング:ネットワーク上のアクセス アクティビティの状態を表す意味のあるデータをリアルタイムに表示します。これを把握することにより、操作の状態を簡単に解釈し、監視できます。
-
トラブルシューティング:ネットワーク上のアクセスの問題を解決するための状況に応じたガイダンスを提供します。また、ユーザーの懸念に対応してタイムリーに解決策を提供できます。
-
レポート:トレンドを分析し、システムパフォーマンスおよびネットワークアクティビティをモニターするために使用できる、標準レポートのカタログを提供します。レポートをさまざまな方法でカスタマイズし、今後使用するために保存できます。[ID(Identity)]、[エンドポイントID(Endpoint ID)]、および [ISE ノード(ISE Node)](正常性の概要レポートは除く)のすべてのレポートで、ワイルド カードおよび複数値を使用してレコードを検索できます。
トラブルシューティングに関するテクニカル ノートのリストについては、「ISE Troubleshooting TechNotes」を参照してください。 |
Cisco ISE での TAC サポートケースのオープン
Cisco ISE の TAC サポートケースを開いて、Cisco ISE の展開の問題、および Webex、ソフトウェアライセンスなどの他のシスコ製品やサービスに関する問題のサポートを要求できるようになりました。Cisco ISE ポータルの TAC サポートケース機能を使用すると、問題が発生した特定のノードのサポートケースを簡単に作成できます。提示されるフォームで提供する情報とともに、ノードのシリアル番号や使用中の Cisco ISE バージョンなどの情報も Cisco TAC に送信されます。他のシスコ製品の TAC ケースをオープンする場合は、Cisco TAC による迅速なケース解決を可能にするために、関連カテゴリを選択し、SO、シリアル番号、契約番号などの追加情報を提供できます。
[TAC サポートケース(TAC Support Cases)] ウィンドウでは、[アクション(Actions)] 列の星印をクリックして、ケースをお気に入りに追加することもできます。お気に入りのケースが [お気に入り(Favourites)] タブに表示されます。ケースをフィルタ処理するには、[未解決のケース(Open Cases)]、[ドラフトケース(Draft Cases)]、[閉じたケース(Closed Cases)]、[作成済みのケース(Created Cases)]、[更新済みのケース(Updated Cases)] の各チェックボックスをオンにし、それぞれの作成時刻を選択します。[詳細フィルタ(Advanced Filters)] 領域で、[ステータス(Status)] および [重大度(Severity)] でケースをフィルタ処理することもできます。
(注) |
|
手順
ステップ 1 |
Cisco ISE ポータルのホームページで、右上隅にある疑問符アイコンをクリックします。 |
||||
ステップ 2 |
表示される [インタラクティブヘルプ(Interactive Help)] メニューの [リソース(Resources)] ドロップダウンリストから [TAC サポートケース(TAC Support Cases)] を選択します。
|
||||
ステップ 3 |
[SSO 認証(SSO Authentication)] ウィンドウで、cisco.com ログイン情報を使用してログインします。機能へのアクセスに失敗したことを示すエラーメッセージが表示された場合は、シスコカスタマーサポートに問い合わせて、Cisco ISE の契約条件を確認してください。ログインすると、[TAC サポートケース(TAC Support Cases)] ウィンドウが表示されます。シスコアカウントに関連付けられているすべてのケースがこのウィンドウに表示されます。 |
||||
ステップ 4 |
[ケースをオープン(Open A Case)] をクリックします。 |
||||
ステップ 5 |
[新しいケースをオープン(Open New Case)] ダイアログボックスが表示されます。[Cisco ISE ケース(Cisco ISE Case)] オプションボタンをクリックして Cisco ISE 展開のケースを作成するか、[その他のケース(Other Case)] オプションボタンをクリックして、他のシスコ製品およびサービスの TAC ケースを開きます。
|
ヘルス チェック
Cisco ISE には、Cisco ISE 展開内のすべてのノードを診断するオンデマンドのヘルスチェックオプションがあります。運用前にすべてのノードのヘルスチェックを実行すると、ダウンタイムを短縮でき、重大な問題(ある場合)を特定することで Cisco ISE システムの機能全体を向上できます。ヘルスチェックでは、コンポーネントの動作ステータスが示され、展開内の問題(ある場合)に関するトラブルシューティングの推奨事項が表示されます。
展開タイプ |
説明 |
---|---|
プラットフォーム サポート チェック |
展開でサポートされているプラットフォームを確認します。推奨要件の仕様を満たしていないプラットフォームでは、パフォーマンスの問題が生じる可能性があります。 34xx およびその他のサポートされていないプラットフォームの詳細を確認し、システムに最低でも 12 コアの CPU、300 GB のハードディスク、16 GB のメモリが搭載されていることを確認します。 |
展開の検証 |
展開のノードの状態(同期しているか進行中か)を確認します |
DNS の解決可能性 |
ホスト名と IP アドレスの正引きと逆引きを確認します。 展開のヘルスチェックが適切に機能するためには、DNS 解決を正引きと逆引きの両方で行うことを推奨します。 |
信頼ストア証明書の検証 |
信頼ストア証明書が有効か、期限切れかを確認します。 最適な Cisco ISE 機能を確保するために、未使用または期限切れの証明書を削除または更新します。 |
システム証明書の検証 |
各ノードのシステム証明書の検証を確認します。 最適な Cisco ISE 機能を確保するために、未使用または期限切れの証明書を削除または更新します。 |
ディスク容量チェック |
プラットフォーム サポート チェックにあるハードディスクと、アップグレード手順のために使用可能なディスクの空き容量をチェックします。 パフォーマンスの問題を回避するために、アップグレード操作を開始する前にディスク容量チェックを実行することをお勧めします。 |
NTP の到達可能性と時刻源の確認 |
システムで設定されている NTP をチェックし、時刻源が NTP サーバーかどうかを確認します。 NTP 同期は、AD 操作、アップグレードワークフローなどの Cisco ISE サービスに不可欠です。 |
負荷平均チェック |
指定した間隔でシステムの負荷をチェックします。有効な間隔の設定は、1、5、および 15 分です。 負荷平均チェックの失敗は、Cisco ISE のパフォーマンスの問題につながる可能性があります。 |
MDM の検証 |
設定された MDM サーバーと Cisco ISE PSN サーバー間の接続を確認します。 MDM でサポートされる機能を Cisco ISE で使用するには、MDM 検証チェックが成功する必要があります。 |
ライセンスの検証 |
スマートライセンスが設定されていて、有効であるかを確認します。スマートライセンスが設定されていないか有効でない場合、ライセンスを設定して検証するように求める警告が Cisco ISE GUI に表示されます。 Cisco ISE リリース 3.0 以降のリリースでは、スマートライセンスのみがサポートされます。Cisco ISE リリース 3.0 以降のリリースにアップグレードする前に、従来のライセンスをスマートライセンスに変換します。 |
サービスまたはプロセスの失敗 |
サービスまたはアプリケーションのステータスが実行中か、障害状態かを確認します。 |
I/O 帯域幅のパフォーマンスチェック |
Cisco ISE のパフォーマンスの問題を回避するために、ディスクの読み取りおよび書き込み速度をチェックします。 |
(注) |
展開の横にある数字は、ノードの数とそのヘルスチェックの詳細を示します。例:展開に 0/2 がある場合、0 は失敗/進行中/完了状態のノードの数を示し、2 は展開内のノードの数を示します。 |
(注) |
ヘルスチェック中に、いずれかのノードが 15 分間応答を返さない場合、そのノードのヘルスチェックはタイムアウトになります。 |
ヘルスチェックの実行
手順
ステップ 1 |
Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして、 を選択します。 |
|||||||||||||||
ステップ 2 |
[ヘルスチェックの開始(Start health checks)] をクリックします。 情報ポップアップウィンドウに次のメッセージが表示されます。 ヘルスチェックがトリガーされました(Health Checks triggered)。 |
|||||||||||||||
ステップ 3 |
[Ok] をクリックすると、ステータスが表示されます。 |
|||||||||||||||
ステップ 4 |
[ヘルスチェック(Health Checks)] ウィンドウで、各コンポーネントのヘルス ステータスを表示できます。次の色は、対応する Cisco ISE コンポーネントのヘルスステータスを示します。
|
|||||||||||||||
ステップ 5 |
[レポートのダウンロード(Download report)] をクリックします。 HealthChecksReport.json ファイルは、Cisco ISE 展開の詳細なヘルス ステータス情報とともにローカルシステムに保存されます。 ヘルス チェックがトリガーされると、ステータスは [ヘルスチェック(Health Check)] ウィンドウに 3 時間保持されます。[ヘルスチェック(Health Checks)] ウィンドウが更新されるか期限切れになるまで、ヘルスチェックを実行できません。 |
Network Privilege Framework のイベントフロープロセス
Network Privilege Framework(NPF)認証および許可イベント フローでは、次の表に記載されているプロセスが使用されます。
プロセス ステージ |
説明 |
---|---|
1 |
ネットワーク アクセス デバイス(NAD)によって通常の許可またはフレックス許可のいずれかが実行されます。 |
2 |
未知のエージェントレス ID が Web 許可を使用してプロファイリングされます。 |
3 |
RADIUS サーバーによって ID が認証および許可されます。 |
4 |
許可がポートでアイデンティティに対してプロビジョニングされます。 |
5 |
許可されないエンドポイント トラフィックはドロップされます。 |
モニターリングおよびトラブルシューティング機能のユーザー ロールと権限
モニターリングおよびトラブルシューティング機能は、デフォルトのユーザー ロールに関連付けられます。実行を許可されるタスクは、割り当てられているユーザー ロールに直接関係します。
各ユーザーロールに設定されている権限と制約事項については、Cisco ISE 管理者グループを参照してください。
(注) |
Cisco TAC の指示がないルートシェルを使用した Cisco ISE へのアクセスはサポート対象外のため、その結果として生じる可能性があるサービスの中断については、シスコは責任を負いません。 |
モニターリングデータベースに格納されているデータ
Cisco ISE モニターリング サービスでは、データが収集され、特化したモニターリング データベースに格納されます。ネットワーク機能のモニターリングに使用されるデータのレートおよび量によっては、モニターリング専用のノードが必要な場合があります。Cisco ISE ネットワークによって、ポリシーサービスノードまたはネットワークデバイスからロギングデータが高いレートで収集される場合は、モニターリング専用の Cisco ISE ノードを推奨します。
モニターリングデータベースに格納される情報を管理するには、データベースの完全バックアップおよび差分バックアップを実行します。これには、不要なデータの消去とデータベースの復元が含まれます。