トラブルシュート

Cisco ISE のモニターリングとトラブルシューティング サービス

モニタリングおよびトラブルシューティング(MnT)サービスは、すべての Cisco ISE 実行時サービスを対象とした包括的なアイデンティティ ソリューションです。[操作(Operations)] メニューには次のコンポーネントが表示されます。このメニューはポリシー管理ノード(PAN)からのみ表示できます。[操作(Operations)] メニューはプライマリ モニタリング ノードに表示されないことに注意してください。

  • モニタリング:ネットワーク上のアクセス アクティビティの状態を表す意味のあるデータをリアルタイムに表示します。これを把握することにより、操作の状態を簡単に解釈し、監視できます。

  • トラブルシューティング:ネットワーク上のアクセスの問題を解決するための状況に応じたガイダンスを提供します。また、ユーザーの懸念に対応してタイムリーに解決策を提供できます。

  • レポート:トレンドを分析し、システムパフォーマンスおよびネットワークアクティビティをモニターするために使用できる、標準レポートのカタログを提供します。レポートをさまざまな方法でカスタマイズし、今後使用するために保存できます。[ID(Identity)]、[エンドポイントID(Endpoint ID)]、および [ISE ノード(ISE Node)](正常性の概要レポートは除く)のすべてのレポートで、ワイルド カードおよび複数値を使用してレコードを検索できます。

ISE コミュニティ リソース

トラブルシューティングに関するテクニカル ノートのリストについては、「ISE Troubleshooting TechNotes」を参照してください。

Cisco ISE での TAC サポートケースのオープン

Cisco ISE の TAC サポートケースを開いて、Cisco ISE の展開の問題、および Webex、ソフトウェアライセンスなどの他のシスコ製品やサービスに関する問題のサポートを要求できるようになりました。Cisco ISE ポータルの TAC サポートケース機能を使用すると、問題が発生した特定のノードのサポートケースを簡単に作成できます。提示されるフォームで提供する情報とともに、ノードのシリアル番号や使用中の Cisco ISE バージョンなどの情報も Cisco TAC に送信されます。他のシスコ製品の TAC ケースをオープンする場合は、Cisco TAC による迅速なケース解決を可能にするために、関連カテゴリを選択し、SO、シリアル番号、契約番号などの追加情報を提供できます。

[TAC サポートケース(TAC Support Cases)] ウィンドウでは、[アクション(Actions)] 列の星印をクリックして、ケースをお気に入りに追加することもできます。お気に入りのケースが [お気に入り(Favourites)] タブに表示されます。ケースをフィルタ処理するには、[未解決のケース(Open Cases)]、[ドラフトケース(Draft Cases)]、[閉じたケース(Closed Cases)]、[作成済みのケース(Created Cases)]、[更新済みのケース(Updated Cases)] の各チェックボックスをオンにし、それぞれの作成時刻を選択します。[詳細フィルタ(Advanced Filters)] 領域で、[ステータス(Status)] および [重大度(Severity)] でケースをフィルタ処理することもできます。


(注)  

  • Cisco ISE リリース 3.1、パッチ 2 以降では、Cisco ISE ポータルで TAC サポートケースを開いて Cisco ISE やその他のシスコ製品とサービス、Webex、およびソフトウェアライセンス製品のサポートを要求できます。

  • TAC サポートケースの作成を無効にするには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [TAC サポートケースの有効化(Enable TAC Support Cases)] を選択し、チェックボックスをオフにします。

  • Cisco ISE がエアギャップ環境に展開されている場合、Support Case Manager(SCM)機能は機能しないため、エアギャップ環境で Cisco ISE を展開する場合は、SCM 機能を無効にすることを推奨します。

  • Support Case Manager(SCM)インターフェイスに変更が加えられるたびに、同じ変更が Cisco ISE GUI に反映されるため、ここで説明する手順では、Cisco ISE GUI の一部のフィールドについてのみ説明します。

手順

ステップ 1

Cisco ISE ポータルのホームページで、右上隅にある疑問符アイコンをクリックします。

ステップ 2

表示される [インタラクティブヘルプ(Interactive Help)] メニューの [リソース(Resources)] ドロップダウンリストから [TAC サポートケース(TAC Support Cases)] を選択します。

(注)  

 

[インタラクティブヘルプ(Interactive Help)] は、Cisco ISE 管理者が無効にできます。無効にすると、[TAC サポートケース(TAC Support Cases)] が右上隅の疑問符アイコンの下に最後のオプションとして表示されます。

ステップ 3

[SSO 認証(SSO Authentication)] ウィンドウで、cisco.com ログイン情報を使用してログインします。機能へのアクセスに失敗したことを示すエラーメッセージが表示された場合は、シスコカスタマーサポートに問い合わせて、Cisco ISE の契約条件を確認してください。ログインすると、[TAC サポートケース(TAC Support Cases)] ウィンドウが表示されます。シスコアカウントに関連付けられているすべてのケースがこのウィンドウに表示されます。

ステップ 4

[ケースをオープン(Open A Case)] をクリックします。

ステップ 5

[新しいケースをオープン(Open New Case)] ダイアログボックスが表示されます。[Cisco ISE ケース(Cisco ISE Case)] オプションボタンをクリックして Cisco ISE 展開のケースを作成するか、[その他のケース(Other Case)] オプションボタンをクリックして、他のシスコ製品およびサービスの TAC ケースを開きます。

  • Cisco ISE の問題の TAC ケースをオープンするために [Cisco ISE ケース(Cisco ISE Case)] オプションボタンをクリックした場合は、次のタスクを実行します。

  1. [ノードリスト(Nodes List)] ドロップダウンリストから、ケースをオープンする最大 4 つのノードを選択します。デフォルトでは、プライマリ PAN および MnT ノードが選択されています。

  2. [次へ(Next)] をクリックします。

  3. 表示される [権限の確認(Check Entitlement)] ウィンドウで、適切なオプションボタンをクリックして要求タイプを選択します。

    • [診断と修正(Diagnose and Fix)]:ケースを作成して、Cisco ISE の展開の問題を診断して修正します。

    • [RMA]:ケースを作成して、返品許可(RMA)要求を開始します。

    • [質問をする(Ask a Question)]:ケースを作成して、Cisco ISE の展開について Cisco Technical Assistance Center(TAC)の担当者に質問します。

  4. 製品の詳細を確認するには、Cisco ISE デバイスの [シリアル番号(Serial Number)] を使用するか、[サービス契約(Service Agreement)] を選択します。

  5. 製品の詳細を見つけたら、[次へ(Next)] をクリックします。

  6. [問題の説明(Problem Description)] ウィンドウに必要な詳細を入力します。デフォルトでは、重大度レベル 3 がケースに割り当てられます。

  7. 連絡先情報と希望する通信モードを入力します。ケース情報を確認し、[送信(Submit)] をクリックしてケースを送信します。

  • Cisco ISE 以外のシスコ製品の TAC ケースをオープンするために [その他のケース(Other Case)] オプションボタンをクリックした場合は、次のタスクを実行します。

(注)  

 

Cisco ISE を介して他のシスコ製品やサービスのケースをオープンするには、Support Case Manager(SCM)で TAC サポートケースをオープンする手順を使用することを推奨します。

  1. [その他のケース(Other Case)] オプションボタンをクリックして、Cisco ISE 展開に関連しない問題のケースを作成します。他のシスコ製品およびサービスの情報を含むダイアログボックスが表示されます。

  2. ケースを作成する製品またはサービスをクリックし、対応するオプションをクリックして問題のカテゴリを選択します。

  3. [ケースをオープン(Open Case)] をクリックします。Support Case Manager(SCM)の [問題の説明(Problem Description)] ウィンドウが表示されます。

  4. [タイトル(Title)] フィールドと [説明(Description)] フィールドに問題の詳細を入力します。

  5. 該当するフィールドに連絡先情報を入力します。

  6. ケース情報を確認し、[送信(Submit)] をクリックしてケースを送信します。

    Cisco TAC は問題の詳細を受信すると、問題をさらに調査してトラブルシューティングするためにお客様に連絡します。

    (注)  

     

    重大度の高いケース(1 および 2)をオープンする場合は、Cisco TAC に連絡することを推奨します。

    [TAC サポートケース(TAC Support Cases)] ウィンドウの [サポートケース設定(Support Cases Preferences)] アイコンをクリックし、必要なフィールドを更新して、連絡先設定を保存することで、ケースを開いた後に連絡先情報を更新または変更できます。

    [Microsoft Excel としてエクスポート(Export as Microsoft Excel)] オプションをクリックして、ケースのリストを Microsoft Excel ファイルとしてダウンロードすることもできます。

    ケースの横にある [ボットに尋ねる(Ask the bot)] オプションをクリックして、特定のケースについてシスコのボットから支援を受けます。概要リンクをクリックすると、ケースの概要を表示できます。表示される [ケースの概要(Case Summary)] ウィンドウの [概要(Summary)] タブに、ケースの概要が表示されます。一部のフィールドは、ケースに関する情報を更新するために編集できます。[メモ(Notes)] タブでは、このケースの TAC からの更新を含むメモのリストを表示できます。

    [メモの追加(Add Notes)] をクリックして独自のメモをケースに追加し、[ファイルの追加(Add Files)] をクリックして、ケースをサポートするデバッグログやサポートバンドルなどのファイルをアップロードします。[PDF として保存(Save as PDF)] を使用して、ケースの概要を PDF ファイルとしてダウンロードします。

ヘルス チェック

Cisco ISE には、Cisco ISE 展開内のすべてのノードを診断するオンデマンドのヘルスチェックオプションがあります。運用前にすべてのノードのヘルスチェックを実行すると、ダウンタイムを短縮でき、重大な問題(ある場合)を特定することで Cisco ISE システムの機能全体を向上できます。ヘルスチェックでは、コンポーネントの動作ステータスが示され、展開内の問題(ある場合)に関するトラブルシューティングの推奨事項が表示されます。

表 1. ヘルスチェックの展開

展開タイプ

説明

プラットフォーム サポート チェック

展開でサポートされているプラットフォームを確認します。推奨要件の仕様を満たしていないプラットフォームでは、パフォーマンスの問題が生じる可能性があります。

34xx およびその他のサポートされていないプラットフォームの詳細を確認し、システムに最低でも 12 コアの CPU、300 GB のハードディスク、16 GB のメモリが搭載されていることを確認します。

展開の検証

展開のノードの状態(同期しているか進行中か)を確認します

DNS の解決可能性

ホスト名と IP アドレスの正引きと逆引きを確認します。

展開のヘルスチェックが適切に機能するためには、DNS 解決を正引きと逆引きの両方で行うことを推奨します。

信頼ストア証明書の検証

信頼ストア証明書が有効か、期限切れかを確認します。

最適な Cisco ISE 機能を確保するために、未使用または期限切れの証明書を削除または更新します。

システム証明書の検証

各ノードのシステム証明書の検証を確認します。

最適な Cisco ISE 機能を確保するために、未使用または期限切れの証明書を削除または更新します。

ディスク容量チェック

プラットフォーム サポート チェックにあるハードディスクと、アップグレード手順のために使用可能なディスクの空き容量をチェックします。

パフォーマンスの問題を回避するために、アップグレード操作を開始する前にディスク容量チェックを実行することをお勧めします。

NTP の到達可能性と時刻源の確認

システムで設定されている NTP をチェックし、時刻源が NTP サーバーかどうかを確認します。

NTP 同期は、AD 操作、アップグレードワークフローなどの Cisco ISE サービスに不可欠です。

負荷平均チェック

指定した間隔でシステムの負荷をチェックします。有効な間隔の設定は、1、5、および 15 分です。

負荷平均チェックの失敗は、Cisco ISE のパフォーマンスの問題につながる可能性があります。

MDM の検証

設定された MDM サーバーと Cisco ISE PSN サーバー間の接続を確認します。

MDM でサポートされる機能を Cisco ISE で使用するには、MDM 検証チェックが成功する必要があります。

ライセンスの検証

スマートライセンスが設定されていて、有効であるかを確認します。スマートライセンスが設定されていないか有効でない場合、ライセンスを設定して検証するように求める警告が Cisco ISE GUI に表示されます。

Cisco ISE リリース 3.0 以降のリリースでは、スマートライセンスのみがサポートされます。Cisco ISE リリース 3.0 以降のリリースにアップグレードする前に、従来のライセンスをスマートライセンスに変換します。

サービスまたはプロセスの失敗

サービスまたはアプリケーションのステータスが実行中か、障害状態かを確認します。

I/O 帯域幅のパフォーマンスチェック

Cisco ISE のパフォーマンスの問題を回避するために、ディスクの読み取りおよび書き込み速度をチェックします。

(注)  

展開の横にある数字は、ノードの数とそのヘルスチェックの詳細を示します。例:展開に 0/2 がある場合、0 は失敗/進行中/完了状態のノードの数を示し、2 は展開内のノードの数を示します。ヘルスチェック中に、いずれかのノードが 15 分間応答を返さない場合、そのノードのヘルスチェックはタイムアウトになります。

ヘルスチェックの実行

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [ヘルスチェック(Health Checks)] を選択します。

ステップ 2

[正常性チェックの開始(Start health checks)] をクリックします。

情報ポップアップウィンドウに次のメッセージが表示されます。

正常性チェックがトリガーされました(Health Checks triggered)。

ステップ 3

[Ok] をクリックすると、ステータスが表示されます。

ステップ 4

[正常性チェック(Health Checks)] ウィンドウで、各コンポーネントの正常性ステータスを表示できます。次の色は、対応する Cisco ISE コンポーネントのヘルスステータスを示します。

ヘルス ステータス

操作

不良

トラブルシューティングの推奨事項を表示するには、ドロップダウンオプションをクリックします。

アップグレードワークフローなどの操作は、これらの問題が解決されるまで続行できないため、問題を解決することをお勧めします。

良好

ボックスで使用可能なトラブルシューティングの推奨事項を表示するには、ドロップダウンオプションをクリックします。

コンポーネントのヘルスステータスは操作の実行に適しているため、アップグレードワークフローを続行できますが、これらの問題も Cisco ISE の機能に影響する可能性があるため、続行する前にオレンジ色で示されている問題を解決することを推奨します。

グリーン

良好

特に対処の必要はありません。

良好

機能に関する重要な情報を表示するには、情報アイコンをクリックします。

ステップ 5

[レポートのダウンロード(Download report)] をクリックします。

HealthChecksReport.json ファイルは、Cisco ISE 展開の詳細な正常性ステータス情報とともにローカルシステムに保存されます。

正常性チェックがトリガーされると、ステータスは [正常性チェック(Health Check)] ウィンドウに 3 時間保持されます。[ヘルスチェック(Health Checks)] ウィンドウが更新されるか期限切れになるまで、ヘルスチェックを実行できません。

Network Privilege Framework のイベントフロープロセス

Network Privilege Framework(NPF)認証および許可イベント フローでは、次の表に記載されているプロセスが使用されます。

プロセス ステージ

説明

1

ネットワーク アクセス デバイス(NAD)によって通常の許可またはフレックス許可のいずれかが実行されます。

2

未知のエージェントレス ID が Web 許可を使用してプロファイリングされます。

3

RADIUS サーバーによって ID が認証および許可されます。

4

許可がポートでアイデンティティに対してプロビジョニングされます。

5

許可されないエンドポイント トラフィックはドロップされます。

モニターリングおよびトラブルシューティング機能のユーザー ロールと権限

モニタリングおよびトラブルシューティング機能は、デフォルトのユーザー ロールに関連付けられます。実行を許可されるタスクは、割り当てられているユーザー ロールに直接関係します。

各ユーザーロールに設定されている権限と制約事項については、Cisco ISE 管理者グループを参照してください。


(注)  

Cisco TAC の指示がないルートシェルを使用した Cisco ISE へのアクセスはサポート対象外のため、その結果として生じる可能性があるサービスの中断については、シスコは責任を負いません。

モニターリングデータベースに格納されているデータ

Cisco ISE モニタリング サービスでは、データが収集され、特化したモニタリング データベースに格納されます。ネットワーク機能のモニタリングに使用されるデータのレートおよび量によっては、モニタリング専用のノードが必要な場合があります。Cisco ISE ネットワークによって、ポリシーサービスノードまたはネットワークデバイスからロギングデータが高いレートで収集される場合は、モニタリング専用の Cisco ISE ノードを推奨します。

モニタリングデータベースに格納される情報を管理するには、データベースの完全バックアップおよび差分バックアップを実行します。これには、不要なデータの消去とデータベースの復元が含まれます。

Cisco ISE テレメトリ

テレメトリは、ネットワーク内のシステムとデバイスを監視し、ユーザーの製品使用方法に関する情報をシスコにフィードバックします。シスコでは、この情報を使用して製品を改善します。

Cisco ISE テレメトリデータ通信は、https://connectdna.cisco.com/ のポート 443 を介した HTTPS トラフィックとして行われます。

テレメトリはデフォルトで有効になっています。この機能を無効にするには、次の手順に従ってください。

  1. Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [Network Success Diagnostics] > [テレメトリ(Telemetry)] を選択します。

  2. [テレメトリの有効化(Enable Telemetry)] チェックボックスをオフにし、テレメトリを無効にします。

  • [シスコアカウント(Cisco Account)]:テレメトリからの電子メールを受信できるようにシスコアカウントのログイン情報を入力します。この ID は、Cisco ISE 展開に影響する可能性がある重大な問題がテレメトリによって発見された場合の連絡にも使用されることがあります。

  • [トランスポートゲートウェイ(Transport Gateway)]:セキュリティを強化するために、Cisco ISE とシスコの外部テレメトリサーバーの間でプロキシを使用できます。そうする場合は、このチェックボックスをオンにして、プロキシサーバーの FQDN を入力します。テレメトリにプロキシは必要ありません。

    シスコでは、トランスポートゲートウェイ用のソフトウェアを提供しており、cisco.com からダウンロードできます。このソフトウェアは、Linux サーバー上で実行されます。RHEL サーバーでのトランスポート ゲートウェイ ソフトウェアの導入方法については、Smart Call Home 導入ガイド [英語] を参照してください。このシスコソフトウェアを使用している場合、URL の値は、<FQDN of proxyserver>/Transportgateway/services/DeviceRequestHandler です。

    このゲートウェイを使用して、スマート ライセンス サーバーに接続することもできます。トランスポートゲートウェイのバージョン 3.5 以降では、ポートは変更できませんが、FQDN の代わりに IP アドレスを入力できます。

テレメトリが収集する情報

テレメトリは、シスコに次の情報を送信します。

ノード

各ポリシー管理ノード(PAN)については、次のとおりです。

  • ポスチャされたエンドポイントの現在の数

  • PxGrid クライアントの現在の数

  • MDM によって管理されるエンドポイントの現在の数

  • 現在のゲストユーザーの数

  • このテレメトリレコードの開始日と終了日

  • FIPS ステータス

各ポリシーサービスノード(PSN)については、次のとおりです。

  • プロファイラプローブの数

  • ノードサービスタイプ

  • 使用されているパッシブ ID

すべてのノードについては、次のとおりです。

  • NAD の総数とアクティブな NAD の数

  • CPU コア数

  • VM 利用可能なディスク容量

  • VM メモリと CPU の設定

  • システム名。

  • Serial number

  • VID と PID

  • アップタイム(Uptime)

  • 最後の CLI ログイン

MnT ノード数

pxGrid ノード数

ライセンス

  • ライセンスの有効期限が切れていますか?

  • 使用可能な Cisco ISE Essentials ライセンスの数、これまでに使用された最大数

  • 使用可能な Cisco ISE Advantage ライセンスの数、これまでに使用された最大数

  • 使用可能な Cisco ISE Premier ライセンスの数、これまでに使用された最大数

  • 評価ライセンスを使用していますか?

  • スマートアカウントの名前

  • TACACS デバイスの数

  • 有効期限、残りの日数、ライセンス期間

  • サービスタイプ、プライマリ UDI とセカンダリ UDI

ポスチャ(Posture)

  • 非アクティブなポリシーの数

  • 最後のポスチャフィード更新

  • アクティブなポリシーの数

  • ポスチャフィードの更新

ゲスト ユーザー

  • 当日の認証されたゲストの最大数

  • 当日のアクティブゲストの最大数

  • 当日の BYOD ユーザーの最大数

  • 認証済みゲストの外部 ID 情報

ネットワーク アクセス デバイス(NAD)

  • 認証:アクティブ化された ACL、VLAN、ポリシーサイズ

  • NDG マップと NAD 階層

  • Authentication:

    • RADIUS、RSA ID、LDAP、ODBC、およびアクティブディレクトリ ID ストアの数

    • ローカル(管理者以外の)ユーザーの数

    • NDG マップと NAD マップ

    • ポリシーの行数

認証用のアクティブ VLAN の数、ポリシー数、アクティブ化された ACL の数:

  • ステータス、VID、PT

  • 平均負荷、メモリ使用率

  • PAP、MnT、pxGrid、および PIC ノードの数

  • 名前、プロファイル名、プロファイル ID

NAD プロファイル

各 NAD プロファイルに関する情報:

  • 名前と ID

  • シスコ デバイス

  • TACACS サポート

  • RADIUS サポート

  • TrustSec サポート

  • [デフォルトのプロファイル(Default Profile)]

プロファイラ

  • フィードの最終更新日

  • 自動更新を有効にしますか。

  • プロファイルされたエンドポイント、エンドポイントの種類、不明なエンドポイント、不明なパーセンテージ、および合計エンドポイント数

  • カスタムプロファイルの数

  • シリアル番号、範囲、エンドポイントタイプ、カスタムプロファイル

モバイルデバイス管理(MDM)

  • MDM ノードのリスト

  • 日付範囲内における、現在の MDM エンドポイント数、現在のゲスト ユーザー数、現在のポスチャ済みユーザー数

  • pxGrid クライアント数

  • ノード数

パッチおよびホットパッチ

  • ノード FQDN

  • Cisco ISE バージョン

  • パッチとホットパッチの名前とインストールステータス

Cisco ISE をモニターする SNMP トラップ

SNMP トラップは、Cisco ISE のステータスをモニターできます。Cisco ISE サーバーにアクセスせずに Cisco ISE をモニターする場合は、Cisco ISE の SNMP ホストとして MIB ブラウザを設定できます。その後、MIB ブラウザから Cisco ISE のステータスをモニターすることもできます。

snmp-server host および snmp-server trap コマンドの詳細については、『Cisco Identity Services Engine CLI リファレンス ガイド』を参照してください。

Cisco ISE は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。

CLI から SNMP ホストを設定した場合は、Cisco ISE は次の汎用システム トラップを送信します。

  • Cold start:デバイスをリブートする場合。

  • Linkup:イーサネット インターフェイスがアップしている場合。

  • Linkdown:イーサネット インターフェイスがダウンしている場合。

  • Authentication failure:コミュニティストリングが一致しない場合。

次の表に、Cisco ISE でデフォルトで生成される汎用 SNMP トラップを示します。

OID

説明

トラップの例

.1.3.6.1.4.1.8072.4.0.3 \n

NET SNMP エージェント MIB::nsNotifyRestart

エージェントが再起動されたことを示します。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78       SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyRestart    SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix

.1.3.6.1.4.1.8072.4.0.2 \n

NET SNMP エージェント MIB::nsNotifyShutdown

エージェントがシャットダウン中であることを示します。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyShutdown SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix

.1.3.6.1.6.3.1.1.5.4 \n

IF-MIB::linkUp

エージェントロールで動作している SNMP エンティティで、いずれかの通信リンクの ifOperStatus オブジェクトが、ダウン状態から(notPresent 状態以外の)他の状態に遷移したことが検出されたことを示します。This other state is indicated by the included value of ifOperStatus.

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkUp IF-MIB::ifIndex.12 = INTEGER: 12 IF-MIB::ifAdminStatus.12 = INTEGER: up(1) IF-MIB::ifOperStatus.12 = INTEGER: up(1) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

.1.3.6.1.6.3.1.1.5.3 \n

IF-MIB::linkDown

エージェントロールで動作している SNMP エンティティで、いずれかの通信リンクの ifOperStatus オブジェクトが、(notPresent 状態以外の)他の状態からダウン状態に遷移しようとしていることが検出されたことを示します。This other state is indicated by the included value of ifOperStatus.

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkDown IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifAdminStatus.5 = INTEGER: up(1) IF-MIB::ifOperStatus.5 = INTEGER: down(2) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

.1.3.6.1.6.3.1.1.5.1 \n

SNMPv2-MIB::coldStart

通知発信元アプリケーションをサポートする SNMP エンティティが再初期化され、このエンティティの設定が変更された可能性があることを示します。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8) 0:00:00.08 SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::coldStart SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

Cisco ISE のプロセスモニタリング SNMP トラップ

Cisco ISE では、Cisco ISE CLI から SNMP ホストを設定する場合、Cisco ISE プロセス ステータスの hrSWRunName トラップを SNMP マネージャに送信できます。Cisco ISE は cron ジョブを使用してこれらのトラップをトリガーします。cron ジョブは Cisco ISE プロセスステータスを Monit から取得します。CLI から SNMP-Server Host コマンドを設定した後、5 分ごとに cron ジョブを実行して Cisco ISE をモニターします。


(注)  

管理者が ISE プロセスを手動で停止した場合は、プロセスの Monit が停止しても、SNMP マネージャにトラップは送信されません。プロセスが不意にシャットダウンし、自動的に復活しない場合のみ、プロセス停止 SNMP トラップは SNMP マネージャに送信されます。

次に、Cisco ISE のプロセスモニタリング SNMP トラップのリストを示します。

OID

説明

トラップの例

.1.3.6.1.2.1.25.4.2.1.2 \n

HOST-RESOURCES-MIB::hrSWRunName

A textual description of this running piece of software, including the manufacturer, revision, and the name by which it is commonly known. このソフトウェアがローカルにインストールされている場合は、対応する hrSWInstalledName で使用されているものと同じ文字列である必要があります。検討する必要のあるサービスは、app-server、rsyslog、redis-server、ad-connector、mnt-collector、mnt-processor、ca-server est-server、および elasticsearch です。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (63692139) 7 days, 8:55:21.39 SNMPv2-MIB::snmpTrapOID.0 = OID: HOSTRESOURCES- MIB::hrSWRunName HOSTRESOURCES- MIB::hrSWRunName = STRING: "redis-server:Running"

Cisco ISE は、次のステータスのトラップを設定済みの SNMP サーバーに送信します。

  • Process Start(監視状態)

  • Process Stop(監視されていない状態)

  • Execution Failed:プロセスの状態が「Monitored」から「Execution failed」に変更されるとトラップが送信されます。

  • Does Not Exists:プロセスの状態が「Monitored」から「Does not exists」に変更されるとトラップが送信されます。

SNMP サーバーで、すべてのオブジェクトについて一意のオブジェクト ID(OID)が生成され、値が OID に割り当てられます。SNMP サーバーの OID 値でオブジェクトを検索できます。実行中のトラップの OID 値は running で、監視されないトラップ、存在しないトラップ、実行に失敗したトラップの OID 値は stopped です。

Cisco ISE は、HOST-RESOURCES MIB に属している hrSWRunName の OID を使用してトラップを送信し、< PROCESS NAME > - < PROCESS STATUS > として OID 値を設定します。たとえば、runtime - running として設定します。

Cisco ISE が SNMP トラップを SNMP サーバーに送信するのを停止させるには、Cisco ISE CLI から SNMP 設定を削除します。この操作によって、SNMP トラップの送信と、SNMP マネージャからのポーリングが停止されます。

Cisco ISE のディスク使用状況 SNMP トラップ

Cisco ISE のパーティションのディスク使用率がしきい値に到達し、設定された空きディスク領域の量に達すると、ディスク使用状況トラップが送信されます。

次の表に、Cisco ISE で設定可能なディスク使用状況 SNMP トラップのリストを示します。

OID

説明

トラップの例

.1.3.6.1.4.1.2021.9.1.9 \n

UCD-SNMP-MIB::dskPercent

使用されているディスク容量の割合。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198297) 13 days, 16:19:42.97 SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPercent UCD-SNMP-MIB::dskPercent = INTEGER: 13

.1.3.6.1.4.1.2021.9.1.2 \n

UCD-SNMP-MIB::dskPath

ディスクがマウントされている場所のパス。

dskPath は、ISE 管理コマンド show disks の出力ですべてのマウント ポイントのトラップを送信できます。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198304) 13 days, 16:19:43.04       SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPath  UCD-SNMP-MIB::dskPath = STRING: /opt

Cisco ISE アラーム

アラームは、ネットワークの重大な状態を通知し、[アラーム(Alarms)] ダッシュレットに表示されます。データ消去イベントなど、システム アクティビティの情報も提供されます。システムアクティビティの通知方法を設定したり、システムアクティビティを完全に無効にしたりできます。また、特定のアラームのしきい値を設定できます。

大半のアラームには関連付けられているスケジュールがなく、イベント発生後即時に送信されます。その時点で最新の 15,000 件のアラームのみが保持されます。

イベントが繰り返し発生する場合、同じアラームは約 1 時間抑制されます。イベントが繰り返し発生する間、トリガーによっては、アラームが再び表示されるまでに約 1 時間かかる場合があります。

アラーム名、カテゴリ、シビラティ(重大度)、またはステータスに基づいて、表示するアラームをフィルタリングできます。複数のフィルタを選択した場合、フィルタ結果は加算的になります。これはカスケード フィルタと呼ばれます。これにより、ドリルダウンして特定のデータを見つけることができます。

クイックフィルタを使用すれば、リストページに表示されるフィールド属性の値を入力し、ページをリフレッシュすることで、フィルタ基準に一致するレコードのみを一覧表示できます。

拡張フィルタを使用すれば、アラーム名に TrustSec を含むなど、指定した条件に基づいて情報をフィルタリングできます。複数の条件を指定できます。

自分だけがアクセスできるユーザー固有のカスタムフィルタを作成して保存できます。

[すべてのフィルタをクリア(Clear All Filters)] をクリックして、すべての適用されたフィルタを削除します。

次の表に、すべての Cisco ISE アラームおよびその説明と解決方法を示します。

表 2. Cisco ISE アラーム

アラーム名

アラームの説明

アラームの解決方法

管理および操作の監査の管理

展開のアップグレードの失敗(Deployment Upgrade Failure)

ISE ノードでアップグレードに失敗しました。

アップグレードが失敗した原因と修正処置について、失敗したノードの ADE.log を確認します。

アップグレード バンドルのダウンロードの失敗(Upgrade Bundle Download failure)

アップグレード バンドルのダウンロードが ISE ノードで失敗しました。

アップグレードが失敗した原因と修正処置について、失敗したノードの ADE.log を確認します。

SXP 接続障害(SXP Connection Failure)

SXP 接続に失敗しました。

SXP サービスが実行していることを確認します。ピアに互換性があることを確認します。

シスコ プロファイルの全デバイスへの適用(Cisco profile applied to all devices)

ネットワーク デバイス プロファイルによって、MAB、Dot1X、CoA、Web リダイレクトなどのネットワーク アクセス デバイスの機能が定義されます。

シスコ以外のネットワーク デバイスの設定を必要に応じて編集し、適切なプロファイルを割り当てます。

CRL で失効した証明書が見つかったことによるセキュア LDAP 接続の再接続(Secure LDAP connection reconnect due to CRL found revoked certificate)

CRL チェックの結果、LDAP 接続で使用された証明書が失効していることが検出されました。

CRL 設定が有効であることを確認します。LDAP サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して LDAP サーバーにインストールします。

OCSP で失効した証明書が見つかったことによるセキュア LDAP 接続の再接続(Secure LDAP connection reconnect due to OCSP found revoked certificate)

OCSP チェックの結果、LDAP 接続で使用された証明書が失効していることが検出されました。

OCSP 設定が有効であることを確認します。LDAP サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して LDAP サーバーにインストールします。

CRL で失効した証明書が見つかったことによるセキュア syslog 接続の再接続(Secure syslog connection reconnect due to CRL found revoked certificate)

CRL チェックの結果、syslog 接続で使用された証明書が失効していることが検出されました。

CRL 設定が有効であることを確認します。syslog サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して syslog サーバーにインストールします。

OCSP で失効した証明書が見つかったことによるセキュアな syslog 接続の再接続(Secure syslog connection reconnect due to OCSP found revoked certificate)

OCSP チェックの結果、syslog 接続で使用された証明書が失効していることが検出されました。

OCSP 設定が有効であることを確認します。syslog サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して syslog サーバーにインストールします。

管理者アカウントがロック/無効(Administrator account Locked/Disabled)

パスワードの失効または不正なログイン試行のために、管理者アカウントがロックされているか、または無効になっています。詳細については、管理者パスワード ポリシーを参照してください。

管理者パスワードは、GUI または CLI を使用して、他の管理者によってリセットできます。

ERS が非推奨の URL を検出(ERS identified deprecated URL)

ERS が廃止 URL を検出しました。

要求された URL は廃止されているため、使用しないでください。

ERS が古い URL を検出しました。

ERS が古い URL を検出しました。

要求された URL は古いため、新しい URL を使用してください。古い URL は今後のリリースで削除されません。

ERS 要求 Content-Type ヘッダーが古い(ERS request content-type header is outdated)

ERS 要求 Content-Type ヘッダーが最新ではありません。

要求 Content-Type ヘッダーで指定された要求のリソース バージョンが最新ではありません。これはリソーススキーマが変更されたことを意味します。いくつかの属性が追加または削除された可能性があります。古いスキーマをこのまま処理するために、ERS エンジンでデフォルト値が使用されます。

ERS XML 入力が XSS またはインジェクション攻撃の原因です(ERS XML input is a suspect for XSS or Injection attack)

ERS XML 入力が XSS またはインジェクション攻撃の原因になっています。

XML 入力を確認してください。

バックアップに失敗(Backup Failed)

ISE バックアップ操作に失敗しました。

Cisco ISE とリポジトリ間のネットワーク接続を確認します。次の点を確認します。

  • リポジトリに使用しているログイン情報が正しいこと。

  • リポジトリに十分なディスク領域があること。

  • リポジトリ ユーザーが書き込み特権を持っていること。

CA サーバーがダウン(CA Server is down)

CA サーバーがダウンしています。

CA サービスが CA サーバーで稼働中であることを確認します。

CA サーバーが稼働中(CA Server is Up)

CA サーバーは稼働中です。

CA サーバーが稼働中であることを知らせる通知が管理者に送信されます。

証明書の有効期限(Certificate Expiration)

この証明書はまもなく有効期限が切れます。これが失効すると、Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。

証明書を交換します。信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。使用されなくなった場合、証明書を削除できます。

証明書が失効(Certificate Revoked)

内部 CA がエンドポイントに発行した証明書を管理者が取り消しました。

もう一度 BYOD フローに従って最初から新しい証明書を使用してプロビジョニングします。

証明書プロビジョニング初期化エラー(Certificate Provisioning Initialization Error)

証明書プロビジョニングの初期化に失敗しました。

複数の証明書でサブジェクトの CN(CommonName)属性が同じ値になっています。証明書チェーンを構築できません。SCEP(Simple Certificate Enrollment Protocol)サーバーからの証明書を含め、システム内のすべての証明書を確認します。

証明書の複製に失敗(Certificate Replication Failed)

セカンダリノードへの証明書の複製に失敗しました。

証明書がセカンダリ ノードで無効であるか、他の永続的なエラー状態があります。セカンダリ ノードに矛盾する証明書が存在しないかどうかを確認します。存在する場合は、セカンダリノードに存在する証明書を削除し、プライマリノードの新しい証明書をエクスポートしてから削除し、その後インポートして複製を再試行します。

証明書の複製に一時的に失敗(Certificate Replication Temporarily Failed)

セカンダリノードへの証明書の複製に一時的に失敗しました。

証明書は、ネットワークの停止などの一時的な状態によりセカンダリノードに複製されませんでした。複製は、成功するまで再試行されます。

証明書が失効(Certificate Expired)

この証明書の期限が切れています。Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。ノードツーノード通信も影響を受ける場合があります。

証明書を交換します。信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。使用されなくなった場合、証明書を削除できます。

証明書要求転送に失敗(Certificate Request Forwarding Failed)

証明書要求転送に失敗しました。

受信する証明書要求が送信者の属性に一致することを確認します。

設定が変更(Configuration Changed)

Cisco ISE 設定が更新されています。このアラームは、ユーザーとエンドポイントに設定変更があってもトリガーされません。

設定変更が想定どおりであるかどうかを確認します。

CRL の取得に失敗(CRL Retrieval Failed)

サーバーから CRL を取得できません。これは、指定した CRL が使用できない場合に発生します。

ダウンロード URL が正しく、サービスに使用可能であることを確認します。

DNS 解決に失敗(DNS Resolution Failure)

ノードで DNS 解決に失敗しました。

ip name-server コマンドで設定した DNS サーバーが到達可能であるか確認します。

DNS Resolution failed for CNAME <hostname of the node> というアラームが表示された場合は、各 Cisco ISE ノードの A レコードとともに CNAME RR を作成していることを確認します。

ファームウェアの更新が必要(Firmware Update Required)

このホスト上でファームウェアの更新が必要です。

ファームウェアの更新の入手方法については、Cisco TAC にお問い合わせください。

仮想マシン リソースが不十分(Insufficient Virtual Machine Resources)

このホストには、CPU、RAM、ディスク容量、IOPS(1 秒当たりの入出力処理)などの仮想マシン(VM)リソースが不足しています。

Cisco ISE ハードウェア設置ガイド [英語] に指定されている VM ホストの最小要件を確認します。

NTP サービスの障害(NTP Service Failure)

NTP サービスがこのノードでダウンしています。

これは、NTP サーバーと Cisco ISE ノードとの間に大きな時間差(1000 秒以上)があるために発生することがあります。NTP サーバーが正しく動作していることを確認し、ntp server < servername> CLI コマンドを使用して NTP サービスを再起動して、時間のずれを修正します。

NTP 同期に失敗(NTP Sync Failure)

このノードに構成されているすべての NTP サーバーが到達不能です。

CLI で show ntp コマンドを実行してトラブルシューティングします。Cisco ISE から NTP サーバーに到達可能であることを確認します。NTP 認証が設定されている場合、キー ID と値がサーバーの対応する値に一致することを確認します。

スケジュールされた設定バックアップなし(No Configuration Backup Scheduled)

Cisco ISE 設定バックアップがスケジュールされていません。

設定バックアップのスケジュールを作成します。

操作 DB 消去に失敗(Operations DB Purge Failed)

操作データベースから古いデータを消去できません。これは、MnT ノードがビジーの場合に発生します。

[データ消去の監査(Data Purging Audit)] レポートをチェックし、使用済みスペースがしきい値スペースより少ないことを確認します。CLI を使用して MnT ノードにログインし、消去操作を手動で実行します。

プロファイラ SNMP 要求に失敗(Profiler SNMP Request Failure)

SNMP 要求がタイムアウトしたか、あるいは SNMP コミュニティまたはユーザー認証データが不正です。

SNMP が NAD で動作していることを確認し、Cisco ISE の SNMP 設定が NAD に一致していることを確認します。

複製に失敗(Replication Failed)

セカンダリ ノードは複製されたメッセージを消費できませんでした。

Cisco ISE GUI にログインし、[展開(Deployment)] ウィンドウから手動同期を実行します。影響を受ける Cisco ISE ノードを登録解除してから登録し直します。

復元に失敗(Restore Failed)

Cisco ISE 復元操作に失敗しました。

Cisco ISE とリポジトリ間のネットワーク接続を確認します。リポジトリに使用するクレデンシャルが正しいことを確認します。バックアップファイルが破損していないことも確認します。CLI で reset-config コマンドを実行して、正常な既知の最終バックアップを復元します。

パッチに失敗(Patch Failure)

パッチ プロセスがサーバーで失敗しました。

サーバーにパッチプロセスを再インストールします。

パッチに成功(Patch Success)

パッチ プロセスがサーバーで成功しました。

外部 MDM サーバー API バージョンが不一致(External MDM Server API Version Mismatch)

外部 MDM サーバー API バージョンが Cisco ISE に設定されたものと一致しません。

MDM サーバー API バージョンが Cisco ISE に設定されたものと同じであることを確認します。Cisco ISE MDM サーバー設定を更新します(必要な場合)。

外部 MDM サーバー接続に失敗(External MDM Server Connection Failure)

外部 MDM サーバーへの接続に失敗しました。

MDM サーバーが稼働し、Cisco ISE-MDM API サービスが MDM サーバーで稼働していることを確認します。

外部 MDM サーバー応答エラー(External MDM Server Response Error)

外部 MDM サーバー応答エラーです。

Cisco ISE-MDM API サービスが MDM サーバーで適切に動作していることを確認します。

複製が停止(Replication Stopped)

ISE ノードが PAN から設定データを複製できませんでした。

Cisco ISE GUI にログインし、[展開(Deployment)] ウィンドウから手動同期を実行するか、または影響を受けた ISE ノードを登録解除してから必須フィールドを指定して再登録します。

MDM コンプライアンスポーリングが無効(MDM Compliance Polling Disabled)

定期的なコンプライアンスポーリングで、膨大な非準拠デバイス情報を受信しました。

MDM サーバーに到達する非準拠デバイス要求の数を 20000 未満に維持します。

エンドポイント証明書が期限切れ(Endpoint certificates expired)

エンドポイント証明書が日次スケジュールジョブで期限切れとマークされました。

エンドポイントデバイスを再登録して新しいエンドポイント証明書を取得します。

エンドポイント証明書が消去(Endpoint certificates purged)

期限切れのエンドポイント証明書が日次スケジュールジョブによって消去されました。

特に対処は必要ありません。これは、管理者が開始したクリーンアップ操作です。

エンドポイントのアクティビティ消去

過去 24 時間のエンドポイントのアクティビティを消去します。このアラームは、真夜中にトリガーされます。

[操作(Operations)] > [レポート(Reports)] > [エンドポイントとユーザー(Endpoints and Users)] > [エンドポイントのアクティビティ消去(Endpoints Purge Activities)] を選択して、消去アクティビティを確認します。

複製低速エラー(Slow Replication Error)

低速またはスタックした複製が検出されました。

ノードが到達可能であり、展開の一部であることを確認します。

複製低速情報(Slow Replication Info)

低速の複製またはスタックした複製が検出されました。

ノードが到達可能であり、展開の一部であることを確認します。

複製低速警告(Slow Replication Warning)

低速またはスタックした複製が検出されました。

ノードが到達可能であり、展開の一部であることを確認します。

PAN 自動フェールオーバー:フェールオーバーが失敗しました(PAN Auto Failover - Failover Failed)

セカンダリ管理ノードへのプロモーション要求が失敗しました。

解決方法については、アラームの詳細を参照してください。

PAN 自動フェールオーバー:フェールオーバーがトリガーされました(PAN Auto Failover - Failover Triggered)

プライマリロールにセカンダリ管理ノードのフェールオーバーが正常にトリガーされました。

セカンダリ PAN のプロモーションが完了するまで待機し、古いプライマリ PAN を起動します。

PAN 自動フェールオーバー:ヘルスチェックの非アクティビティ(PAN Auto Failover - Health Check Inactivity)

PAN がモニタリング ノードからヘルス チェックのモニタリング要求を受け取りませんでした。

報告されたモニタリングノードがダウンしているか、または同期していないか確認し、必要に応じて、手動同期をトリガーします。

PAN 自動フェールオーバー:無効なヘルスチェック(PAN Auto Failover - Invalid Health Check)

自動フェールオーバーで無効なヘルス チェック モニタリング要求が受信されました。

ヘルス チェック モニタリング ノードが同期していることを確認し、必要な場合は手動で同期をトリガーします。

PAN 自動フェールオーバー:プライマリ管理ノードのダウン(PAN Auto Failover - Primary Administration Node Down)

PAN がダウンしているか、またはモニタリングノードから到達不能です。

PAN を起動するか、またはフェールオーバーが発生するまで待機します。

PAN 自動フェールオーバー:フェールオーバーの試行が拒否されました(PAN Auto Failover - Rejected Failover Attempt)

ヘルス チェック モニター ノードによって行われたプロモーション要求をセカンダリ管理ノードが拒否しました。

解決方法については、アラームの詳細を参照してください。

EST サービスの停止(EST Service is down)

EST サービスが停止しています。

CA および EST サービスが稼働しており、証明書サービスのエンドポイントサブ CA 証明書チェーンが完了していることを確認します。

EST サービスの稼働(EST Service is up)

EST サービスが稼働しています。

EST サービスが稼働中であることを知らせる通知が管理者に送信されます。

Smart Call Home の通信障害(Smart Call Home Communication Failure)

Smart Call Home メッセージが正常に送信されませんでした。

Cisco ISE と Cisco システムの間でネットワーク接続があることを確認します。

テレメトリ メッセージの障害(Telemetry Communication Failure)

テレメトリ メッセージが正常に送信されませんでした。

Cisco ISE と Cisco システムの間でネットワーク接続があることを確認します。

アダプタに接続できない

Cisco ISE は、アダプタに接続できません。

エラーの詳細はアダプタ ログを確認してください。

アダプタのエラー

アダプタにエラーが生じています。

アラームの説明を確認してください。

アダプタ接続の失敗

アダプタは、送信元のサーバーに接続できません。

送信元のサーバーがアクセス可能であることを確認してください

エラーによるアダプタの停止

アダプタにエラーが発生し、望ましい状態ではありません。

アダプタの設定が正しく、送信元サーバーがアクセス可能であることを確認してください。エラーの詳細については、アダプタログを確認してください。

サービス コンポーネントのエラー

サービス コンポーネントにエラーが生じています。

アラームの説明を確認してください。

サービス コンポーネントの情報

サービス コンポーネントが情報を送信しました。

なし。

ISE サービス

過剰な TACACS 認証試行(Excessive TACACS Authentication Attempts)

ISE ポリシーサービスノードで TACACS 認証の割合が想定よりも多くなっています。

  • ネットワーク デバイスの再認証タイマーをチェックします。

  • ISE インフラストラクチャのネットワーク接続を確認します。

過剰な TACACS 認証の失敗した試行(Excessive TACACS Authentication Failed Attempts)

ISE ポリシーサービスノードで失敗した TACACS 認証の割合が想定よりも多くなっています。

  • 根本原因を特定するために認証手順を確認します。

  • ID と秘密の不一致がないか、ISE または NAD の設定を確認します。

MSE ロケーション サーバーへのアクセス回復(MSE Location Server accessible again)

MSE ロケーション サーバーへのアクセスが回復しました。

なし。

MSE ロケーション サーバーにアクセス不能(MSE Location Server not accessible.)

MSE ロケーションサーバーはアクセス不能であるか、ダウンしています。

MSE ロケーションサーバーが稼働中で、ISE ノードからアクセスできるか確認します。

AD コネクタを再起動する必要があります(AD Connector had to be restarted)

AD コネクタが突然シャットダウンし、再起動が必要となりました。

問題が解決しない場合は、Cisco TAC にお問い合わせください。

Active Directory フォレストが使用不可(Active Directory Forest is unavailable)

Active Directory フォレスト グローバル カタログが使用できず、認証、許可、およびグループと属性の取得に使用できません。

DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。

認証ドメインが使用不可(Authentication domain is unavailable)

認証ドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。

DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。

Authorization Result

 承認結果とアクティブセッションをモニターします。認証結果アラームの設定を参照してください。

ネットワークまたは Cisco ISE の設定変更に矛盾がないか確認します。

ISE の認証非アクティビティ(ISE Authentication Inactivity)

Cisco ISE ポリシー サービス ノードは、ネットワーク デバイスから認証要求を受け取っていません。

  • Cisco ISE および NAD の設定を確認します。

  • Cisco ISE および NAD インフラストラクチャのネットワーク接続を確認します。

ID マッピングの認証非アクティビティ(ID Map. Authentication Inactivity)

過去 15 分間、ユーザー認証イベントが ID マッピングサービスによって収集されませんでした。

ユーザー認証が想定される時間(勤務時間など)である場合は、Active Directory ドメインコントローラへの接続を確認します。

CoA 失敗(CoA Failed)

ネットワークデバイスが、Cisco ISE ポリシーサービスノードによって発行された認可変更(CoA)要求を拒否しました。

そのネットワークデバイスが Cisco ISE からの CoA を受け入れるように設定されていることを確認します。CoA が有効なセッションに対して発行されているか確認します。

設定されたネーム サーバーがダウン(Configured nameserver is down)

設定されたネーム サーバーがダウンしているか、使用できません。

DNS 設定とネットワーク接続を確認します。

サプリカントが応答停止(Supplicant Stopped Responding)

Cisco ISE がクライアントに最後のメッセージを 120 秒前に送信しましたが、クライアントから応答がありません。

  • サプリカントが Cisco ISE との完全な EAP カンバセーションを行えるように適切に設定されていることを確認します。

  • サプリカントとの間で EAP メッセージを転送するように NAS が正しく設定されていることを確認します。

  • サプリカントまたは NAS で、EAP カンバセーションのタイムアウトが短くないことを確認します。

過剰な認証試行(Excessive Authentication Attempts)

Cisco ISE ポリシー サービス ノードで認証の割合が想定よりも多くなっています。

ネットワークデバイスの再認証タイマーをチェックします。Cisco ISE インフラストラクチャのネットワーク接続を確認します。

しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。[説明(Description)] 列の横に表示される数値は、過去 15 分間に Cisco ISE に対して成功または失敗した認証の総数です。

過剰な失敗試行(Excessive Failed Attempts)

Cisco ISE ポリシー サービス ノードで認証失敗の割合が想定よりも多くなっています。

根本原因を特定するために認証手順を確認します。ID と秘密の不一致がないか、Cisco ISE または NAD の設定を確認します。

しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。[説明(Description)] 列の横に表示される数値は、過去 15 分間に Cisco ISE に対して成功または失敗した認証の総数です。

AD:マシン TGT のリフレッシュに失敗(AD: Machine TGT refresh failed)

ISE サーバーのチケット認可チケット(TGT)の更新に失敗しました。TGT は、Active Directory 接続とサービスに使用されます。

ISE マシン アカウントが存在し、有効であることを確認します。また、クロックスキュー、複製、ケルベロスの設定、またはネットワークエラー、あるいはこれらすべてを確認します。

AD:ISE アカウント パスワードの更新に失敗(AD: ISE account password update failed)

ISE サーバーは、AD マシン アカウント パスワードを更新できませんでした。

ISE マシン アカウント パスワードが変更されていないことと、マシン アカウントが無効でなく制限もされていないことを確認します。KDC への接続を確認します。

参加しているドメインが使用不可(Joined domain is unavailable)

参加しているドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。

DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。

ID ストアが使用不可(Identity Store Unavailable)

Cisco ISE ポリシー サービス ノードは設定された ID ストアに到達できません。

Cisco ISE と ID ストア間のネットワーク接続を確認します。

正しく設定されていないネットワーク デバイスを検出(Misconfigured Network Device Detected)

Cisco ISE が、NAS からの過剰な RADIUS アカウンティング情報を検出しました。

このアラームは、デフォルトではディセーブルに設定されています。このアラームを有効にするには、「アラームの有効化および設定」を参照してください。

非常に多くの重複する RADIUS アカウンティング情報が、NAS から ISE に送信されました。正確なアカウンティング頻度で NAS を設定します。

正しく設定されていないサプリカントを検出(Misconfigured Supplicant Detected)

Cisco ISE は、ネットワーク上で正しく設定されていないサプリカントを検出しました。

このアラームは、デフォルトではディセーブルに設定されています。このアラームを有効にするには、「アラームの有効化および設定」を参照してください。

サプリカントの設定が正しいことを確認します。

アカウンティングの開始なし(No Accounting Start)

Cisco ISE ポリシーサービスノードではセッションを許可していますが、ネットワークデバイスからアカウンティング開始を受信しませんでした。

RADIUS アカウンティングがネットワーク デバイス上に設定されていることを確認します。ローカル許可に対するネットワーク デバイス設定を確認します。

NAD が不明な(Unknown NAD)

Cisco ISE ポリシー サービス ノードは、Cisco ISE に設定されていないネットワーク デバイスから認証要求を受信しています。

ネットワーク デバイスが正規の要求であるかどうかを確認してから、それを設定に追加します。シークレットが一致することを確認します。

SGACL がドロップ(SGACL Drops)

セキュリティ グループ アクセス(SGACL)ドロップが発生しました。これは、SGACL ポリシーの違反により、TrustSec 対応デバイスがパケットをドロップすると発生します。

RBACL ドロップ概要レポートを実行し、SGACL ドロップを引き起こしているソースを確認します。攻撃ソースに CoA を発行してセッションを再許可または切断します。

RADIUS 要求がドロップ(RADIUS Request Dropped)

NAD からの認証およびアカウンティング要求がサイレントに破棄されています。これは、NAD が不明であるか、共有秘密が不一致であるか、RFC ごとのパケット内容が無効であるために発生することがあります。

このアラームは、デフォルトではディセーブルに設定されています。このアラームを有効にするには、「アラームの有効化および設定」を参照してください。

NAD/AAA クライアントについて Cisco ISE に有効な設定があることを確認します。NAD/AAA クライアントと Cisco ISE の共有秘密が一致しているかどうかを確認します。AAA クライアントとネットワーク デバイスにハードウェアの問題または RADIUS 互換性の問題がないことを確認します。また、Cisco ISE にデバイスを接続するネットワークにハードウェア上の問題がないことを確認します。

EAP セッションの割り当てに失敗(EAP Session Allocation Failed)

RADIUS 要求は EAP セッションの制限に達したためにドロップされました。この状態の原因として、並列 EAP 認証要求が多すぎることが考えられます。

新しい EAP セッションで別の RADIUS 要求を呼び出す前に数秒間待ちます。システムのオーバーロードが発生する場合は、ISE サーバーの再起動を試してください。

RADIUS コンテキストの割り当てに失敗(RADIUS Context Allocation Failed)

RADIUS 要求はシステムのオーバーロードのためにドロップされました。この状態の原因として、並列認証要求が多すぎることが考えられます。

新しい RADIUS 要求を呼び出す前に数秒間待ちます。システムのオーバーロードが発生する場合は、ISE サーバーの再起動を試してください。

AD:ISE のマシン アカウントにグループを取得するために必要な権限がない

Cisco ISE のマシン アカウントにグループを取得するために必要な権限がありません。

Cisco ISE のマシンアカウントに Active Directory のユーザーグループを取得する権限があるか確認します。

ポスチャ設定の検出(Posture Configuration Detection)

ポスチャ状態同期ポートは、準拠認証プロファイルに対してブロックされません。

クライアント ポスチャ ステータスが準拠している場合、ポスチャ状態同期プローブが Cisco ISE に到達しないように ACL を設定します。

MnT ルックアップに対するポスチャクエリが高い(Posture Query to MnT Lookup is High)

1 時間あたりの MnT セッションルックアップに対するポスチャクエリが高くなっています。

ネットワーク設定を確認し、ISE ネットワーク外のクライアントから PSN に到達できないことを確認します。
システムの状態(System Health)

ディスク I/O 使用率が高い(High Disk I/O Utilization)

Cisco ISE システムは、ディスク I/O 使用率が高くなっています。

システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。

ディスク領域の使用率が高い(High Disk Space Utilization)

Cisco ISE システムは、ディスク領域の使用率が高くなっています。

システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。

負荷平均が高い(High Load Average)

Cisco ISE システムは、不可平均が高くなっています。

システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。

サードパーティツールを使用してシングル CPU コアの負荷平均を確認しないでください。このメトリックにはシステム全体の負荷が反映されないためです。システム負荷の累積ビューには、Cisco ISE CLI で tech top コマンドを使用することをお勧めします。

プライマリおよびセカンダリ MnT ノードの 2:00 a.m. タイムスタンプに対して [負荷平均が高い(High Load Average)] アラームが表示される場合、この時刻に実行している DBMS 統計が原因で CPU 使用率が高くなっている可能性があります。DBMS 統計が完了すると、CPU 使用率は通常に戻ります。

[負荷平均が高い(High Load Average)] アラームは、毎週日曜日の午前 1 時に、毎週のメンテナンスタスクによってトリガーされます。このメンテナンスタスクによって、1 GB 以上の領域を占有するすべてのインデックスが再構築されます。このアラームは無視できます。

メモリ使用率が高い(High Memory Utilization)

Cisco ISE システムは、メモリ使用率が高くなっています。

システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。

メモリ使用率の確認にサードパーティのツールを使用しないでください。Cisco ISE CLI で show memory コマンドを使用して、メモリ使用率を確認することをお勧めします。

Cisco ISE ノードでは、オペレーティングシステムによってメモリ使用率が管理されます。メモリ使用率のより信頼できる測定値を得るには、(空きメモリではなく)使用可能なメモリのメトリックを確認する必要があります。

オペレーティングシステムは、バッファまたはキャッシュ内のほとんどのメモリをセグメント化することに注意してください。合計メモリの 90% 未満が使用済みとして表示され、スワップメモリに実質的な増加がない場合、Cisco ISE のメモリ使用率は安定していると見なすことができます。

操作 DB の使用率が高い(High Operations DB Usage)

ノードをモニターする Cisco ISE は、syslog データの量が想定よりも多くなっています。

操作データの消去設定ウィンドウを確認して削減します。

認証待ち時間が長い(High Authentication Latency)

Cisco ISE システムは、認証待ち時間が長くなっています。

システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。

ヘルス ステータスが使用不可(Health Status Unavailable)

モニタリングノードが Cisco ISE ノードからヘルスステータスを受信しませんでした。

Cisco ISE ノードが稼働していて、モニタリングノードと通信できることを確認します。

プロセスがダウン(Process Down)

Cisco ISE プロセスの 1 つが動作していません。

Cisco ISE アプリケーションを再起動します。

プロファイラ キュー サイズの制限に到達(Profiler Queue Size Limit Reached)

ISE プロファイラキューサイズの制限に到達しました。キュー サイズの制限に達した後に受信されたイベントはドロップされます。

システムに十分なリソースがあることを確認し、エンドポイント属性フィルタが有効になっていることを確認します。

OCSP トランザクションしきい値に到達

OCSP トランザクションしきい値に到達しました。このアラームは、内部 OCSP サービスのトランザクション数がそのしきい値に到達するとトリガーされます。

システムに十分なリソースがあるかどうかを確認します。

ライセンシング

ライセンスがまもなく期限切れ(License About to Expire)

Cisco ISE ノードにインストールされたライセンスがまもなく期限切れになります。

Cisco ISE の [ライセンス(Licensing)] ウィンドウを参照してライセンスの使用状況を確認します。

ライセンスが期限切れ(License Expired)

Cisco ISE ノードにインストールされたライセンスの期限が切れました。

シスコアカウントチームに問い合わせて、新しいライセンスを購入してください。

ライセンス違反(License Violation)

Cisco ISE ノードが、許可されたライセンス数を超過しているか、またはまもなく超過することを検出しました。

シスコアカウントチームに問い合わせて、追加のライセンスを購入してください。

スマート ライセンスの認証の期限切れ

スマート ライセンスの認証の有効期限が切れました。

[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照して、手動でスマートライセンスの登録を更新するか、Cisco Smart Software Manager とのネットワーク接続を確認してください。問題が続くようであれば、シスコ パートナーまでお問い合わせください。

スマート ライセンスの認証の更新の失敗

Cisco Smart Software Manager を使用した認証の更新に失敗しました。

[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照し、[ライセンス(Licenses)] テーブルの [更新(Refresh)] ボタンを使用して、Cisco Smart Software Manager で認証を手動で更新します。問題が続くようであれば、シスコ パートナーまでお問い合わせください。

スマート ライセンスの認証の更新の成功

Cisco Smart Software Manager を使用した認証の更新に成功しました。

Cisco Smart Software Manager を使用した Cisco ISE の認証の更新が成功したことを知らせる通知が送信されます。

スマート ライセンスの通信障害

Cisco Smart Software Manager と Cisco ISE の通信が失敗しました。

Cisco Smart Software Manager とのネットワーク接続を確認します。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。

復元されたスマート ライセンスの通信

Cisco Smart Software Manager と Cisco ISE の通信が復元されました。

Cisco Smart Software Manager とのネットワーク接続が復元されたことを知らせる通知が送信されます。

スマート ライセンスの登録解除の障害

Cisco Smart Software Manager を使用した Cisco ISE の登録解除に失敗しました。

詳細については、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。

スマート ライセンスの登録解除の成功

Cisco Smart Software Manager を使用した Cisco ISE の登録解除に成功しました。

Cisco Smart Software Manager を使用した Cisco ISE の登録解除に成功したことを知らせる通知が送信されます。

スマート ライセンスの無効化

スマートライセンスは Cisco ISE で無効になり、従来のライセンスが使用されています。

スマートライセンスを再度有効にするには、[ライセンスの管理(License Administration)] ウィンドウを参照してください。Cisco ISE のスマートライセンスの使用方法の詳細については、Cisco ISE 管理者ガイド [英語] を参照するか、シスコパートナーにお問い合わせください。

スマート ライセンスの評価期間の期限切れ

スマート ライセンスの評価期間が終了しました。

Cisco Smart Software Manager を使用して Cisco ISE を登録するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。

スマート ライセンスの HA 役割の変更

スマートライセンスの使用中に、ハイアベイラビリティの役割の変更が発生しました。

Cisco ISE の HA ロールが変わったことを知らせる通知が送信されます。

スマート ライセンス ID 証明書の期限切れ

スマート ライセンス証明書の期限が切れました。

手動でスマートライセンスの登録を更新するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、シスコ パートナーまでお問い合わせください。

スマート ライセンス ID 証明書の更新の失敗

Cisco Smart Software Manager を使用したスマート ライセンスの登録の更新が失敗しました。

手動でスマートライセンスの登録を更新するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、シスコ パートナーまでお問い合わせください。

スマート ライセンス ID 証明書の更新の成功

Cisco Smart Software Manager を使用したスマート ライセンスの登録の更新が成功しました。

Cisco Smart Software Manager を使用した登録の更新が成功したことを知らせる通知が送信されます。

スマート ライセンスの無効な要求

無効な要求が Cisco Smart Software Manager に送信されました。

詳細については、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。

コンプライアンスに準拠していないスマート ライセンス

Cisco ISE ライセンスがコンプライアンスに準拠していません。

詳細については、[ISE ライセンス管理(ISE License Administration)] ウィンドウを参照してください。新しいライセンスを購入するには、パートナーまたはシスコ アカウント チームにお問い合わせください。

スマート ライセンスの登録の障害

Cisco Smart Software Manager を使用した Cisco ISE の登録が失敗しました。

詳細については、[ISE ライセンス管理(ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。

スマート ライセンスの登録の成功

Cisco Smart Software Manager を使用した Cisco ISE の登録に成功しました。

Cisco Smart Software Manager を使用した Cisco ISE の登録に成功したことを知らせる通知が送信されます。

システム エラー

ログ収集エラー(Log Collection Error)

コレクタプロセスをモニターする Cisco ISE が、ポリシーサービスノードから生成された監査ログを使用して処理を継続できません。

これは、ポリシー サービス ノードの実際の機能に影響を与えません。その後の解決については、Cisco TAC にお問い合わせください。

スケジュールされているレポートのエクスポートに失敗(Scheduled Report Export Failure)

設定されたリポジトリにエクスポートされたレポート(CSV ファイル)をコピーできません。

設定されたリポジトリを確認します。それが削除されていた場合は、再度追加します。リポジトリが使用できないか、またはリポジトリに到達できない場合は、リポジトリを再設定して有効にします。

TrustSec

不明な SGT のプロビジョニング(Unknown SGT was provisioned)

不明な SGT がプロビジョニングされました。

ISE は承認フローの一部として不明な SGT をプロビジョニングしました。不明な SGT は既知のフローの一部として割り当てることはできません。

一部の TrustSec ネットワーク デバイスに最新の ISE IP-SGT マッピング設定がありません(Some TrustSec network devices do not have the latest ISE IP-SGT mapping configuration)

一部の TrustSec ネットワーク デバイスに最新の ISE IP-SGT マッピング設定がありません。

ISE が異なる IP-SGT マッピング セットを持ついくつかのネットワーク デバイスを検出しました。[IP-SGT マッピング展開(IP-SGT mapping Deploy)] オプションを使用してデバイスを更新します。

TrustSec SSH 接続に失敗しました。

TrustSec SSH 接続の失敗(TrustSec SSH connection failed)

ISE がネットワーク デバイスへの SSH 接続を確立できませんでした。[ネットワークデバイス(Network Device)] ウィンドウでネットワークデバイスの SSH ログイン情報がネットワークデバイス上のログイン情報と類似していることを確認します。ネットワーク デバイスで ISE(IP アドレス)からの SSH 接続が有効になっていることを確認します。

TrustSec で識別された ISE が 1.0 以外の TLS バージョンで動作するよう設定されている(TrustSec identified ISE was set to work with TLS versions other than 1.0)

TrustSec で識別された ISE は 1.0 以外の TLS バージョンで動作するよう設定されています。

TrustSec は TLS バージョン 1.0 のみをサポートします。

TrustSec PAC の検証の失敗(Trustsec PAC validation failed)

TrustSec PAC の検証に失敗しました。

ISE がネットワークデバイスから送信された PAC を検証できませんでした。[ネットワークデバイス(Network Device)] ウィンドウとデバイスの CLI で、TrustSec デバイスのログイン情報を確認します。デバイスが ISE サーバーによってプロビジョニングされた有効な PAC を使用していることを確認します。

TrustSec 環境データのダウンロードの失敗(Trustsec environment data download failed)

TrustSec 環境データのダウンロードに失敗しました

Cisco ISE は不正な環境データ要求を受信しました。

次のことを確認してください。

  • 要求に PAC が存在し有効である。

  • すべての属性が要求に存在している。

TrustSec CoA メッセージの無視

TrustSec CoA メッセージが無視されました。

Cisco ISE は、TrustSec CoA メッセージを送信し、応答を受信しませんでした。ネットワーク デバイスが CoA 対応であることを確認してください。ネットワーク デバイス設定を確認してください。

TrustSec のデフォルトの出力ポリシーの変更

TrustSec のデフォルトの出力ポリシーが変更されました。

セキュリティ ポリシーに合致していることを確認します。


(注)  

アラームは、Cisco ISE にユーザーまたはエンドポイントを追加する場合にはトリガーされません。

アラーム設定

次の表では、[アラーム設定(Alarm Settings)] ウィンドウCisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)] > [アラームの設定(Alarm Configuration)] > [追加(Add)]のフィールドについて説明します。

フィールド名

説明

アラーム タイプ(Alarm Type)

アラームタイプ。

Alarm Name

アラームの名前。

説明

アラームの説明。

[Suggested Actions]

アラームがトリガーされたときに実行されるアクション。

Status(ステータス)

アラームルールの有効化または無効化。

シビラティ(重大度)

アラームのシビラティ(重大度)レベルを選択します。有効なオプションは次のとおりです。

  • [重大(Critical)]:重大なエラーの条件を示します。

  • [警告(Warning)]:正常ではあるものの重要な状態を示します。これがデフォルトの条件です。

  • [情報(Info)]:情報メッセージを示します。

syslog メッセージを送信(Send Syslog Message)

Cisco ISE で生成される各システムアラームの syslog メッセージを送信します。

複数の電子メールアドレスをカンマで区切って入力(Enter multiple e-mails separated with comma)

電子メールアドレスまたは ISE 管理者名あるいはその両方のリスト。

電子メールのメモ(0 ~ 4,000 文字)(Notes in Email (0 to 4000 characters))

システムアラームに関連付けるカスタムテキストメッセージ。

認証結果アラームの設定

認証ポリシーの結果に基づいてアラームを設定できるため、エンドポイント認証に対するネットワーキング、インフラストラクチャ、またはアプリケーションの変更の影響をモニターできます。特定のネットワーク デバイス グループ(NDG)を選択して、アラームの範囲を定義できます。選択した NDG ごとに、新しい認証結果アラームが作成されます。

特定の認証プロファイルとセキュリティグループタグ(SGT)を選択することで、このアラームでモニターする認証ログをフィルタ処理できます。指定された認証プロファイルおよび SGT を持つ認証ポリシーセットを満たしているエンドポイントのみがアラームによってモニターされます。

このアラームには、次のいずれかのしきい値を定義できます。

  • 現在のアクティブセッションの総数。

  • アクティブセッションの総数と比較した、選択された認証プロファイル、SGT、または両方を持つアクティブセッションの割合。

  • 定義された期間に発生した、選択された認証プロファイル、SGT、または両方を持つエンドポイント認証の数。

  • 定義された期間に生成された認証ログの総数と比較した、選択された認証プロファイル、SGT、または両方を持つエンドポイント認証の割合。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [アラーム設定(Alarm Settings)] を選択します。

ステップ 2

アラームのリストで、[認証結果(Authorization Result)] の横にあるオプションボタンをクリックし、[編集(Edit)] をクリックします。

ステップ 3

表示される新しいウィンドウの [アラーム設定(Alarm Configuration)] タブで、[しきい値(Thresholds)] 領域の次のフィールドを設定します。

  1. [しきい値の対象(Threshold On)]:ドロップダウンリストから [アクティブセッション(Active Sessions)] または [設定された期間内の認証(Authorizations in Configured Time Period)] を選択します。

    [アクティブセッション(Active Sessions)]:アクティブセッションに基づいてアラームを定義します。

    [設定された期間内の認証(Authorizations in Configured Time Period)]:定義された期間内のエンドポイント認証に基づいてアラームを定義します。

  2. [しきい値タイプ(Threshold Type)]:ドロップダウンリストから [数(Number)] または [割合(Percentage)] を選択します。

  3. [しきい値演算子(Threshold Operator)]:ドロップダウンリストから [次の値より大きい(Greater Than)] または [次の値より小さい(Less Than)] を選択します。

  4. [しきい値(Threshold Value)]:テキストフィールドに、しきい値を入力します。有効な範囲は、[しきい値タイプ(Threshold Type)] が [数(Number)] の場合は 0 〜 999999、[しきい値タイプ(Threshold Type)] が [割合(Percentage)] の場合は 0 〜100 です。

  5. [最後のデータを含む(分)(Include Data of Last (Minutes))]:このフィールドは、[しきい値の対象(Threshold On)] ドロップダウンリストで [設定された期間内の認証(Authorizations in Configured Time Period)] を選択した場合にのみ表示されます。ドロップダウンリストから必要な値を選択します。

  6. [実行間隔(Run Every)]:ドロップダウンリストからアラームのポーリング間隔を分単位で選択します。

ステップ 4

[フィルタ(Filters)] 領域で、このアラームに対してポーリングされる認証ログのフィルタを定義します。[認証プロファイル(Authorization Profile)] および [SGT] ドロップダウンリストから必要なオプションを選択します。

このアラームを正しく設定するには、[フィルタ(Filters)] 領域、認証プロファイル、または SGT で 1 つ以上のオプションを選択する必要があります。フィルタごとに複数のオプションを選択できます。

ステップ 5

[範囲(Scope)] 領域でアラームの範囲を定義します。特定の NDG に関連するエンドポイント認証ログのみをポーリングするには、対応するドロップダウンリストから特定の NDG を選択します。選択した NDG ごとに、個別のアラームが作成されます。各 NDG のログを個別に表示および確認できます。ドロップダウンリストからオプションを選択しない場合、Cisco ISE のすべての NDG がこのアラームの範囲に含まれます。

ステップ 6

このアラームのアクティビティに関連する syslog メッセージを受信するには、[syslog メッセージを送信(Send Syslog Message)] チェックボックスをオンにします。

syslog の送信先となる電子メールアドレスを、[複数の電子メールアドレスをカンマで区切って入力(Enter multiple e-mails separated with comma)] フィールドに入力します。syslog 電子メールに特定のメッセージを含めるには、[電子メールのメモ(Notes in Email)] フィールドにメッセージを入力します。

ステップ 7

[送信(Submit)] をクリックして設定を保存します。

ステップ 8

[アラーム通知(Alarm Notification)] タブに、アラーム通知の送信先となる電子メールアドレスを入力します。[複数の電子メールアドレスをカンマで区切って入力(Enter multiple e-mails separated with comma)] フィールドに、受信者の電子メールアドレスを入力します。[送信者の電子メールを入力(Enter sender e-mail)] フィールドに、送信者の電子メールアドレスを入力します。

ステップ 9

[保存(Save)] をクリックします。

認証結果アラームは、Cisco ISE ダッシュボードの [アラーム(Alarms)] ダッシュレットに表示されます。このアラームの詳細には、フィルタとして選択された認証プロファイルまたは SGT を含む各認証ポリシーのヒットカウントが含まれます。その後、特定の認証ポリシーを確認して、エンドポイントの認証に影響を与えるネットワーク、インフラストラクチャ、またはアプリケーションの変更を特定できます。

カスタム アラームの追加

Cisco ISE には [メモリ使用率が高い(High Memory Utilization)]、[設定変更(Configuration Change)] など 12 種類のデフォルト アラームがあります。シスコ定義のシステムアラームは [アラーム設定(Alarms Settings)] ウィンドウ(Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理((Administration))] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarms Settings)])に表示されます。システム アラームだけを編集できます。

既存のシステムアラームに加えて、既存のアラームタイプでカスタムアラームを追加、編集、削除できます。

アラームタイプごとに、最大 5 つのアラームを作成できます。アラームの総数は 200 に制限されています。

[アラーム設定(Alarm Settings)] ウィンドウの [アラーム設定(Alarm Configuration)] タブの [条件(Conditions)] 列に、[認証待ち時間が長い(High Authentication Latency)]、[ディスク I/O 使用率が高い(High Disk I/O Utilization)]、[ディスク領域の使用率が高い(High Disk Space Utilization)]、[メモリ使用率が高い(High Memory Utilization)] の 4 つのアラームの詳細が表示されます。これらのアラームそれぞれには設定可能なしきい値があります。ただし、[条件(Conditions)] 列には、しきい値が設定された後でも詳細が表示されないことがあります。表示されない場合は、そのアラームの関連するしきい値フィールドを再編集して、[条件(Conditions)] 列に詳細を表示します。

アラームを追加するには、次の手順を実行します。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)]

ステップ 2

[アラームの設定(Alarm Configuration)] タブで、[追加(Add)] をクリックします。

ステップ 3

次の必須詳細情報を入力します。詳細については、「アラーム設定」の項を参照してください。

アラームタイプに基づいて([メモリ使用率が高い(High Memory Utilization)]、[過剰な RADIUS 認証試行(Excessive RADIUS Authentication Attempts)]、[過剰な TACACS 認証試行(Excessive TACACS Authentication Attempts)] など)、追加の属性が [アラーム設定(Alarm Configuration)] ウィンドウに表示されます。たとえば、設定変更アラームには、[オブジェクト名(Object Name)]、[オブジェクトタイプ(Object Types)] および [管理者名(Admin Name)] フィールドが表示されます。さまざまな基準で同じアラームの複数のインスタンスを追加できます。

ステップ 4

[Submit] をクリックします。

Cisco ISE アラーム通知およびしきい値

Cisco ISE アラームを有効または無効にし、重大な状態を通知するようにアラーム通知動作を設定できます。特定のアラームに対して、過剰な失敗試行アラームの最大失敗試行数、または高ディスク使用量アラームの最大ディスク使用量などのしきい値を設定できます。

通知の設定はアラームベースで設定し、アラームごとに通知する必要があるユーザーの電子メール ID を入力できます(システム定義アラームとユーザー定義アラームの両方)。

(注)  
アラーム ルール レベルで指定された受信者の電子メール アドレスは、グローバルの受信者の電子メール アドレスより優先されます。

アラームの有効化および設定

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)]

ステップ 2

オプションボタンをクリックして、デフォルトアラームのリストからアラームを選択し [編集(Edit)] をクリックします。

ステップ 3

[ステータス(Status)] ドロップダウンリストから [有効(Enable)] または [無効(Disable)] を選択します。

ステップ 4

アラームしきい値を必要に応じて設定します。

ステップ 5

[Submit] をクリックします。

モニターリング用の Cisco ISE アラーム

Cisco ISE は、重大なシステム状態の発生時には必ず通知するシステムアラームを提供します。Cisco ISE によって生成されたアラームは [アラーム(Alarm)] ダッシュレットに表示されます。これらの通知は、自動的に [アラーム(Alarm)] ダッシュレットに表示されます。

[アラーム(Alarm)] ダッシュレットには、最近のアラームのリストが表示されます。このリストから、表示するアラームの詳細を選択できます。電子メールおよび syslog メッセージを介してアラームの通知を受信することもできます。

モニターリング アラームの表示

手順

ステップ 1

Cisco ISE ダッシュボードに進みます。

ステップ 2

[アラーム(Alarm)] ダッシュレットでアラームをクリックします。アラームの詳細および推奨アクションを含むダイアログボックスが開きます。

ステップ 3

アラームをリフレッシュするには、[リフレッシュ(Refresh)] をクリックします。

ステップ 4

確認応答アラームは、アラームを既読としてマークすることで、アラームカウンタ(アラームの発生回数)を削減します。タイムスタンプの横にあるチェックボックスをオンにして、確認するアラームを選択します。

[確認応答(Acknowledge)] ドロップダウンリストから [選択済みの確認応答(Acknowledge Selected)] を選択して、ウィンドウに現在表示されているすべてのアラームを既読としてマークします。デフォルトでは、100 行がウィンドウに表示されます。[行/ページ(Rows/Page)] ドロップダウンリストから値を選択することで、表示する別の行数を選択できます。

[確認応答(Acknowledge)] ドロップダウンリストから [すべての確認応答(Acknowledge All)] を選択して、ウィンドウに現在表示されているかどうかに関係なく、リストにあるすべてのアラームを既読としてマークします。

(注)  

 

タイトル行の [タイムスタンプ(Time Stamp)] の隣にあるチェックボックスをオンにすると、ウィンドウに表示されているすべてのアラームが選択されます。ただし、選択した 1 つ以上のアラームのチェックボックスをオフにすると、全選択機能が無効になります。この時点で、[タイムスタンプ(Time Stamp)] の隣にあるチェックボックスがオフになっていることがわかります。

ステップ 5

選択したアラームに対応する [詳細(Details)] リンクをクリックします。選択したアラームに対応する詳細を含むダイアログボックスが開きます。

(注)  

 

ペルソナの変更前に生成されたアラームに対応する [詳細(Details)] リンクには、データは表示されません。

ログ収集

モニタリング サービスはログと設定データを収集し、そのデータを保存してから、レポートおよびアラームを生成するために処理します。展開内の任意のサーバーから収集されたログの詳細を表示できます。

アラーム syslog 収集場所

システム アラーム通知を syslog メッセージとして送信するようにモニタリング機能を設定した場合は、通知を受信する syslog ターゲットが必要です。アラーム syslog ターゲットは、アラーム syslog メッセージが送信される宛先です。


(注)  

Cisco ISE モニタリングでは、logging-source interface の設定にネットワーク アクセス サーバー(NAS)の IP アドレスを使う必要があります。Cisco ISE モニタリング用のスイッチを設定する必要があります。

syslog メッセージを受信するには、syslog サーバーとして設定されたシステムも必要です。アラーム syslog ターゲットを作成、編集、および削除できます。

リモートロギングターゲットをアラームターゲットとして設定するには、次の手順を実行します。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)]

ステップ 2

[Add] をクリックします。

ステップ 3

[新しいロギングターゲット(New Logging Target)] ウィンドウで、ロギングターゲットに必要な詳細を送信し、[このターゲットのアラームを含める(Include Alarms for this Target)] チェックボックスをオンにします。

RADIUS ライブ ログ

次の表では、最近の RADIUS 認証を表示する [ライブログ(Live Logs)] ウィンドウのフィールドについて説明します。Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [RADIUS] > [ライブログ(Live Logs)]を選択します。RADIUS ライブログはプライマリ PAN でのみ確認できます。

表 3. RADIUS ライブ ログ

フィールド名

説明

Time

モニタリングおよびトラブルシューティング収集エージェントがログを受信した時刻を表示します。このカラムは必須です。選択解除することはできません。

Status(ステータス)

認証の成功/失敗を表示します。このカラムは必須です。選択解除することはできません。緑色は認証が成功したことを示します。赤色は認証が失敗したことを示します。

詳細

そのセッションのアカウンティングイベントが処理された場合、[Details] 列の下にあるアイコンをクリックすると、[Accounting Detail] レポートが開きます。セッションが認証済みの状態である場合、[Details] 列の下にあるアイコンをクリックすると、[Authentication Detail] レポートが表示されます。

[Authentication Detail] レポートの [Response Time] は、Cisco ISE で認証フローを処理するのにかかった合計時間です。たとえば、認証が 3 つのラウンドトリップメッセージで構成されている場合(最初のメッセージは 300 ミリ秒、次のメッセージは 150 ミリ秒、最後のメッセージは 100 ミリ秒)、[応答時間(Response Time)] は、300 + 150 + 100 = 550 ミリ秒になります。

(注)  

 

48 時間を超えるアクティブになっているエンドポイントの詳細を表示することはできません。48 時間を超えてアクティブになっているエンドポイントの [詳細(Details)] アイコンをクリックすると、次のメッセージがウィンドウに表示されます。No Data available for this record. Either the data is purged or authentication for this session record happened a week ago. Or if this is an 'PassiveID' or 'PassiveID Visibility' session, it will not have authentication details on ISE but only the session.

繰り返し回数(Repeat Count)

ID、ネットワークデバイス、および許可のコンテキストで変更がなく、直近の 24 時間で認証要求が繰り返された回数を表示します。

ID(Identity)

ログイン済みの認証に関連付けられているユーザー名を示します。

ユーザー名が ID ストアに存在しない場合は、「無効(INVALID)」と表示されます。その他の原因で認証に失敗した場合は、「ユーザー名(USERNAME)」と表示されます。

(注)  

 

これはユーザーにのみ適用されます。これは MAC アドレスには適用されません。

デバッグをサポートするために、無効なユーザー名の開示を ISE に強制できます。これを行うには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [セキュリティ設定(Security Settings)] で [無効なユーザー名を開示する(Disclose invalid usernames)] チェックボックスをオンにします。また、タイムアウトするように [無効なユーザー名を開示する(Disclose Invalid Usernames)] オプションを設定することもでき、手動でオフにする必要がなくなります。

エンドポイント ID(Endpoint ID)

エンドポイントの一意の識別子を表示します。通常は MAC または IP アドレスです。

エンドポイント プロファイル(Endpoint Profile)

プロファイリングされるエンドポイントのタイプを示します(たとえば、iPhone、Android、MacBook、Xbox になるようにプロファイリングされます)。

認証ポリシー(Authentication policy)

特定の認証に選択されているポリシーの名前を表示します。

許可ポリシー(Authorization Policy)

特定の許可に選択されているポリシーの名前を表示します。

認証プロファイル(Authorization Profiles)

認証に使用された認証プロファイルを表示します。

IP Address

エンドポイントデバイスの IP アドレスを表示します。

ネットワークデバイス(Network Device)

ネットワーク アクセス デバイスの IP アドレスを表示します。

デバイスポート(Device Port)

エンドポイントが接続されているポート番号を表示します。

ID グループ(Identity Group)

ログの生成対象となるユーザーまたはエンドポイントに割り当てられる ID グループを表示します。

ポスチャ ステータス(Posture Status)

ポスチャ検証のステータスと認証の詳細を表示します。

[サーバー(Server)]

ログの生成元になったポリシーサービスが示されます。

MDMサーバー名(MDM Server Name)

MDM サーバーの名前を表示します。

イベント

イベントステータスを表示します。

失敗の理由(Failure Reason)

認証が失敗した場合、失敗の詳細な理由を表示します。

認証方式(Auth Method)

Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2(MS-CHAPv2)、IEE 802.1x、dot1x など、RADIUS プロトコルによって使用される認証方式を表示します。

認証プロトコル(Authentication Protocol)

Protected Extensible Authentication Protocol(PEAP)や Extensible Authentication Protocol(EAP)など、使用される認証プロトコルを表示します。

Security Group

認証ログによって識別されるグループを表示します。

セッション ID(Session ID)

セッション ID を表示します。


(注)  

[RADIUS ライブログ(RADIUS Live Logs)] と [TACACS+ ライブログ(TACACS+ Live Logs)] ウィンドウでは、各ポリシーの認証ルールに対する最初の属性として [クエリ済み PIP(Queried PIP)] エントリが表示されます。認証ルール内のすべての属性が、以前のルールについてすでにクエリされているディクショナリに関連している場合、追加の [クエリ済み PIP(Queried PIP)] エントリは表示されません。

[RADIUS ライブログ(RADIUS Live Logs)] ウィンドウでは、次の操作を実行できます。

  • データを CSV または PDF ファイル形式でエクスポートします。

  • 要件に基づいて列を表示または非表示にします。

  • 簡易またはカスタムフィルタを使用してデータをフィルタ処理します。後で使用するためにフィルタを保存することもできます。

  • 列の順序を変更したり、列の幅を調整します。

  • 列の値をソートします。


(注)  

ユーザーのカスタマイズはすべて、ユーザー設定として保存されます。

TACACS ライブ ログ

次の表では、TACACS+ AAA の詳細を表示する [TACACS ライブログ(TACACS Live Logs)] ウィンドウのフィールドについて説明します。[操作(Operations)] > [TACACS] > [ライブログ(Live Logs)]Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [TACACS] > [ライブログ(Live Logs)]。TACACS ライブ ログはプライマリ PAN だけで表示されます。

表 4. TACACS ライブ ログ

フィールド名

使用上のガイドライン

生成日時(Generated Time)

特定のイベントがトリガーされた時点に基づいて、syslog の生成日時を示します。

ログに記録された時刻(Logged Time)

syslog がモニタリング ノードによって処理され、保存された時刻を示します。このカラムは必須です。選択解除することはできません。

ステータス

認証の成功/失敗を表示します。このカラムは必須です。選択解除することはできません。緑色は認証が成功したことを示します。赤色は認証が失敗したことを示します。

詳細

虫眼鏡アイコンをクリックすると、選択した認証シナリオをドリルダウンし、詳細情報を確認できるレポートが表示されます。このカラムは必須です。選択解除することはできません。

セッションキー(Session Key)

ISE によってネットワーク デバイスに返される(EAP の成功メッセージまたはEAP の失敗メッセージにある)セッション キーを示します。

Username

デバイス管理者のユーザー名を示します。このカラムは必須です。選択解除することはできません。

タイプ

[認証(Authentication)] および [承認(Authorization)] の 2 つのタイプで構成されます。認証、承認、または両方を通過または失敗したユーザー名を表示します。このカラムは必須です。選択解除することはできません。

認証ポリシー(Authentication policy)

特定の認証に選択されているポリシーの名前を表示します。

許可ポリシー(Authorization Policy)

特定の許可に選択されているポリシーの名前を表示します。

ISEノード(ISE Node)

アクセス要求が処理される ISE ノードの名前を表示します。

ネットワークデバイス名(Network Device Name)

ネットワーク デバイスの名前を示します。

ネットワーク デバイス IP(Network Device IP)

アクセス要求を処理するネットワーク デバイスの IP アドレスを示します。

ネットワーク デバイス グループ(Network Device Groups)

ネットワークデバイスが属する対応するネットワーク デバイス グループの名前を表示します。

デバイスタイプ(Device Type)

異なるネットワークデバイスからのアクセス要求の処理に使用されるデバイスタイプポリシーを示します。

地理的位置

ネットワークデバイスからのアクセス要求の処理に使用されるロケーションベースのポリシーを示します。

デバイス ポート(Device Port)

アクセス要求が行われるデバイスのポート番号を示します。

失敗の理由(Failure Reason)

ネットワークデバイスによって行われたアクセス要求を拒否した理由を示します。

リモート アドレス(Remote Address)

エンド ステーションを一意に識別する IP アドレス、MAC アドレス、またはその他の任意の文字列を示します。

一致したコマンドセット(Matched Command Set)

MatchedCommandSet 属性値が存在する場合はその値を表示し、MatchedCommandSet 属性値が空の場合、または属性自体が syslog に存在しない場合は空の値を表示します。

シェルプロファイル(Shell Profile)

ネットワーク デバイスでコマンドを実行するためのデバイス管理者に付与された権限を示します。

[TACACS Live Logs] ウィンドウで、次の手順を実行できます。

  • データを CSV または PDF ファイル形式でエクスポートします。

  • 要件に基づいて列を表示または非表示にします。

  • 簡易またはカスタムフィルタを使用してデータをフィルタ処理します。後で使用するためにフィルタを保存することもできます。

  • 列の順序を変更したり、列の幅を調整します。

  • 列の値をソートします。


(注)  
ユーザーのカスタマイズはすべて、ユーザー設定として保存されます。

ライブ認証

[ライブ認証(Live Authentications)] ウィンドウから、最新の RADIUS 認証を発生時に監視できます。このウィンドウには、直近の 24 時間における上位 10 件の RADIUS 認証が表示されます。ここでは、[ライブ認証(Live Authentications)] ウィンドウの機能について説明します。

[ライブ認証(Live Authentications)] ウィンドウには、認証イベントの発生時に、その認証イベントに対応するライブ認証エントリが表示されます。このウィンドウには、認証エントリに加えて、そのイベントに対応するライブセッションエントリも表示されます。また、表示するセッションをドリルダウンして、そのセッションに対応する詳細レポートを表示できます。

[ライブ認証(Live Authentications)] ウィンドウには、最新の RADIUS 認証が発生順に表形式で表示されます。[ライブ認証(Live Authentications)] ウィンドウの下部に表示される最終更新には、サーバーの日付、時刻、およびタイムゾーンが示されます。


(注)  

アクセス要求パケット内のパスワード属性が空の場合、エラーメッセージがトリガーされ、アクセス要求は失敗します。

1 つのエンドポイントが正常に認証されると、2 つのエントリが [ライブ認証(Live Authentications)] ウィンドウに表示されます。1 つのエントリは認証レコードに対応し、もう 1 つのエントリは(セッションライブビューからプルされた)セッショレコードに対応しています。その後、デバイスで別の認証が正常に実行されると、セッション レコードに対応する繰り返しカウンタの数が増えます。[ライブ認証(Live Authentications)] ウィンドウに表示される繰り返しカウンタには、抑制されている重複した RADIUS 認証成功メッセージの数が示されます。

デフォルトで表示されるライブ認証データカテゴリを参照してください。各カテゴリついては、「最近の RADIUS 認証」の項を参照してください。

すべての列を表示するか、選択したデータ 列のみを表示できます。表示する列を選択した後で、選択内容を保存できます。

ライブ認証のモニター

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [RADIUS] > [ライブログ(Live logs)]

ステップ 2

データリフレッシュレートを変更するには、[更新(Refresh)] ドロップダウンリストから時間間隔を選択します。

ステップ 3

データを手動で更新するには、[更新(Refresh)] アイコンをクリックします。

ステップ 4

表示されるレコードの数を変更するには、[表示(Show)] ドロップダウンリストからオプションを選択します。

ステップ 5

時間間隔を指定するには、[次の範囲内(Within)] ドロップダウンリストからオプションを選択します。

ステップ 6

表示される列を変更するには、[列の追加または削除(Add or Remove Columns)] をクリックし、ドロップダウンリストからオプションを選択します。

ステップ 7

ウィンドウの下部にある [保存(Save)] をクリックして、変更を保存します。

ステップ 8

ライブ RADIUS セッションを表示するには、[ライブセッションの表示(Show Live Sessions)] をクリックします。

アクティブな RADIUS セッションを動的に制御できるライブセッションに対して動的な認可変更(CoA)機能を使用できます。ネットワーク アクセス デバイス(NAD)に再認証または接続解除要求を送信できます。

[ライブ認証(Live Authentications)] ページでのデータのフィルタ処理

[ライブ認証(Live Authentications)] ウィンドウのフィルタを使用して、必要な情報をフィルタ処理し、ネットワーク認証の問題を迅速にトラブルシューティングできます。[認証ライブログ(Authentication live logs)] ウィンドウのレコードをフィルタ処理して、目的のレコードのみを表示できます。認証ログには多数の詳細が含まれており、特定のユーザーまたはロケーションから認証をフィルタリングすることで、データをすばやくスキャンできます。[ライブ認証(Live Authentications)] ウィンドウで使用できる複数の演算子を使用し、次のような検索条件に基づいてレコードをフィルタ処理できます。

  • 'abc':「abc」を含む

  • '!abc' :「abc」を含まない

  • 「{}」:空

  • 「!{}」:空でない

  • 「abc*」:「abc」で開始する

  • 「*abc」:「abc」で終了する

  • 「\!」、「\*」、「\{」、「\\」:エスケープ

エスケープ オプションを使用すると、特殊文字を含むテキストをフィルタリングできます(フィルタとして使用される特殊文字を含む)。特殊文字の前にバック スラッシュ(\)を付ける必要があります。たとえば、「Employee!」という ID を持つユーザーの認証レコードを確認する場合は、[ID フィルタ(Identity Filter)] フィールドに「Employee\!」と入力します。この例では、Cisco ISE は感嘆符(!)を特殊文字ではなくリテラル文字と見なします。

また、[ステータス(Status)] フィールドでは、成功した認証レコード、失敗した認証、ライブセッションなどのみをフィルタ処理できます。緑色のチェックマークは以前発生した成功したすべての認証をフィルタ処理します。赤い十字マークはすべての失敗した認証をフィルタリングします。青い [i] アイコンはすべてのライブセッションをフィルタ処理します。これらのオプションの組み合わせを表示することも選択できます。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [RADIUS] > [ライブログ(Live Logs)]

ステップ 2

[ライブ認証の表示(Show Live Authentications)] ウィンドウのいずれかのフィールドに基づいてデータをフィルタ処理します。

成功または失敗した認証、あるいはライブ セッションに基づいて結果をフィルタリングできます。

RADIUS ライブ セッション

次の表では、RADIUS の [ライブセッション(Live Sessions)] ウィンドウのフィールドについて説明します。このウィンドウにはライブ認証が表示されます。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして次を選択します。RADIUS ライブ セッションはプライマリ PAN だけで表示されます。

表 5. RADIUS ライブ セッション

フィールド名

説明

開始(Initiated)

セッション開始時のタイムスタンプを表示します。

更新済み

変更のためにセッションが最後に更新された時点のタイムスタンプを表示します。

アカウント セッション時間(Account Session Time)

ユーザー セッションの期間(秒単位)を表示します。

セッション ステータス(Session Status)

エンドポイントデバイスの現在のステータスを表示します。

アクション

アクティブな RADIUS セッションを再認証するか、またはアクティブな RADIUS セッションを切断するには、[アクション(Actions)] アイコンをクリックします。

繰り返し回数(Repeat Count)

ユーザーまたはエンドポイントの再認証回数を表示します。

エンドポイント ID(Endpoint ID)

エンドポイントの一意の識別子を表示します。通常は MAC または IP アドレスです。

ID(Identity)

エンドポイントデバイスのユーザー名を表示します。

IP Address

エンドポイントデバイスの IP アドレスを表示します。

監査セッション ID(Audit Session ID)

固有のセッション ID を表示します。

アカウント セッション ID(Account Session ID)

ネットワークデバイスから提供される一意の ID を表示します。

エンドポイントプロファイル(Endpoint Profile)

デバイスのエンドポイントプロファイルを表示します。

ポスチャ ステータス(Posture Status)

ポスチャ検証のステータスと認証の詳細を表示します。

セキュリティ グループ(Security Group)

認証ログによって識別されるグループを表示します。

[サーバー(Server)]

ログを生成したポリシー サービス ノードを示します。

認証方式(Auth Method)

パスワード認証プロトコル(PAP)、チャレンジハンドシェイク認証プロトコル(CHAP)、IEE 802.1x、dot1x など、RADIUS プロトコルによって使用される認証方式を表示します。

Authentication Protocol

Protected Extensible Authentication Protocol(PEAP)や Extensible Authentication Protocol(EAP)など、使用される認証プロトコルを表示します。

認証ポリシー(Authentication policy)

特定の認証に選択されているポリシーの名前を表示します。

許可ポリシー(Authorization Policy)

特定の許可に選択されているポリシーの名前を表示します。

認証プロファイル(Authorization Profiles)

認証に使用された許可プロファイルを表示します。

NAS IP アドレス

ネットワークデバイスの IP アドレスを表示します。

デバイス ポート(Device Port)

ネットワークデバイスに接続されたポートを表示します。

PRA アクション(PRA Action)

ネットワークでのコンプライアンスのためにクライアントが正常にポスチャされた後、そのクライアントで実行される定期的な再評価アクションを表示します。

ANCステータス(ANC Status)

デバイスの適応型ネットワーク制御のステータス([隔離(Quarantine)]、[隔離解除(Unquarantine)]、または [シャットダウン(Shutdown)])を表示します。

WLC ローミング(WLC Roam)

ローミング中にエンドポイントがワイヤレス LAN コントローラ(WLC)間でハンドオフされたことを追跡するために使用されるブール値(Y/N)を表示します。cisco-av-pair=nas-update の値は Y または N です。

(注)  

 

Cisco ISE では、セッションの状態がローミングであるかどうかの特定は WLC の nas-update=true 属性に依存します。元の WLC が nas-update=true のアカウンティング停止属性を送信する場合、再認証を回避するために ISE のセッションは削除されません。ローミングが失敗する場合は、ISE はセッションが非アクティブな状態で 5 日経過するとそのセッションを消去します。

パケット入力

受信したパケットの数を表示します。

パケット出力

送信したパケットの数を表示します。

受信バイト数(Bytes In)

受信したバイト数を表示します。

送信バイト数(Bytes Out)

送信したバイト数を表示します。

セッション送信元(Session Source)

RADIUS セッションであるか、パッシブ ID セッションであるかを示します。

ユーザードメイン名(User Domain Name)

ユーザーの登録済み DNS 名を示します。

ホストドメイン名(Host Domain Name)

ホストの登録済み DNS 名を示します。

ユーザーNetBIOS名(User NetBIOS Name)

ユーザーの NetBIOS 名を示します。

ホストNetBIOS名(Host NetBIOS Name)

ホストの NetBIOS 名を示します。

ライセンスのタイプ(License Type)

使用されているライセンスのタイプを表示します。

ライセンスの詳細(License Details)

ライセンスの詳細を表示します。

プロバイダー

エンドポイント イベントはさまざまな syslog ソースから学習されます。これらの syslog ソースはプロバイダーと呼ばれます。

  • Windows Management Instrumentation(WMI):WMI は、オペレーティングシステム、デバイス、アプリケーション、およびサービスに関する管理情報にアクセスするための共通インターフェイスとオブジェクトモデルを提供する Windows サービスです。

  • エージェント:クライアントまたは別のプログラムの代わりにクライアントで実行されるプログラム。

  • syslog:クライアントがイベントメッセージを送信するロギングサーバー。

  • REST:クライアントはターミナルサーバーで認証されます。この syslog ソースの場合、[TS エージェント ID(TS Agent ID)]、[開始送信元ポート(Source Port Start)]、[終了送信元ポート(Source Port End)]、[最初の送信元ポート(Source First Port)] の値が表示されます。

  • SPAN:ネットワーク情報は SPAN プローブを使用して検出されます。

  • DHCP:DHCP イベント。

  • エンドポイント(Endpoint)

(注)  

 

異なるプロバイダの 2 つのイベントがエンドポイントセッションから学習または取得されると、それらのプロバイダは [ライブセッション(Live Sessions)] ウィンドウにカンマ区切り値として表示されます。

MAC アドレス

クライアントの MAC アドレスを表示します。

[エンドポイント チェック時刻(Endpoint Check Time)]

エンドポイントプローブによってエンドポイントが最後にチェックされた時刻を表示します。

[エンドポイント チェック結果(Endpoint Check Result)]

エンドポイント プローブの結果が表示されます。設定可能な値は次のとおりです。

  • 到達不要

  • [ユーザー ログアウト(User Logout)]

  • [アクティブ ユーザー(Active User)]

[送信元ポートの開始(Source Port Start)]

(REST プロバイダーの場合にのみ値が表示されます。)ポート範囲の最初のポートの番号を示します。

[送信元ポートの終了(Source Port End)]

(REST プロバイダーの場合にのみ値が表示されます。)ポート範囲の最後のポート番号を示します。

[最初の送信元ポート(Source First Port)]

(REST プロバイダーの場合にのみ値が表示されます)ターミナルサーバー エージェントによって割り当てられた最初のポートを示します。

ターミナルサーバーとは、複数のエンドポイントがモデムまたはネットワーク インターフェイスなしで接続でき、複数のエンドポイントが LAN ネットワークに接続できるようにするサーバーまたはネットワークデバイスを指します。複数のエンドポイントに同一 IP アドレスが割り当てられている場合は、特定ユーザーの IP アドレスを識別することが困難になります。このため、特定ユーザーを識別する目的でターミナル サーバー エージェントがサーバーにインストールされ、各ユーザーにポート範囲が割り当てられます。これにより、IP アドレス /ポートのユーザーマッピングが作成されます。

[TS エージェント ID(TS Agent ID)]

(REST プロバイダーの場合にのみ値が表示されます)エンドポイントにインストールされているターミナル サーバー エージェントの一意の ID を表示します。

[AD ユーザー解決 ID(AD User Resolved Identities)]

(AD ユーザーの場合にのみ値が表示されます。)一致したアカウントの候補が表示されます。

[AD ユーザー解決 DN(AD User Resolved DNs)]

(AD ユーザーの場合にのみ値が表示されます。)AD ユーザーの識別名(例:CN=chris,CN=Users,DC=R1,DC=com)を表示します。

エクスポート サマリ

過去 7 日間にすべてのユーザーによってエクスポートされたレポートの詳細をステータスとともに表示できます。エクスポート サマリには、手動レポートとスケジュールされたレポートの両方が含まれます。[エクスポートの概要(Export Summary)] ウィンドウは、2 分ごとに自動的に更新されます。[更新(Refresh)] アイコンをクリックすると、[エクスポートの概要(Export Summary)] ウィンドウが手動で更新されます。

ネットワーク管理者は、[進行中(In-Progess)] または [キュー登録済み(Queued)] 状態のエクスポートを取り消すことができます。他のユーザーは、自分が開始したエクスポート プロセスをキャンセルすることのみが許可されています。

デフォルトでは、任意の時点で 3 つのレポートの手動エクスポートのみを実行でき、残りのトリガーされたレポートの手動エクスポートはキューに入れられます。スケジュールされたレポートのエクスポートには、このような制限はありません。


(注)  
キューに入れられた状態のすべてのレポートが再度スケジューリングされ、Cisco ISE サーバーの再起動時に [進行中(In-progress)] または [キャンセル処理中(Cancellation-in-progress)] 状態のレポートには [失敗しました(failed)] とマークがつきます。プライマリ MnT ノードがダウンしている場合、スケジュールされたレポートエクスポートジョブはセカンダリ MnT ノードで実行されます。

次の表では、[エクスポートの概要(Export Summary)] ウィンドウのフィールドについて説明します。Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [レポート(Reports)] > [エクスポートの概要(Export Summary)]

表 6. エクスポート サマリ

フィールド名

説明

エクスポートされたレポート(Report Exported)

レポートの名前を表示します。

エクスポート実行ユーザー(Exported By)

エクスポート プロセスを開始したユーザーのロールを示します。

Scheduled

レポートのエクスポートが予定されているものであるかどうかを示します。

トリガー時刻(Triggered On)

システムでエクスポートプロセスがトリガーされた時刻を示します。

リポジトリ(Repository)

エクスポートされたデータを格納するリポジトリの名前を表示します。

フィルタ パラメータ(Filter Parameters)

レポートのエクスポート中に選択されたフィルタ パラメータを示します。

Status(ステータス)

エクスポートされたレポートのステータスを示します。次のいずれかを設定できます。

  • キュー(Queued)

  • 進行中(In-progress)

  • 完了

  • キャンセル処理中(Cancellation-in-progress)

  • キャンセル

  • 失敗しました(Failed)

  • 省略(Skipped)

(注)  

 
[失敗しました(Failed)] ステータスは、失敗の理由を示します。[省略(Skipped)] ステータスは、プライマリ MnT ノードがダウンしているため、スケジュールされたレポートのエクスポートが省略されることを示します。

[エクスポートの概要(Export Summary)] ウィンドウで次の操作を実行できます。

  • 要件に基づいて列を表示または非表示にします。

  • 簡易またはカスタム フィルタを使用してデータをフィルタリングします。後で使用するためにフィルタを保存することもできます。

  • 列の順序を変更したり、列の幅を調整します。

認証概要レポート

認証要求に関連する属性に基づいて、特定のユーザー、デバイス、または検索条件についてネットワークアクセスをトラブルシューティングできます。このトラブルシューティングは、[認証概要(Authentication Summary)] レポートを実行して行います。


(注)  

過去 30 日間の認証概要レポートのみを生成できます。

ネットワーク アクセスの問題のトラブルシューティング

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [レポート(Reports)] > [レポート(Reports)] > [デバイス管理(Device Administration)] > [認証の要約レポート(Authentication Summary Report)]

ステップ 2

[失敗の理由(Failure Reasons)] でレポートをフィルタリングします。

ステップ 3

レポートの [失敗の理由別の認証(Authentication by Failure Reasons)] セクションのデータを確認し、ネットワークアクセスの問題をトラブルシューティングします。

(注)  

 

[認証の要約レポート(Authentication Summary Report )] には失敗または成功した認証に対応する最新データが収集されて表示されるため、レポートの内容は数分遅れて表示されます。

展開およびサポート情報のための Cisco Support Diagnostics

概要

Cisco Support Diagnostics Connector は、Cisco Technical Assistance Center(TAC)とシスコのサポートエンジニアがプライマリ管理ノードから展開の情報を取得するのに役立つ新機能です。TAC は、展開内の特定のノードのサポート情報を取得するのにコネクタを使用します。このデータにより、より迅速でより多くの情報を得たうえでのトラブルシューティングが可能になります。

Cisco Support Diagnostics Connector は、Cisco ISE 管理ポータルを使用して有効化します。この機能を使用すると、セキュリティサービス交換(SSE)クラウドポータルを活用して、展開内のプライマリポリシー管理ノードと Cisco Support Diagnostics の間の双方向接続が可能になります。

前提条件

  • Cisco Support Diagnostics を有効または無効にするには、Super Admin または System Admin ロールが必要です。

Cisco Support Diagnostics Connector の設定

Cisco Support Diagnostics 機能を有効にするには、次の手順を実行します。

  • Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [Network Success Diagnostics] > [Cisco Support Diagnostics] > [Cisco Support Diagnostics 設定(Cisco Support Diagnostics Setting)] を選択します。

  • この機能はデフォルトで無効に設定されています。有効になっていない場合は、[Cisco Support Diagnostics の有効化(Enable Cisco Support Diagnostics)] チェックボックスをオンにして、Cisco Support Diagnostics を有効にします。

Cisco Support Diagnostics の双方向接続の確認

Cisco ISE が Cisco Support Diagnostics に正常に登録されていることと、双方向接続がセキュリティサービス交換ポータルを介して確立されていることを確認するには、次の手順を実行します。

  • Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [レポート(Reports)] > [レポート(Reports)] > [監査(Audit)] > [変更構成監査(Change Configuration Audit)] を選択します。

  • 次の状態を確認してください。

    1. Cisco Support Diagnostics が有効化されています。

    2. ISE サーバーは Cisco Support Diagnostics に登録されています。

    3. ISE SSE サービスが Cisco Support Diagnostics に登録されています。

    4. Cisco Support Diagnostics の双方向接続は有効になっています。

  • サービスの詳細(有効または無効、登録済みまたは未登録、Cisco Support Diagnostics の一部として登録または未登録)については、[操作監査(Operations Audit)] ウィンドウCisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。[操作(Operations)] > [レポート(Reports)] > [レポート(Reports)] > [監査(Audit)] > [操作監査(Operations Audit)])でも確認できます。

トラブルシューティング情報

Cisco Support Diagnostics の双方向接続が切断されていると考えられる場合は、次のことを確認します。

  • [スマートライセンス(Smart Licensing)]:スマートライセンスを無効にすると、Cisco Support Diagnostics は自動的に無効になります。スマート ライセンスを再度有効にしてコネクタを有効にします。

  • セキュリティ サービス交換クラウドへの接続:Cisco Support Diagnostics が有効になっている場合、Cisco ISE はセキュリティ サービス交換ポータルとの間で確立された永続的な接続を継続的にチェックします。この接続が切断されていることが判明した場合は、重大なアラーム「アラーム:Cisco Support Diagnostics の双方向接続が切断されています(Alarms: The Cisco Support Diagnostics bi-directional connectivity is broken)」がトリガーされます。前述の構成手順を使用して、機能を再度有効にします。

関連情報

管理者は、これらの特定のタスクを実行するために、ERS API を使用できます。

  • 特定のノードのサポート情報をトリガーします。

  • トリガーされたサポート バンドルのステータスを取得します。

  • サポート バンドルをダウンロードします。

  • 展開の情報を取得します。

使用方法やその他の情報については、ERS SDK のページを参照してください。

Cisco Support Diagnostics Connector を使用した設定バックアップの取得

この機能により、Cisco Technical Assistance Center(TAC)およびシスコのサポートエンジニアは、設定のバックアップをトリガーし、バックアップファイルを Cisco Support Diagnostics フォルダにアップロードできます。Cisco Support Diagnostics フォルダにアップロードしたバックアップファイルは、Cisco ISE ローカルディスクから削除できます。

この機能を使用するには、Cisco ISE でスマートライセンスと Cisco Support Diagnostics を有効にする必要があります。Cisco Support Diagnostics を有効にするには、次の手順を実行します。

  1. Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [Network Success Diagnostics] > [Cisco Support Diagnostics] > [Cisco Support Diagnostics 設定(Cisco Support Diagnostics Setting)] を選択します。

  2. [Cisco Support Diagnosticsの有効化(Enable Cisco Support Diagnostics)] チェックボックスをオンにして、Cisco Support Diagnostics を有効にします。

次の方法を使用して、設定のバックアップをトリガーし、バックアップファイルを Cisco Support Diagnostics フォルダにアップロードします。

  1. REST API は、ISE 統合会社名の組織 ID を取得するために使用されます。

  2. デバイスのリストを取得するには、REST API の組織 ID を使用します。

  3. REST API を使用してサービス ID を取得します。

  4. サービス ID と組織 ID は、JSON Web トークン(JWT)の生成に使用されます。

  5. REST API は、デバイス ID をパスパラメータとして使用して、デバイスで使用可能なサービスを確認するために使用されます。

  6. REST API は、Cisco ISE から Cisco Support Diagnostics フォルダにバックアップファイルをアップロードするために使用されます。バックアップファイルのアップロードステータスは確認できます。ファイルが Cisco Support Diagnostics フォルダにアップロードされていない場合は、404 エラーが表示されます。

診断トラブルシューティング ツール

診断ツールは、Cisco ISE ネットワークの問題の診断およびトラブルシューティングに役立ち、問題解決方法の詳細な手順が提供されます。これらのツールを使用して、認証をトラブルシューティングし、TrustSec デバイスなど、ネットワーク上のネットワークデバイスの設定を評価できます。

RADIUS 認証のトラブルシューティング ツール

このツールを使用すると、予期せぬ認証結果がある場合に、RADIUS 認証または RADIUS 認証に関連する Active Directory を検索および選択して、トラブルシューティングを実行できます。認証が成功すると予想していたのに失敗した場合、または特定の権限レベルが付与されていると予想していたユーザーやマシンにそれらの権限が付与されていなかった場合に、このツールを使用します。

  • トラブルシューティングのために、ユーザー名、エンドポイント ID、ネットワーク アクセス サービス(NAS)の IP アドレス、および認証失敗理由に基づいて RADIUS 認証を検索すると、Cisco ISE はシステム(現在)の日付の認証だけを表示します。

  • トラブルシューティングのために NAS ポートに基づいて RADIUS 認証を検索すると、Cisco ISE は前月の初めから現在までのすべての NAS ポート値を表示します。


    (注)  

    NAS IP アドレスおよび [エンドポイント ID(Endpoint ID)] フィールドに基づいて RADIUS 認証を検索する場合、検索はまず運用データベースで実行されてから、構成データベースで実行されます。

予期せぬ RADIUS 認証結果のトラブルシューティング

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] を選択します。

ステップ 2

必要に応じてフィールドに検索条件を指定します。

ステップ 3

[Search] をクリックして、検索条件に一致する RADIUS 認証を表示します。

Active Directory 関連の認証を検索する際に、展開に Active Directory サーバーが設定されていない場合は、「AD が設定されていない」ことを示すメッセージが表示されます。

ステップ 4

テーブルから RADIUS 認証レコードを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。

Active Directory 関連の認証をトラブルシューティングするには、[管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] > [AD ノード(AD node)] で、診断ツールにアクセスします。

ステップ 5

[ユーザー入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。

ステップ 6

[完了(Done)] をクリックします。

ステップ 7

トラブルシューティングが完了したら、[結果概要の表示(Show Results Summary)] をクリックします。

ステップ 8

(任意)診断、問題を解決するための手順、およびトラブルシューティングの概要を表示するには、[完了(Done)] をクリックします。

Network Device コマンド診断ツールの実行

Execute Network Device Command 診断ツールを使用すると、ネットワーク デバイスに対して show コマンドを実行することができます。

表示される結果は、コンソールに表示されるものと同じです。ツールにより、デバイス構成の問題(ある場合)を特定できます。

このツールは、ネットワークデバイスの構成を検証するか、またはネットワークデバイスの設定方法を確認する場合に使用します。

Execute Network Device Command 診断ツールにアクセスするには、次のナビゲーションパスのいずれかを選択します。

  1. Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [トラブルシュート(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [ネットワークデバイスコマンドの実行(Execute Network Device Command)] を選択します。Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[ワークセンター(Work Centers)] > [プロファイラ(Profiler)] > [トラブルシュート(Troubleshoot)] > [ネットワークデバイスコマンドの実行(Execute Network Device Command)] を選択します。

  2. 表示される [ネットワークデバイスコマンドの実行(Execute Network Device Command)] ウィンドウで、ネットワークデバイスの IP アドレスと実行する show コマンドを対応するフィールドに入力します。

  3. [Run] をクリックします。

設定を確認する Cisco IOS show コマンドの実行

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般的なツール(General Tools)] > [ネットワーク デバイス コマンドの実行(Execute Network Device Command)]

ステップ 2

該当するフィールドに情報を入力します。

ステップ 3

[実行(Run)] をクリックして、指定したネットワーク デバイスでコマンドを実行します。

ステップ 4

[ユーザー入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。

ステップ 5

[送信(Submit)] をクリックして、ネットワーク デバイス上でコマンドを実行し、出力を表示します。

設定バリデータの評価ツール

この診断ツールを使用して、ネットワークデバイスの設定を評価し、設定の問題(ある場合)を特定できます。Expert Troubleshooter によって、デバイスの設定が標準設定と比較されます。

エージェントレスポスチャのトラブルシューティング

エージェントレス ポスチャ レポートは、エージェントレスポスチャが想定どおりに動作しない場合に使用する主要なトラブルシューティングツールです。このレポートには、スクリプトアップロードの完了、スクリプトアップロードの失敗、スクリプト実行の完了などのイベントを含む、エージェントレスフローの段階が既知の失敗の理由(ある場合)とともに表示されます。


(注)  

エージェントレス ポスチャ スクリプトは自身を検証できませんが、スクリプトの実行後に、Cisco ISE から受信したデータを検証します。

エージェントレスポスチャのトラブルシューティングには、次の 2 つの場所からアクセスできます。

  • Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [ライブログ(Live Logs)] を選択し、トラブルシューティングするクライアントの [ポスチャステータス(Posture Status)] 列にある縦に並んだ 3 つのドットをクリックします。

  • Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断(Diagnostics)] > [一般ツール(General Tools)] > [エージェントレスポスチャのトラブルシューティング(Agentless Posture Troubleshooting)]

エージェントレスポスチャのトラブルシューティング ツールは、指定されたクライアントのエージェントレス ポスチャ アクティビティを収集します。[エージェントレス ポスチャ フロー(Agentless Posture Flow)] はポスチャを開始し、現在アクティブなクライアントと Cisco ISE 間のすべてのデータのやり取りを表示します。[クライアントログのみをダウンロード(Only Download Client Logs)] は、クライアントからの最大 24 時間分のポスチャフローを含むログを作成します。クライアントはいつでもログを削除できます。収集が完了したら、ログの ZIP ファイルをエクスポートできます。

レポート

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [レポート(Reports)] > [レポート(Reports)] > [エンドポイントとユーザー(Endpoints and Users)] > [エージェントレスポスチャ(Agentless Posture)] を選択すると、エージェントレスポスチャを実行したすべてのエンドポイントが表示されます。

ネットワーク デバイス設定の問題のトラブルシューティング

手順

ステップ 1

Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [設定バリデータの評価(Evaluate Configuration Validator)] 選択します。

ステップ 2

評価するネットワークデバイスの IP アドレスを、[Network Device IP] フィールドに入力します。

ステップ 3

チェックボックスをオンにして、推奨テンプレートと比較する設定オプションの横にあるオプションボタンをクリックします。

ステップ 4

[Run] をクリックします。

ステップ 5

[進行状況の詳細…(Progress Details ...)] 領域で、[ここをクリックしてログイン情報を入力(Click Here to Enter Credentials)] をクリックします。

ステップ 6

[Credentials Window] ダイアログボックスで、ネットワークデバイスとの接続を確立するために必要な接続パラメータとログイン情報を入力します。

ステップ 7

[Submit] をクリックします。`

ステップ 8

(オプション)ワークフローをキャンセルするには、[Progress Details ...] ウィンドウで [Click Here to Cancel the Running Workflow] をクリックします。

ステップ 9

(オプション)分析するインターフェイスの隣にあるチェックボックスをオンにして、[Submit] をクリックします。

ステップ 10

(オプション)設定の評価の詳細については、[Show Results Summary] をクリックします。

エンドポイント ポスチャの障害のトラブルシューティング

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)] を選択します。

ステップ 2

該当するフィールドに情報を入力します。

ステップ 3

[検索(Search)] をクリックします。

ステップ 4

説明を見つけ、イベントの解決策を決定するには、リストでイベントを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。

セッション トレース テスト ケース

このツールを使用すると、予測できる方法でポリシーフローをテストし、実際のトラフィックを実際のデバイスから発信することなく、ポリシーの設定方法を確認および検証できます。

テストケースで使用する属性と値のリストを設定できます。これらの詳細情報を使用して、ポリシーシステムとのやり取りが行われ、実行時のポリシー呼び出しがシミュレートされます。

属性はディクショナリを使用して設定できます。[属性(Attributes)] フィールドに、単純な RADIUS 認証で使用可能なディクショナリがすべて示されます。


(注)  

単純な RADIUS 認証のテストケースのみを設定できます。

セッション トレース テスト ケースの設定

始める前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

[操作(Operations)]Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般的なツール(General Tools)] > [セッション トレース テスト ケース(Session Trace Test Cases)]。

ステップ 2

[Add] をクリックします。

ステップ 3

[テストの詳細(Test Details)] タブで、テストケースの名前と説明を入力します。

ステップ 4

事前に定義されたテストケースを 1 つ選択するか、または必須属性とその値を設定します。使用可能な事前定義テスト ケースを次に示します。

  • [基本認証済みアクセス(Basic Authenticated Access)]

  • [プロファイリングされている Cisco Phone(Profiled Cisco Phones)]

  • [準拠デバイス アクセス(Compliant Devices Access)]

  • [Wi-Fi ゲスト(リダイレクト)(Wi-Fi Guest (Redirect))]

  • [Wi-Fi ゲスト(アクセス)(Wi-Fi Guest (Access))]

事前定義テストケースを選択すると、Cisco ISE によりそのテストケースの関連する属性に自動的に値が取り込まれます。これらの属性のデフォルト値を使用するか、または表示されるオプションから値を選択できます。テストケースにカスタム属性を追加することもできます。

テストケースに追加する属性と値は、([カスタム属性(Custom Attributes)] フィールドの下の)[テキスト(Text)] フィールドに表示されます。[テキスト(Text)] フィールドの内容を編集すると、Cisco ISE により更新後の内容の有効性と構文がチェックされます。

[テストの詳細(Test Details)] ウィンドウの下部で、すべての属性の概要を確認できます。

ステップ 5

[送信] をクリックします。

Cisco ISE はテストの詳細を保存する前に、属性と属性の値を検証してエラーがある場合はエラーを表示します。

ステップ 6

[テスト ビジュアライザ(Test Visualizer)] タブで、このテスト ケースを実行するノードを選択します。

(注)  

 

[ISE ノード(ISE Node)] ドロップダウン リストには、ポリシー サービス ペルソナを担当するノードだけが表示されます。

[ユーザー グループ/属性(User Groups/Attributes)] をクリックして、外部 ID ストアからユーザーのグループと属性を取得します。

ステップ 7

[実行(Execute)] をクリックします。

Cisco ISE がテストケースを実行し、テストケースのステップごとの結果が表形式で表示されます。ポリシー ステージ、一致ルール、結果オブジェクトが表示されます。緑色のアイコンをクリックして各ステップの詳細を表示します。

ステップ 8

(任意)[以前のテスト実行(Previous Test Executions)] タブをクリックし、以前のテストの実行結果を表示します。2 つのテストケースを選択して比較することもできます。Cisco ISE では、各テストケースの属性の比較ビューが表形式で表示されます。

ステップ 9

[RADIUS ライブログ(RADIUS Live Logs)] ウィンドウから [セッション トレース テスト ケース(Session Trace Test Case)] ツールを起動できます。[セッション トレース テスト ケース(Session Trace Test Case)] ツールを起動するには、[ライブログ(Live Logs)] ウィンドウでエントリを選択し、([詳細(Details)] 列の)[アクション(Actions)] アイコンをクリックします。Cisco ISE により、対応するログ エントリから関連する属性と値が抽出されます。必要に応じてそれらの属性と値を変更してから、テストケースを実行できます。

着信トラフィックを検証する TCP ダンプユーティリティ

パケットをスニッフィング する TCP ダンプユーティリティを使用して、予定していたパケットがノードに到達したかどうかを確認できます。たとえば、レポートに示されている着信認証またはログがない場合、着信トラフィックがないのではないか、または着信トラフィックが Cisco ISE に到達できないのではないかと疑われる場合があります。このような場合、検証するためにこのツールを実行できます。

TCP ダンプオプションを設定し、ネットワークトラフィックからデータを収集して、ネットワークの問題をトラブルシューティングできます。

ネットワーク トラフィックのモニターリングでの TCP ダンプの使用

[TCP ダンプ(TCP Dump)] ウィンドウには、作成した TCP ダンププロセスファイルが一覧表示されます。目的に応じて異なるファイルを作成し、必要に応じて実行し、不要になったら削除できます。

収集するデータは、サイズ、ファイル数、プロセスの実行時間を指定することによって制御できます。制限時間内にプロセスが終了し、ファイルが最大サイズ未満で、複数のファイルを有効にしている場合、プロセスは続行され、別のダンプファイルが作成されます。

ボンディングされたインターフェイスを含む、複数のインターフェイスで TCP ダンプを実行できます。


(注)  

可読形式のオプションはなくなり、ダンプファイルは常に RAW 形式になります。

シスコは、リポジトリへの IPv6 接続をサポートしています。

始める前に

[TCP ダンプ(TCP Dump)] ウィンドウの [ネットワーク インターフェイス(Network Interface)] ドロップダウンリストには、IPv4 または IPv6 アドレスが設定されているネットワーク インターフェイス カード(NIC)のみが表示されます。VMware のデフォルトでは、すべての NIC が接続されるため、すべての NIC に IPv6 アドレスが設定されて、[ネットワーク インターフェイス(Network Interface)] ドロップダウンリストに表示されます。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)]

ステップ 2

[ホスト名(Host Name)] ドロップダウンリストから、TCP ダンプユーティリティのソースを選択します。

ステップ 3

[ネットワーク インターフェイス(Network Interface)] ドロップダウンリストから、モニターするインターフェイスを選択します。

ステップ 4

[フィルタ(Filter)] フィールドに、フィルタ処理のもとになるブール式を入力します。

サポートされている標準 TCP ダンプフィルタ式は、次のとおりです。

  • ip host 10.77.122.123

  • ip host ISE123

  • ip host 10.77.122.123 and not 10.77.122.119

ステップ 5

この TCP ダンププロセスの [ファイル名(File Name)] を入力します。

ステップ 6

[リポジトリ(Repository)] ドロップダウンリストから、TCP ダンプログファイルを保存するリポジトリを選択します。

ステップ 7

[ファイルサイズ(File Size)] ドロップダウンリストから、最大ファイルサイズを選択します。

ダンプがこのファイルサイズを超えると、新しいファイルが開いてダンプが続行されます。新しいファイルに変わるまでダンプを続行できる回数は、[制限(Limit to)] 設定によって制限されます。

ステップ 8

[制限(Limit to)] オプションを使用すると、ダンプを拡張できるファイルの数を制限できます。

ステップ 9

[時間制限(Time Limit)] オプションを使用すると、ダンプが終了するまでの実行時間を設定できます。

ステップ 10

[オン(On)] または [オフ(Off)] をクリックして無差別モードを設定します。デフォルトは [On] です。

無差別モードは、ネットワーク インターフェイスがシステムの CPU にすべてのトラフィックを渡すデフォルト パケット スニッフィング モードです。[オン(On)] のままにしておくことを推奨します。

TCP ダンプ ファイルの保存

始める前に

ネットワークトラフィックのモニタリングでの TCP ダンプの使用」の項の説明に従って、タスクを完了しておく必要があります。


(注)  

Cisco ISE CLI を使用して TCP ダンプにアクセスすることもできます。詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)]

ステップ 2

[フォーマット(Format)] ドロップダウンリストからオプションを選択します。[可読(Human Readable)] がデフォルトです。

ステップ 3

[ダウンロード(Download)] をクリックし、目的の場所に移動して、[保存(Save)] をクリックします。

ステップ 4

(任意)以前のダンプファイルを保存せずに削除するには、[削除(Delete)] をクリックします。

エンドポイントまたはユーザーの予期しない SGACL の比較

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(TrustSec Tools)] > [出力(SGACL)ポリシー(Egress (SGACL) Policy)] を選択します。

ステップ 2

SGACL ポリシーを比較する TrustSec デバイスのネットワークデバイス IP アドレスを入力します。

ステップ 3

[実行(Run)] をクリックします。

ステップ 4

[ユーザー入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。

ステップ 5

[送信(Submit)] をクリックします。

ステップ 6

[結果概要の表示(Show Results Summary)] をクリックして、診断および推奨される解決手順を表示します。

出力ポリシー診断フロー

出力ポリシー診断ツールでは、次の表に示すプロセスが使用されます。

プロセス ステージ

説明

1

指定した IP アドレスを使用してデバイスに接続し、送信元 SGT と宛先 SGT の各ペアに対するアクセスコントロールリスト(ACL)を取得します。

2

Cisco ISE に設定された出力ポリシーをチェックし、送信元 SGT と宛先 SGT の各ペアに対する ACL を取得します。

3

ネットワーク デバイスから取得された SGACL ポリシーと、Cisco ISE から取得された SGACL ポリシーを比較します。

4

ポリシーが一致しない送信元 SGT と宛先 SGT のペアを表示します。また、追加情報として、一致するエントリも表示します。

SXP-IP マッピングを持つ TrustSec 対応ネットワークの接続問題のトラブルシューティング

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(TrustSec Tools)] > [SXP-IP マッピング(SXP-IP Mappings)] を選択します。

ステップ 2

ネットワーク デバイスの IP アドレスを入力します。

ステップ 3

[選択(Select)] をクリックします。

ステップ 4

[実行(Run)] をクリックします。

Expert Troubleshooter によって、ネットワークデバイスから TrustSec SXP 接続が取得されて、ピア SXP デバイスを選択するように要求するプロンプトが再表示されます。

ステップ 5

[ユーザー入力必須(User Input Required)] をクリックし、必要な情報をフィールドに入力します。

ステップ 6

SXP マッピングを比較するピア SXP デバイスのチェックボックスをオンにして、共通接続パラメータを入力します。

ステップ 7

[送信(Submit)] をクリックします。

ステップ 8

[結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。

IP-SGT マッピングを持つ TrustSec 対応ネットワークの接続問題のトラブルシューティング

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(TrustSec Tools)] > [IP ユーザー SGT(IP User SGT)] を選択します。

ステップ 2

必要に応じてフィールドに情報を入力します。

ステップ 3

[実行(Run)] をクリックします。

追加入力が要求されます。

ステップ 4

[ユーザー入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。

ステップ 5

[送信(Submit)] をクリックします。

ステップ 6

[結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。

デバイス SGT ツール

TrustSec ソリューションが有効なデバイスの場合、RADIUS 認証によって各ネットワークデバイスに SGT 値が割り当てられます。デバイス SGT 診断ツールは、(提供された IP アドレスを使用して)ネットワーク デバイスに接続し、ネットワーク デバイス SGT 値を取得します。次に RADIUS 認証レコードをチェックして、割り当てられた最新の SGT 値を特定します。最後に、デバイス SGT ペアを表形式で表示して、SGT 値が同じであるかどうかを特定します。

デバイス SGT マッピングの比較による TrustSec 対応ネットワークの接続問題のトラブルシューティング

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [デバイス SGT(Device SGT)] を選択します。

ステップ 2

必要に応じてフィールドに情報を入力します。

デフォルトのポート番号は、Telnet は 23、SSH は 22 です。

ステップ 3

[実行(Run)] をクリックします。

ステップ 4

[結果概要の表示(Show Results Summary)] をクリックして、デバイス SGT 比較の結果を表示します。

その他のトラブルシューティング情報の入手

Cisco ISE を使用すると、管理者ポータルから、サポートおよびトラブルシューティング情報をダウンロードできます。サポートバンドルを使用して、Cisco Technical Assistance Center(TAC)が Cisco ISE の問題をトラブルシューティングするための診断情報を準備できます。


(注)  

サポート バンドルおよびデバッグ ログにより、高度なトラブルシューティング情報が TAC に提供されます。サポート バンドルおよびデバッグ ログは解釈が困難です。Cisco ISE で提供されるさまざまなレポートおよびトラブルシューティング ツールを使用して、ネットワークで直面している問題を診断およびトラブルシューティングできます。

Cisco ISE のサポート バンドル

サポートバンドルに含めるログを設定できます。たとえば、特定のサービスのログをデバッグログに含めるように設定できます。また、日付に基づいてログをフィルタリングできます。

ダウンロードできるログは、次のように分類されます。

  • 完全な設定データベース:Cisco ISE 設定データベースは、可読の XML 形式です。問題をトラブルシューティングする場合、このデータベース設定を別の Cisco ISE ノードにインポートして、シナリオを再現できます。

  • デバッグログ:ブートストラップ、アプリケーション設定、ランタイム、展開、公開キーインフラストラクチャ(PKI)情報、およびモニタリングとレポートがキャプチャされます。

    デバッグ ログによって、特定の Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。デバッグログを有効にするには、「Logging」の第 11 章を参照してください。デバッグ ログを有効にしない場合、情報メッセージ(INFO)はすべてサポート バンドルに含まれます。詳細については、Cisco ISE デバッグ ログを参照してください。

  • ローカルログ:Cisco ISE で実行されるさまざまなプロセスからの syslog メッセージが含まれています。

  • コアファイル:クラッシュの原因の特定に役立つ重要な情報が含まれています。これらのログは、アプリケーションがクラッシュしたためアプリケーションにヒープダンプが含まれている場合に作成されます。

  • モニタリングおよびレポートログ:アラートおよびレポートに関する情報が含まれています。

  • システムログ:Cisco Application Deployment Engine(ADE)関連の情報が含まれています。

  • ポリシー設定:Cisco ISE で設定されたポリシーが人間が読み取れる形式で含まれています。

これらのログは、Cisco ISE CLI から backup-logs コマンドを使用してダウンロードできます。詳細については、『Cisco Identity Services Engine CLI リファレンス ガイド』を参照してください。


(注)  

インラインポスチャノードの場合、管理者ポータルからサポートバンドルをダウンロードできません。backup-logs コマンドは、Cisco ISE CLI から使用する必要があります。

これらのログを管理者ポータルからダウンロードすることを選択した場合、次の操作を実行できます。

  • デバッグログやシステムログなどのログタイプに基づいて、ログのサブセットのみをダウンロードします。

  • 選択したログ タイプの最新の「n」個のファイルのみをダウンロードします。このオプションによって、サポート バンドルのサイズとダウンロードにかかる時間を制御できます。

モニタリング ログによって、モニタリング、レポート、およびトラブルシューティング機能に関する情報が提供されます。ログのダウンロードの詳細については、Cisco ISE ログ ファイルのダウンロードを参照してください。

サポート バンドル

サポート バンドルは、単純な tar.gpg ファイルとしてローカル コンピュータにダウンロードできます。サポート バンドルは、日付とタイム スタンプを使用して、ise-support-bundle_ise-support-bundle-mm-dd-yyyy--hh-mm.tar..gpg という形式で名前が付けられます。ブラウザに、適切な場所にサポート バンドルを保存するように要求するプロンプトが表示されます。サポートバンドルの内容を抽出し、README.TXT ファイルを表示できます。このファイルには、サポートバンドルの内容と、ISE データベースがサポートバンドルに含まれている場合はその内容をインポートする方法が示されています。

Cisco ISE ログ ファイルのダウンロード

ネットワークでの問題のトラブルシューティング時に、Cisco ISE ログ ファイルをダウンロードして、詳細情報を確認できます。

インストールとアップグレードに関する問題のトラブルシューティングを行うには、ADE-OS やその他のログファイルを含む、システムログをダウンロードすることもできます。

サポートバンドルをダウンロードする際、暗号キーを手動で入力する代わりに、暗号化用の公開キーを使用することを選択できます。このオプションを選択すると、Cisco PKI はサポート バンドルの暗号化および復号化に使用されます。Cisco TAC は、公開キーと秘密キーを保持します。Cisco ISE はサポート バンドルの暗号化に公開キーを使用します。Cisco TAC は、秘密キーを使用してサポート バンドルを復号化できます。このオプションは、トラブルシューティング用に Cisco TAC にサポート バンドルを提供する場合に使用します。オンプレミスの問題をトラブルシューティングしている場合、共有キー暗号化を使用します。

始める前に

  • 次のタスクを実行するには、スーパー管理者またはシステム管理者の権限が必要です。

  • デバッグログとデバッグログレベルを設定する必要があります。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンスノードリスト(Appliance node list)] を選択します。

ステップ 2

サポート バンドルをダウンロードするノードをクリックします。

ステップ 3

[サポートバンドル(Support Bundle)] タブでは、サポートバンドルに入力するパラメータを選択します。

すべてのログを含めると、サポート バンドルが大きくなりすぎて、ダウンロードに時間がかかります。ダウンロード プロセスを最適化するには、最新の n ファイルのみをダウンロードするように選択します。

ステップ 4

サポートバンドルを生成する [開始日(From date)] と [終了日(To date)] を入力します。

ステップ 5

次のいずれかを実行します。

  • [公開キー暗号化(Public Key Encryption)]:トラブルシューティング用に Cisco TAC にサポートバンドルを提供する場合は、このオプションを選択します。
  • [共有キー暗号化(Shared Key Encryption)]:オンプレミスでローカルに問題をトラブルシューティングする場合は、このオプションを選択します。このオプションを選択すると、サポート バンドル用の暗号キーを入力する必要があります。

ステップ 6

サポート バンドルの暗号キーを入力し、再入力します。

ステップ 7

[サポート バンドルの作成(Create Support Bundle)] をクリックします。

ステップ 8

[ダウンロード(Download)] をクリックして、新しく作成されたサポート バンドルをダウンロードします。

サポート バンドルは、アプリケーション ブラウザを実行しているクライアント システムにダウンロードされる tar.gpg ファイルです。

次のタスク

特定のコンポーネントのデバッグログをダウンロードします。

Cisco ISE デバッグ ログ

デバッグ ログには、さまざまな Cisco ISE コンポーネントのトラブルシューティング情報が含まれています。デバッグログには、過去 30 日間に生成された重大なアラームと警告アラーム、過去 7 日間に生成された情報アラームが含まれています。問題を報告しているときに、これらのデバッグ ログを有効にして、問題の診断と解決のためにこれらのログを送信するよう求められる場合があります。


(注)  

高負荷のデバッグログ(モニタリングデバッグログなど)を有効にすると、高負荷に関するアラームが生成されます。

デバッグ ログの入手

手順

ステップ 1

デバッグログを入手するコンポーネントを設定します。

ステップ 2

デバッグ ログをダウンロードします。

Cisco ISE コンポーネントおよび対応するデバッグログ

表 7. コンポーネントおよび対応するデバッグ ログ
コンポーネント デバッグ ログ
Active Directory ad_agent.log
Cache Tracker tracking.log
Entity Definition Framework (EDF) edf.log
JMS ise-psc.log
License ise-psc.log
Notification Tracker tracking.log
Replication-Deployment replication.log
Replication-JGroup replication.log
Replication Tracker tracking.log
RuleEngine-Attributes ise-psc.log
RuleEngine-Policy-IDGroups ise-psc.log
accessfilter ise-psc.log
admin-infra ise-psc.log
boot-strap wizard ise-psc.log
cellular-config ise-psc.log
cellular-config-api api-service.log
cellular-config-ui ise-psc.log
cellular-mnt collector.log
cisco-mnt ise-psc.log
client ise-psc.log
cpm-clustering ise-psc.log
cpm-mnt ise-psc.log
epm-pdp ise-psc.log
epm-pip ise-psc.log
anc ise-psc.log

anc

ise-psc.log
ers ise-psc.log
guest ise-psc.log

Guest Access Admin

guest.log

Guest Access

guest.log

MyDevices

guest.log

Portal

guest.log

Portal-Session-Manager

guest.log

Portal-web-action

guest.log

guestauth ise-psc.log
guestportal ise-psc.log
identitystore-AD ise-psc.log
infrastructure ise-psc.log
ipsec-api api-service.log
ipsec-ui ise-psc.log
mdm ise-psc.log
mdm-pip ise-psc.log
mnt-report reports.log
mydevices ise-psc.log
nsf ise-psc.log
nsf-session ise-psc.log
org-apache ise-psc.log
org-apache-cxf ise-psc.log
org-apache-digester ise-psc.log
posture ise-psc.log
profiler profiler.log
provisioning ise-psc.log
policy-engine ise-psc.log
prrt-JNI prrt-management.log
runtime-AAA prrt-management.log
runtime-config prrt-management.log
runtime-logging prrt-management.log
sponsorportal ise-psc.log
swiss ise-psc.log
telemetry sch.log

機能別のデバッグウィザードの設定

デバッグウィザードには、Cisco ISE ノードの問題のトラブルシューティングに使用できるデバッグテンプレートが含まれています。デバッグプロファイルとデバッグログを設定できます。

[デバッグプロファイルの構成(Debug Profile Configuration)] ウィンドウでは、テンプレート内にある個々のコンポーネントのデバッグログのシビラティ(重大度)レベルを設定できます。

[デバッグログの構成(Debug Log Configuration)] ウィンドウでは、デバッグログのシビラティ(重大度)レベルを設定できます。デバッグ ログにより、ブートストラップ、アプリケーション設定、ランタイム、展開、モニタリングとレポート、および公開キー インフラストラクチャ(PKI)に関する情報が取得されます。


(注)  

  • ノードごとのログレベルが、デバッグウィザードのプロファイルよりも優先されます。

  • 同じコンポーネントを編集する複数のプロファイルを有効にすると、トレースの優先順位が最も高いログレベルが優先されます。
手順

ステップ 1

デバッグプロファイルを設定するには、Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [デバッグウィザード(Debug Wizard)] > [デバッグプロファイルの構成(Debug Profile Configuration)] を選択します。

ステップ 2

新しいプロファイルを作成するには、[追加(Add)] をクリックします。

ステップ 3

新しいプロファイルの名前説明を入力します。

ステップ 4

プロファイルに含めるコンポーネントの横にあるチェックボックスをオンにし、各コンポーネントに対応する [ログレベル(Log Level)] を設定します。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

ISE ノードをただちに有効にするには、[有効化(Enable)] をクリックします。それ以外の場合は、[後で実行(Do it Later)] をクリックします。

ステップ 7

[有効化(Enable)] をクリックした場合は、プロファイルを有効にする ISE ノードの横にあるチェックボックスをオンにします。

ステップ 8

[Save] をクリックします。

ステップ 9

デバッグログを設定するには、Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [デバッグウィザード(Debug Wizard)] > [デバッグログの構成(Debug Log Configuration)] を選択します。

ステップ 10

オプションボタンをクリックしてノードを選択します。

ステップ 11

オプションボタンをクリックしてコンポーネントを選択します。

ステップ 12

[編集(Edit)] をクリックして、コンポーネントの [コンポーネント名(Component Name)]、[ログレベル(Log Level)]、[説明(Description)]、[ログファイル名(Log File Name)] を変更します。

ステップ 13

[Save] をクリックします。

デバッグ ログのダウンロード

始める前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンスノードリスト(Appliance node list)] を選択します。

ステップ 2

[アプライアンスノードリスト(Appliance node list)] で、デバッグログをダウンロードするノードをクリックします。

ステップ 3

[デバッグ ログ(Debug Logs)] タブをクリックします。

デバッグ ログ タイプとデバッグ ログのリストが表示されます。このリストは、デバッグ ログの設定に基づいています。

ステップ 4

ダウンロードするログ ファイルをクリックし、クライアント ブラウザを実行しているシステムに保存します。

必要に応じて、このプロセスを繰り返して他のログ ファイルをダウンロードできます。次に、[デバッグログ(Debug Logs)] ウィンドウからダウンロードできるその他のデバッグログを示します。

  • isebootstrap.log:ブートストラップ ログ メッセージを提供します

  • monit.log:ウォッチドッグメッセージを提供します

  • pki.log:サードパーティの暗号ライブラリログを提供します。

  • iseLocalStore.log:ローカルストアファイルに関するログを提供します

  • ad_agent.log:Microsoft Active Directory サードパーティ ライブラリ ログを提供します

  • catalina.log:サードパーティログを提供します