审计
|
自适应网络控制审计
|
自适应网络控制审计报告以 RADIUS 计费为基础。它可以显示每个终端所有网络会话的历史报告数据。
|
选择,然后选择“已通过身份验证”(Passed Authentications) 和 RADIUS 计费 (RADIUS Accounting)。
|
Administrator Logins
|
管理员登录报告提供关于所有基于 GUI 的管理员登录事件以及成功的 CLI 登录事件的信息。
|
选择,然后选择“管理和操作审核”(Administrative and Operational Audit)。
|
更改配置审核
|
更改配置审核报告提供关于指定时间内配置更改的详细信息。如果需要对某个功能进行故障排除,此报告可以帮助您确定是不是最近的配置更改导致了问题。
|
选择,然后选择“管理和操作审核”(Administrative and Operational Audit)。
|
数据清除审核
|
数据清除审核报告记录何时清除了日志记录数据。
此报告会反映两个数据清除来源。
每天凌晨 4 点,思科 ISE 会检查是否有任何日志记录文件符合您在“管理”(Administration) > “维护”(Maintenance) > “数据清除”(Data Purging) 页面设置的条件。如有,思科 ISE 会删除这些文件并将其记录于此报告中。此外,思科
ISE 继续为日志文件保留最多 80% 的已用存储空间。思科 ISE 每小时都会检查此百分比并删除最早的数据,直到再次达到此 80% 的阈值。这些信息也会记录于此报告中。
如果磁盘空间利用率高,系统会在达到 80% 阈值时显示一条警报消息,说明 ISE 监控节点即将超过最大分配量 (ISE Monitor node(s) is about to exceed the maximum amount allocated is displayed at the 80 percent threshold)。随后,系统会在达到 90% 阈值显示一条警报消息,说明 ISE 监控节点已超过最大分配量 (ISE Monitor node(s) has exceeded the maximum amount allocated)。
|
-
|
终端清除活动
|
用户可以通过终端清除活动报告查看终端清除活动的历史记录。此报告要求启用“分析器”(Profiler) 日志记录类别。该类别在默认情况下已启用。
|
选择,然后选择“分析器”(Profiler)。
|
内部管理员摘要
|
您可以通过内部管理员摘要报告验证管理员用户的注册情况。您还可以从此报告访问管理员登录和更改配置审核报告,从而可以查看每个管理员的此类详细信息。
|
-
|
操作审核
|
操作审核报告提供关于任何操作变更的详细信息,例如运行备份、注册思科 ISE 节点或重新启动应用。
|
选择,然后选择“管理和操作审核”(Administrative and Operational Audit)。
|
pxGrid Administrator Audit
|
pxGrid 管理员审核报告提供关于 pxGrid 管理操作的详细信息,例如在主 PAN 上注册客户端、注销客户端、批准客户端、创建主题、删除主题、添加发布者-订用者,以及删除发布者-订用者。
每条记录都会注明在节点上执行相应操作的管理员名称。
您可以根据管理员和消息条件过滤 pxGrid 管理员审核报告。
|
-
|
Secure Communications Audit
|
安全通信审核报告提供关于思科 ISE 管理员 CLI 中的安全性相关事件的审核详细信息,该管理员 CLI 包括:身份验证失败、可能的入侵尝试、SSH 登录、失效密码、SSH 注销和无效用户帐户等。
|
-
|
用户更改密码审核
|
用户更改密码审核报告显示关于员工密码更改的验证信息。
|
管理和操作审核
|
设备管理
|
身份验证摘要
|
TACACS 身份验证摘要报告会详细说明最常见的身份验证以及身份验证失败的原因。
|
—
|
TACACS 计费
|
TACACS 计费报告为设备会话提供计费的详细信息。它显示用户和设备的生成和日志记录时间的相关信息。
|
选择,然后选择 TACACS 计费。
|
不同失败原因的前 N 个身份验证
|
“不同失败原因的前 N 个身份验证”(Top N Authentication by Failure Reason) 报告根据所选参数显示特定期间内不同失败原因的身份验证总数。
|
—
|
不同网络设备的前 N 个身份验证
|
“不同网络设备的前 N 个身份验证”(Top N Authentication by Network Device) 报告根据所选参数按网络设备名称显示特定期间内已通过和已失败的身份验证数量。
|
—
|
不同用户的前 N 个身份验证
|
“不同用户的前 N 个身份验证”(Top N Authentication by User) 报告根据所选参数按用户名显示特定期间内已通过和失败的身份验证数量。
|
—
|
诊断
|
AAA 诊断
|
AAA 诊断报告提供思科 ISE 和用户之间所有网络会话的详细信息。如果用户无法访问网络,您可查看此报告以确定其动态并明确问题是仅限于特定用户还是普遍存在。
注
|
有时,如果正在进行用户身份验证,ISE 会以静默方式丢弃终端的计费停止 (Accounting Stop) 请求。但是,一旦用户身份验证完成,ISE 将开始确认所有计费请求。
|
|
选择,然后选择这些日志记录类别:“政策诊断”(Policy Diagnostics)、“身份库诊断”(Identity Stores Diagnostics)、“身份验证流程诊断”(Authentication Flow Diagnostics)
和“RADIUS 诊断”(RADIUS Diagnostics)。
|
AD 连接器操作
|
AD Connector Operations 报告提供关于 AD 连接器执行的操作的日志,例如思科 ISE 服务器密码更新、Kerberos 票证管理、DNS 查询、DC 发现、LDAP 和 RPC 连接管理等。
如果遇到某些 AD 故障,您可以在此报告中查看详细信息以确定可能的原因。
|
选择,然后选择“AD 连接器”(AD Connector)。
|
Endpoint Profile Changes
|
终端顶级授权(MAC 地址)报告显示思科 ISE 已授权每个终端 MAC 地址访问网络的次数。
|
已通过身份验证、失败尝试
|
运行状况摘要
|
运行状况摘要报告提供与控制面板类似的详细信息。但是,控制面板仅显示前 24 小时的数据,而您可以使用此报告查看更久之前的历史数据。
您可以评估这些数据,以查看数据中的一致模式。例如,您可能预计当大多数员工都开始工作时,CPU 使用率较高。如果您发现这些趋势存在不一致性,您可以确定潜在的问题。
CPU 使用率表列出不同思科 ISE 功能的 CPU 使用率百分比。此表中提供 show cpu usage CLI 命令的输出,您可以将这些值与部署中的问题相关联,从而识别可能的原因。
|
—
|
ISE 计数器
|
ISE 计数器报告列出各种属性的阈值。这些不同的属性值按照不同的时间间隔收集,而数据以表格格式呈现;一个间隔为 5 分钟,另一个间隔大于 5 分钟。
您可以评估这些数据以查看趋势,如果发现高于阈值的值,则可以将此信息与部署中的问题相关联,以确定可能的原因。
默认情况下,思科 ISE 会收集这些属性值。您可以在思科 ISE CLI 中使用 application configure ise 命令禁用此数据收集操作。选择选项 14 可启用或禁用计数器属性收集。
|
—
|
关键性能指标
|
关键性能指标报告提供有关连接到部署的终端数量以及每个 PSN 每小时处理的 RADIUS 请求数量的统计信息。此报告列出服务器上的平均负载、每个请求的平均延迟和每秒的平均事务数。
|
-
|
配置有误的 NAS
|
配置有误的 NAS 报告提供关于记帐频率不正确(通常指频繁地发送记帐信息)的 NAD 的信息。如果您已采取纠正措施并修复配置错误的 NAD,此报告会显示修复确认信息。
|
-
|
配置有误的请求方
|
配置有误的请求方报告提供配置错误的请求方的列表以及对具体请求方执行的失败尝试的统计信息。如果您已采取纠正措施并修复配置错误的请求方,此报告会显示修复确认信息。
|
-
|
网络设备会话状态
|
您可以通过网络设备会话状态摘要报告显示交换机配置,而无需直接登录交换机。
思科 ISE 使用 SNMP 查询功能获取这些详细信息,而且要求用 SNMP v1/v2c 配置您的网络设备。
如果用户遇到网络问题,此报告可帮助您识别问题是否与交换机配置相关,而与思科 ISE 无关。
|
-
|
OCSP 监控
|
OCSP 监控报告指明在线证书状态协议 (OCSP) 服务的状态。它可以确定思科 ISE 能否成功连接证书服务器并提供证书状态审核,还提供对思科 ISE 执行的所有 OCSP 证书验证操作的汇总。此外,它可从 OCSP 服务器检索关于正常和已吊销主要证书与辅助证书的信息。思科
ISE 缓存响应并利用响应生成后续OCSP 监控报告。如果缓存已清除,它将从 OCSP 服务器检索信息。
|
选择,然后选择“系统诊断”(System Diagnostics)。
|
RADIUS 错误
|
您可以通过 RADIUS 错误报告检查已丢失的 RADIUS 请求(从未知网络访问设备丢弃的身份验证/记账请求)、EAP 连接超时和未知 NAD。
|
选择,然后选择“失败尝试”(Failed Attempts)。
|
系统诊断
|
系统诊断报告提供关于思科 ISE 节点的状态的详细信息。如果思科 ISE 节点无法注册,您可查看此报告以对问题进行故障排除。
此报告要求首先启用几个诊断日志记录类别。收集这些日志可能会对思科 ISE 性能产生负面影响。因此,默认情况下未启用这些类别。如果您启用这些类别,应使其启用持续时间刚好满足收集数据的要求即可。否则,30 分钟后系统会自动禁用这些类别。
|
选择,然后选择这些日志记录类别:“内部操作诊断”(Internal Operations Diagnostics)、“分布式管理”(Distributed Management)、“管理员身份验证”(Administrator Authentication)
和“授权” (Authorization)。
|
Endpoints and Users
|
身份验证摘要
|
身份验证摘要报告以 RADIUS 身份验证为基础。您可以通过此报告确定最常见的身份验证以及任何身份验证失败的原因。例如,如果一个思科 ISE 服务器处理的身份验证明显多于其他服务器,您可能需要重新将用户分配给其他思科 ISE 服务器,以实现更好的负载均衡。
注
|
由于身份验证摘要报告或控制面板要收集和显示与失败或成功的身份验证对应的最新数据,所以报告的内容会延迟几分钟才显示。
|
|
-
|
客户端调配
|
客户端调配报告显示应用于特定终端的客户端调配代理。您可以使用此报告验证应用于每个终端的策略以确定是否正确调配了终端。
注
|
如果终端不与 ISE 连接(未建立会话)或对会话使用网络地址转换 (NAT) 地址,则终端的 MAC 地址不会显示在“终端 ID”(Endpoint ID) 列中。
|
|
选择,然后选择“终端安全评估和客户端调配审核与终端安全评估和客户调配诊断”(Client Provisioning Audit and Posture and Client Provisioning Diagnostics)。
|
当前活动会话
|
您可以通过当前活动会话报告导出包含关于指定时间内哪些用户正在访问网络的详细信息的报告。
如果用户无法访问网络,您可以查看会话是否经过了身份验证或是否中断,或会话是否存在其他问题。
|
-
|
外部移动设备管理
|
外部移动设备管理报告提供关于思科 ISE 与外部移动设备管理 (MDM) 服务器之间的集成的详细信息。
您可以使用此报告查看哪些终端经过了 MDM 服务器调配,而无需直接登录 MDM 服务器。此报告还显示注册和 MDM 合规状态等信息。
|
选择,然后选择 MDM。
|
被动 ID
|
您可以通过被动 ID (Passive ID) 报告监控与域控制器的 WMI 连接的状态并收集与之相关的统计信息(例如接收的通知数量、每秒钟用户登录/注销的次数等)。
注
|
通过此方法进行身份验证的会话在报告中没有身份验证详细信息。
|
|
选择,然后选择“身份映射”(Identity Mapping)。
|
手动证书调配
|
手动证书调配报告列出所有通过证书调配门户手动调配的证书。
|
-
|
按条件进行终端安全评估
|
通过按条件进行终端安全评估报告,您可以查看 ISE 中配置的基于终端安全评估策略条件的记录,从而对最新安全设置和应用在客户端计算机上的可用性进行验证。
|
-
|
按终端进行终端安全评估
|
“不同终端的终端安全评估”报告提供终端的详细信息,如时间、状态和 PRA 操作。您可以点击详细信息 (Details) 以查看终端的更多信息。
注
|
“不同终端的终端安全评估”报告不提供终端应用和硬件属性的终端安全评估策略详细信息。您只能在“情景可视性”(Context Visibility) 页面中查看这些信息。
|
|
-
|
已分析终端总结
|
已分析终端总结报告提供关于正在访问网络的终端的分析详细信息。
注
|
对于不注册会话时间的终端(例如思科 IP 电话),“终端会话时间”(Endpoint session time) 字段中会显示“不适用”(Not Applicable)。
|
|
选择,然后选择“分析器”(Profiler)。
|
RADIUS 计费
|
RADIUS 计费报告指出用户访问网络持续的时间。如果用户失去了网络连接,您可以使用此报告确定是不是思科 ISE 导致的网络连接问题。
注
|
如果 RADIUS 记账临时更新包含有关给定会话的 IPv4 或 IPv6 地址更改的信息,则 RADIUS 记账报告中会包含 Radius 记账临时更新。
|
|
选择,然后选择“RADIUS 计费”(RADIUS Accounting)。
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择,然后选择“RADIUS 计费”(RADIUS Accounting)。
|
RADIUS 身份验证
|
您可以通过 RADIUS 身份验证报告查看身份验证失败和成功的历史记录。如果用户无法访问网络,您可以在此报告中查看详细信息以确定可能的原因。
|
选择,然后选择这些日志记录类别:“已通过身份验证”(Passed Authentications) 和“失败尝试”(Failed Attempts)。
|
注册终端
|
注册终端报告显示员工注册的所有个人设备。
|
-
|
拒绝的终端
|
“拒绝的终端”(Rejected Endpoints) 报告列出了员工注册的所有被拒绝或放行的个人设备。 仅当安装 Plus 许可证时,此报告的数据才可用。
|
—
|
请求方调配
|
请求方调配报告提供关于调配至员工个人设备的请求方的详细信息。
|
终端安全评估和客户端调配审核
|
按终端查看顶级授权
|
终端顶级授权(MAC 地址)报告显示思科 ISE 已授权每个终端 MAC 地址访问网络的次数。
|
已通过身份验证、失败尝试
|
按用户查看顶级授权
|
按用户查看顶级授权报告显示思科 ISE 已授权每个用户访问网络的次数。
|
已通过身份验证、失败尝试
|
不同访问服务的前 N 个身份验证
|
“不同访问服务的前 N 个身份验证”(Top N Authentication by Access Service) 报告根据所选参数按特定时间段的访问服务类型显示已通过和失败的身份验证数量。
|
—
|
不同失败原因的前 N 个身份验证
|
“不同失败原因的前 N 个身份验证”(Top N Authentication by Failure Reason) 报告根据所选参数显示特定期间内不同失败原因的身份验证总数。
|
—
|
不同网络设备的前 N 个身份验证
|
“不同网络设备的前 N 个身份验证”(Top N Authentication by Network Device) 报告根据所选参数按网络设备名称显示特定期间内已通过和已失败的身份验证数量。
|
—
|
不同用户的前 N 个身份验证
|
“不同用户的前 N 个身份验证”(Top N Authentication by User) 报告根据所选参数按用户名显示特定期间内已通过和失败的身份验证数量。
|
—
|
Guest
|
AUP Acceptance Status
|
AUP Acceptance Status 报告提供从所有 Guest 门户接受的 AUP 的详细信息。
|
选择,然后选择“访客”(Guest)。
|
访客计费
|
访客计费报告是 RADIUS 计费报告的一部分。此报告中显示分配至激活访客或访客身份组的所有用户。
|
-
|
主访客报告
|
主访客报告综合各个访客接入报告的数据,并且允许您从不同报告来源导出数据。主访客报告还提供关于访客用户正在访问的网站的详细信息。您可以使用此报告进行安全审核,以证明访客用户何时访问了网络以及他们在网络上执行了什么活动。
您还必须在用于访客流量的网络访问设备 (NAD) 上启用 HTTP 检查。这些信息由 NAD 发送回思科 ISE。
要检查客户端何时达到最大并行会话限制数,从管理员门户选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories) 并执行以下操作:
-
将“身份验证流量诊断”(Authentication Flow Diagnostics) 日志类别的日志级别从警告提高到信息。
-
从 AAA 诊断“日志记录类别”下,将 LogCollector 目标从可用的更改为已选的。
|
选择 ,然后选择已通过的身份验证 (Passed Authentications)。
|
我的设备登录和审核
|
我的设备登录和审核报告提供关于用户通过设备在“我的设备门户”(My Devices Portal) 中执行的登录活动和操作的详细信息。
|
选择,然后选择“我的设备”(My Devices)。
|
Sponsor Login and Audit
|
Sponsor Login and Audit 报告提供关于访客用户的登录、添加、删除、启用、暂停和更新操作以及发起人在发起人门户上的登录活动的详细信息。
如果批量添加访客用户,则“访客用户”(Guest Users) 列下会显示这些用户。此列默认处于隐藏状态。在导出时,这些批量用户也会显示于导出的文件上。
|
选择,然后选择“访客”(Guest)。
|
SXP
|
SXP 绑定
|
SXP 绑定报告提供与通过 SXP 连接进行交换的 IP-SGT 绑定有关的信息。
|
-
|
SXP 连接
|
您可以使用此报告来监控 SXP 连接的状态并收集与之相关的信息,例如对等 IP、SXP 节点 IP、VPN 名称、SXP 模式等。
|
—
|
TrustSec
|
RBACL 丢包摘要
|
RBACL 丢包摘要报告专用于 TrustSec 功能,只有在具备思科 ISE 高级许可证的情况下才可用。
此报告还要求您将网络设备配置为向思科 ISE 发送关于丢包事件的 NetFlow 事件。
如果用户违反特定策略或访问权限,系统会丢弃数据包并在此报告中指明。
注
|
RBACL 丢弃的数据包流仅适用于 Cisco Catalyst 6500 系列交换机。
|
|
—
|
按用户前 N 个 RBACL 丢包
|
按用户前 N 个 RBACL 丢包报告专用于 TrustSec 功能,只有在具备思科 ISE 高级许可证的情况下才可用。
此报告还要求您将网络设备配置为向思科 ISE 发送关于丢包事件的 NetFlow 事件。
此报告显示特定用户违反策略的情况(依据数据包丢弃情况)。
注
|
RBACL 丢弃的数据包流仅适用于 Cisco Catalyst 6500 系列交换机。
|
|
—
|
TrustSec ACI
|
此报告列出与 EEPG、终端和 APIC 子网配置同步的 SGT 和 SXP 映射。只有当 TrustSec APIC 集成功能启用时,这些细节才会显示。
|
-
|
TrustSec 部署验证
|
您可以使用此报告验证是否在所有网络设备上部署了最新的 TrustSec 策略,或者在思科 ISE 中配置的策略与网络设备之间是否存在任何差异。
点击详细信息 (Details) 图标以查看验证过程的结果。您可以查看以下详细信息:
您可以在警报 (Alarms) Dashlet (在工作中心 (Work Centers) > TrustSec > 控制板 (Dashboard) 和主页 (Home) > 摘要 (Summary) 下)中查看 TrustSec 部署验证警报。
|
-
|
Trustsec 策略下载
|
此报告列出网络设备发出的策略 (SGT/SGACL) 下载请求和 ISE 发出的详细信息。如果启用工作流模式,对于生产或暂存表,可对请求进行过滤。
|
要查看此报告,必须执行以下操作:
-
选择。
-
选择 。
-
将 RADIUS 诊断的日志严重性级别设置为“调试”(DEBUG)。
|
以威胁防护为中心的 NAC 服务
|
适配器状态
|
适配器状态报告显示威胁和漏洞适配器的状态。
|
-
|
COA 事件
|
当收到某个终端的漏洞事件时,思科 ISE 对该终端触发 CoA。CoA 事件报告显示这些 CoA 事件的状态。同时显示这些终端的新旧授权规则和配置文件详细信息。
|
-
|
威胁事件
|
“威胁事件”(Threat Events) 报告提供思科 ISE 从已配置的各种适配器接收的所有威胁事件的列表。
|
-
|
漏洞评估
|
漏洞评估报告为您的终端提供正在进行的评估的信息。您可以查看此报告以确认评估是否以配置策略为基础正在进行。
|
—
|