简介
本文档介绍如何通过CLI或GUI从Cisco ISE 3.x收集支持捆绑包, 包含ISE故障排除所需的重要数据。
收集思科ISE上的支持捆绑包
步骤1:启用ISE组件的调试
ISE上的各种问题需要不同的日志集进行故障排除。TAC工程师必须提供所需调试的完整列表。但是,ISE 3.x具有预配置的调试类别,您可以使用这些类别来收集初始徽标,以加快案例解决速度。
TAC工程师请求的调试列表必须始终优先于此列表。
要查找这些预配置的调试,请导航至 Operations > Troubleshoot > Debug Wizard > Debug Profile Configuration
.
选择必须启用调试的功能,并在每行开头选择适当的复选框,例如802.1x(红色),然后导航到节点选择(绿色):
然后,选择必须启用这些调试的节点,并在每行开头选择适当的复选框(红色)并保存更改(绿色):
页面移回调试配置文件配置,调试状态更改为ENABLED,显示运行这些调试的节点的相关信息。
第二步:重新创建问题
启用所有需要的调试后,请重新创建问题以生成日志。如果无法手动触发问题,则必须等待下次出现。如果在启用调试之前出现问题,则没有足够的信息进行故障排除。理想情况下,必须在问题发生后立即收集支持捆绑包。记录日志分析所需的辅助信息:
- 娱乐时间戳
- 事件的任何唯一id,如MAC地址、IP地址、用户名或会话ID(取决于具体情况,通常是MAC/IP +用户名足够了)
第三步:禁用调试
重新创建问题后,请立即禁用调试,以防止新生成的日志被过多的日志记录覆盖。为此,请重复第1步中的操作。现在,在节点选择页面上,取消选中正确的复选框并像以前一样进行保存。
第四步:收集支持捆绑包
导航至 Operations > Troubleshooting > Download Logs
并选择ISE节点(启用调试的节点)。在每个节点的选项卡上,有两个选项:收集支持捆绑包(红色)或下载特定日志文件 — Debug Logs(橙色)。
对于Debug Logs,将显示所有可用日志文件的完整列表。单击文件名称后,即会下载该文件。
支持捆绑包是一个包含选定组中的所有日志的软件包。
- 完整配置数据库将完整ISE配置附加到支持捆绑包
- 调试日志最常用,因为它们包含来自所有ISE组件的所有调试
- 本地日志包含显示部署中此节点的RADIUS身份验证的日志
- 核心文件可能导致支持捆绑包增长,但在故障故障排除期间需要使用
- 监控和报告日志包含操作数据
- 系统日志包含系统特定日志(用于排除操作系统提供的服务故障)
- 策略配置 —
xml
ise上已配置策略的版本
对于大多数情况,只包括调试日志和本地日志就足够了。对于稳定性和性能问题,还需要核心和系统日志。如果您仅选择公钥加密,则TAC可以使用思科私钥解密此捆绑包。共享密钥允许您设置解密日志所需的密码。如果是共享密钥,请确保TAC工程师有权访问它,以便在思科端解密捆绑包。
设置好所有内容后,单击 Create Support Bundle
按钮并等待。
完成创建支持捆绑包的流程后,即可下载该捆绑包。点击 Download
按钮,支持捆绑包将保存在PC的本地磁盘上,并可上传到TAC进行故障排除。
如果Web界面不可用,您可以从CLI收集支持捆绑包。为此,请使用SSH或控制台访问登录并使用命令:
backup-logs name repository ftp {encryption-key plain key | public-key}
name — 您的支持捆绑包的名称
ftp - ISE上配置的存储库的名称
key — 用于加密/解密支持捆绑包的密钥
用于上传支持捆绑包的官方工具是https://mycase.cloudapps.cisco.com/case。
请勿压缩或更改支持捆绑包文件的扩展名。必须以ISE下载时完全相同的状态上传。