Cisco Identity Services Engine에서 지원 번들 수집

소개

이 문서에서는 Cisco ISE(Identity Services Engine)에서 지원 번들을 수집하는 방법에 대해 설명합니다. 지원 번들에는 ISE 문제 해결을 위한 키 정보 가 포함됩니다.지원 번들 모음은 CLI 및 GUI를 통해 모두 작성할 수 있습니다. 

Cisco ISE에서 지원 번들 수집

1단계. ISE 구성 요소에 대한 디버깅 활성화

ISE에서 다양한 문제를 해결하려면 각기 다른 로그 집합이 필요합니다.필요한 디버깅 전체 목록은 TAC 엔지니어가 제공해야 합니다.이 문서에서는 ISE 문제 해결에 사용되는 일반적인 문제 및 디버그에 대한 정보를 제공합니다.이 목록의 목적은 TAC 케이스의 초기 트러블슈팅 중에 케이스 해결 속도를 높이고 추가 정보를 제공하는 로그를 수집하는 데 도움이 되는 것입니다.

TAC 엔지니어가 요청한 디버깅 목록은 항상 이 목록에 우선해야 합니다. 

문제	구성 요소 이름
인증/권한 부여	runtime-AAA(디버그) runtime-config(디버그) 런타임 로깅(디버그) epm-pdp(디버그) prrt-JNI(디버그)
Active Directory	Active Directory(추적) ID-store-AD(디버그)
게스트 포털	guest-admin-access(디버그) guest-admin(디버그) guestaccess(디버그) 포털(디버그) portal-session-manager(디버그) portal-web-action(디버그)
스폰서 포털	sponsorportal(디버그) 포털(디버그) portal-session-manager(디버그) portal-web-action(디버그)
SMS, 이메일 알림	게스트 또는 스폰서 포털 디버깅(위 참조) NotificationTracker(디버그) 패킷 캡처
MDM	mdmportal(추적) external-mdm(추적) 패킷 캡처
클라이언트 프로비저닝	client-webapp(디버그) 프로비저닝(디버그) 포털(디버그) portal-session-manager(디버그) portal-web-action(디버그)
BYOD	client-webapp(디버그) certprovisioningportal(디버그) oscp-responder(디버그) 프로비저닝(디버그) 포털(디버그) portal-session-manager(디버그) portal-web-action(디버그)
프로파일링	프로파일러(디버그)
엔드포인트 관련 문제	프로파일러(디버그) ers(디버그) epm-pap-api.service(디버그) mydevices(디버그)
상태	posture(디버그) client-webapp(디버그) 프로비저닝(디버그)
복제/동기화	복제 구축(디버그) Replication-JGroup(디버그) ReplicationTracker(디버그)
모니터링/로그	cpm-mnt(디버그) cisco-mnt(디버그) vcs(디버그) vcs-db(디버그) 보고서(디버그)

Administration(관리) > System Logging(시스템 로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)으로 이동하고 디버그를 활성화해야 하는 ISE 노드를 선택합니다.

적절한 구성 요소 이름(빨간색)을 선택하고 로그 수준을 디버그(주황색)로 높입니다.

Save(저장) 버튼(자주색)을 클릭하여 변경을 확인합니다. 디버그 목록의 각 디버그(이 문서에서 또는 TAC 엔지니어가 제공)에 대해 위의 작업을 반복해야 합니다. 

2단계. 문제를 다시 만듭니다. 

필요한 모든 디버그가 활성화되면 문제를 다시 만들어 로그를 생성합니다.문제를 수동으로 트리거할 수 없는 경우 다음 발생을 기다려야 합니다.디버깅을 사용하도록 설정하기 전에 문제가 발생한 경우 문제 해결을 위한 정보가 충분하지 않을 수 있습니다.지원 번들은 문제가 발생한 후 바로 수집해야 합니다.로그 분석에 필요한 보조 정보를 기록합니다.

• 재생성 타임스탬프
• MAC 주소, IP 주소, 사용자 이름, 세션 ID와 같은 이벤트에 대한 고유 ID(상황에 따라 달라짐, 일반적으로 MAC/IP + 사용자 이름이 충분함)

3단계. 디버그 사용 안 함

문제가 다시 생성된 후 즉시 디버그를 비활성화하여 광범위한 로깅이 문제를 위해 방금 생성한 로그를 덮어쓰지 않도록 합니다. 

4단계. 지원 번들 수집

탭으로 이동합니다.Operations(운영) > Troubleshooting(문제 해결) > Download Logs(로그 다운로드)를 선택하고 ISE 노드(디버그가 활성화된 노드)를 선택합니다.

각 노드의 탭에는 두 가지 옵션이 있습니다.지원 번들(빨간색) 수집 또는 특정 로그 파일 다운로드 - 디버그 로그(주황색)

디버그 로그의 경우 사용 가능한 모든 로그 파일의 전체 목록이 표시됩니다.파일 이름을 클릭하면 다운로드됩니다.

지원 번들은 선택한 그룹의 모든 로그를 포함하는 패키지입니다.

• 전체 컨피그레이션 데이터베이스는 전체 ISE 컨피그레이션을 지원 번들에 연결합니다.
• 디버그 로그는 모든 ISE 구성 요소의 모든 디버그를 포함하므로 가장 일반적으로 사용됩니다.
• 로컬 로그는 구축에서 이 특정 노드에 대한 Radius 인증을 표시하는 로그를 포함합니다.
• 코어 파일을 사용하면 지원 번들의 크기가 커질 수 있지만 충돌 문제 해결 과정에서 필요합니다.
• 모니터링 및 보고 로그에는 운영 데이터,
• 시스템 로그에는 시스템 특정 로그(OS에서 제공하는 문제 해결 서비스의 경우)가 포함됩니다.
• 정책 구성 - ISE에서 구성된 정책의 xml 버전.

디버그 로그 및 로컬 로그를 포함한 대부분의 시나리오에서는 충분합니다.안정성 및 성능 문제를 위해서는 코어 및 시스템 로그도 필요합니다. 공개 키 암호화를 선택하면 TAC만 Cisco 개인 키를 사용하여 이 번들의 암호를 해독할 수 있습니다.공유 키를 사용하면 로그를 해독하는 데 필요한 암호를 설정할 수 있습니다.공유 키의 경우, TAC 엔지니어가 액세스할 수 있도록 해야 Cisco 측에서 번들을 해독할 수 있습니다. 

모두 설정되면 Create Support Bundle(지원 번들 생성) 버튼을 클릭하고 기다립니다.

지원 번들 생성 프로세스가 완료되면 지원 번들을 다운로드할 수 있습니다.Download(다운로드) 버튼 Support Bundle(지원 번들)을 클릭하면 PC의 로컬 디스크에 저장되며 문제 해결을 위해 TAC에 업로드할 수 있습니다.

웹 인터페이스를 사용할 수 없는 경우 CLI에서 지원 번들을 수집할 수 있습니다.이렇게 하려면 SSH 또는 콘솔 액세스를 사용하여 로그인하고 명령을 사용합니다.

backup-logs name repository ftp {encryption-key plain key | public-key}

name - 지원 번들 이름

ftp - ISE에 구성된 저장소의 이름 

key - 지원 번들 암호화/해독 시 사용되는 키입니다.

지원 번들 업로드를 위한 공식 툴:

https://mycase.cloudapps.cisco.com/case

지원 번들 파일의 확장명을 압축 또는 변경하지 마십시오.ISE에서 다운로드한 것과 동일한 상태로 업로드해야 합니다.