故障排除

思科 ISE 中的监控和故障排除服务

监控和故障排除 (MnT) 服务是所有思科 ISE 运行时服务的综合身份解决方案。操作菜单包含以下组件,且仅可从主策略管理节点 (PAN) 查看。请注意,操作 (Operations) 菜单不会显示在主监控节点中。

  • 监控:实时呈现代表网络上的访问活动状态的有意义数据。通过查看展示,您可以轻松地解释并监控操作条件。

  • 故障排除:提供用来解决网络上的访问问题的上下文指导。然后,您可以解决用户的问题并及时提供解决方案。

  • 报告:提供标准报告的目录,这些报告可用来分析趋势和监控系统性能以及网络活动。您可以用各种方式自定义这些报告,并可保存这些报告以供将来使用。您可以在所有报告中针对以下字段使用通配符和多个值搜索记录:身份 (Identity)终端 ID (Endpoint ID)ISE 节点 (ISE Node)运行状况摘要 (Health Summary) 报告除外)。

ISE 社区资源

有关故障排除技术说明的完整列表,请参阅 ISE 故障排除技术说明

提交 TAC 支持案例

您现在可以通过思科 ISE 提交 TAC 支持案例,以请求对思科 ISE 的部署问题提供支持。使用 TAC 支持案例功能,您可以轻松地为您遇到问题的特定节点提出支持案例。除了您通过支持案例管理器 (SCM) 上提供的表格提供的信息之外,节点序列号和正在使用的思科 ISE 版本等信息也会被发送到思科 TAC。


在气隙环境中部署思科 ISE 时,支持案例管理器 (SCM) 功能不起作用。

过程

步骤 1

在思科 ISE 门户主页中,点击右上角的问号图标。

步骤 2

在显示的交互式帮助 (Interactive Help) 菜单中,从资源 (Resources) 下拉列表中选择TAC 支持案例 (TAC Support Cases)

步骤 3

TAC 支持案例 (TAC Support Cases) 窗口的节点列表 (Nodes List) 下拉列表中,最多选择四个要为其打开支持案例的节点。主 PAN 和 MnT 节点会被默认选中。

步骤 4

点击 提交支持案例。支持案例管理器将在新选项卡中打开。

(可选)点击案例列表 (Cases List) 可在支持案例管理器上查看已创建的 TAC 案例的状态。

步骤 5

在支持案例管理器的 SSO 身份验证 (SSO Authentication) 窗口中,使用您的 cisco.com 凭证登录。如果无法登录,请联系思科客户支持获取帮助。

步骤 6

填写所需的详细信息,并为 SCM 上的思科 ISE 部署创建新的 TAC 支持案例。建议您使用在支持案例管理器 (SCM) 中打开 TAC 支持案例的程序获取帮助和故障排除。

远程支持授权

远程支持授权功能允许思科 ISE 管理员授权特定的思科技术人员通过 CLI、UI 或同时通过两者远程、安全地访问思科 ISE 部署,以进行故障排除和信息收集。此访问权限必须由思科 ISE 管理员明确授权,且可授予思科 ISE 部署中的一个或多个节点。思科 ISE 管理员可为授权的思科技术人员提供只读或管理员模式访问权限。

远程支持授权功能包含两个默认 CLI 用户:CustomersuppadminCustomersuppreadonly。默认情况下,这些用户处于禁用状态。

启用远程支持授权后,这些用户会被激活,以提供对 RADKit CLI 的访问权限。禁用 RADKit 后,这些用户会自动停用。

#show users status
USERNAME             ROLE    DISABLED   LOCKED
admin                Admin                  
customersuppadmin    Admin     *               
customersuppreadonly User      *

此功能默认不启用。按照以下步骤启用并配置“远程支持授权”服务。

开始之前

  • 确保您拥有完成思科 SSO 身份验证所需的凭证。

  • 思科 ISE 部署需要连接到特定 URL。您必须将这些 URL 添加到防火墙或代理的允许列表中,以支持出站连接。有关所需 URL 和 IP 地址的列表,请参阅https://prod.radkit-cloud.cisco.com/endpoints

  • 此功能需要互联网访问权限。如果没有直接互联网访问权限,请配置所需的代理设置。有关详细信息,请参阅在思科 ISE 上配置代理设置

  • 您的思科 ISE 节点向 RADKit 的注册通过用户电子邮件地址的 SSO 身份验证完成。在 SSO 身份验证后,RADKit 证书会下载到思科 ISE 节点中,以便 RADKit 云与思科 ISE 节点之间进行进一步加密通信。

    RADKit 的实现方式在本地环境和云环境中相同。

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择操作 > 支持 > 远程支持授权

步骤 2

电子邮箱字段中,输入与您的思科账户关联的电子邮件 ID,然后点击开始配置

如果是首次启用此服务,会启动 SSO 身份验证。

步骤 3

远程支持授权页面中,点击创建远程支持授权以设置授权。

系统将显示设置授权页面。

步骤 4

思科专家电子邮件地址选项卡中,输入思科专家的电子邮件 ID。

步骤 5

访问级别字段中,如果要提供只读访问权限,请选择观察者(只读);如果要为思科 ISE UI 或 CLI 提供完全管理员访问权限,请选择管理员(读写)

(可选)如果您有未关闭的服务请求,请在现有 SR 编号字段中输入服务请求编号。

步骤 6

点击下一步 (Next)

安排访问页面中,指定访问的时间和时长。

  • 如果要立即提供访问权限,请选择立即

  • 如果要为未来某个日期和时间提供访问权限,请选择已安排

步骤 7

点击下一步 (Next)

步骤 8

访问权限协议页面中输入以下详细信息:

  1. 选择节点下拉列表中,选择要为其向思科技术人员提供访问权限的节点。

  2. 选中 UI 访问CLI 访问复选框。您也可以同时提供两种访问权限。

    对于 UI 访问,会创建一个思科 ISE UI 管理员,其凭证由您提供。会话完成后,此思科 ISE UI 管理员用户会被删除。

步骤 9

点击下一步 (Next)

系统将显示摘要页面,其中包含之前页面中输入的所有详细信息。

请点击复制按钮复制信息,并将摘要页面上显示的服务 ID 提供给思科技术人员。

步骤 10

点击完成 (Finish)

创建授权后,您可以在当前授权选项卡中查看授权详情。

当前授权页面中点击编辑,可编辑当前授权会话的详情。

点击取消授权可取消远程支持授权会话。

点击查看日志可查看 UI 管理员用户的 UI 会话审核报告。

要查看 CLI 会话审核日志,请选择操作 > 故障排除 > 下载日志 > 选择 PAN 节点 > 调试日志。下载 RADKit 部分下的特定文件以查看会话日志。

您可以在远程支持授权页面的历史授权选项卡中查看之前的授权记录。

禁用远程支持授权

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 (),然后选择操作 > 支持 > 远程支持授权

步骤 2

点击禁用以禁用远程支持授权服务。

 

禁用此功能后,所有远程授权会话(包括之前配置的任何活动会话)都将被禁用。

运行状况检查

思科 ISE 引入了按需运行状况检查选项,用于诊断思科 ISE 部署中的所有节点。执行任何操作之前,先在所有节点上进行运行状况检查有助于减少停机时间,并通过发现关键问题(如有)来改善思科 ISE 系统的整体功能。运行状况检查可提供组件的工作状态,并显示有关部署中的问题(如有)的故障排除建议。

表 1. 运行状况检查部署

部署类型

说明

平台支持检查

检查部署中支持的平台。不符合建议的要求规格的平台可能会导致性能问题。

检查 34xx 和其他不受支持的平台详细信息,并检查系统是否至少有 12 核心的 CPU、300 GB 硬盘以及 16 GB 内存。

部署验证

检查部署状态节点是否处于同步状态或在进行中。

DNS 解析

检查主机名和 IP 地址的正向和反向查找。

建议使用正向和反向 DNS 解析,以便让部署运行状况检查正常运行。

信任存储区证书验证

检查您的信任存储区证书是否有效或已过期。

删除或更新未使用或已过期的证书,以确保思科 ISE 达到最佳功能。

系统证书验证

检查每个节点的系统证书验证。

删除或更新未使用或已过期的证书,以确保思科 ISE 达到最佳功能。

磁盘空间检查

检查平台支持检查中的硬盘,以及磁盘中可进一步用于升级程序的空间。

我们建议您在开始升级操作之前运行磁盘空间检查,以避免出现性能问题。

NTP 连通性和时间源检查

检查系统中配置的 NTP 以及时间源是否为 NTP 服务器。

NTP 同步对于思科 ISE 服务(例如 AD 操作、升级工作流程等)至关重要。

平均负载检查

按指定时间间隔检查系统负载。有效间隔配置为 1 分钟、5 分钟和 15 分钟。

负载平均检查失败可能会导致思科 ISE 中出现性能问题。

MDM 验证

检查已配置的 MDM 服务器和思科 ISE PSN 服务器之间的连接。

要在思科 ISE 中使用 MDM 支持的功能,MDM 验证检查必须成功完成。

许可证验证

检查智能许可是否已配置且有效。如果您的智能许可证未配置或无效,则思科 ISE GUI 中会显示警告,要求您配置并验证许可证。

思科 ISE 仅支持智能许可。升级到最新的思科 ISE 版本前,请将传统许可证转换为智能许可证。

服务或流程故障

检查服务或应用的状态是否处于运行或失败状态。

I/O 带宽性能检查

检查磁盘读取和写入速度,以避免任何思科 ISE 性能问题。

部署旁边的数字表示节点数量及其运行状况检查详细信息。例如,如果部署带有 0/2,则 0 表示处于“失败”、“进行中”和“已完成”状态的节点数,而 2 表示部署中的节点数。


在运行状况检查期间,如果任何节点在 15 分钟内没有发回响应,则该特定节点的运行状况检查会超时。

执行运行状况检查

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 运行状况检查 (Health Checks)

步骤 2

点击启动运行状况检查 (Start health checks)

信息弹出窗口将显示以下消息:

已触发健康状况检查 (Health Checks triggered)。

步骤 3

点击确定 (Ok) 查看状态。

步骤 4

运行状况检查 (Health Checks) 窗口中,您将能够查看每个组件的运行状况。以下颜色用于指示相应思科 ISE 组件的运行状况:

颜色

运行状况

操作

红色

不佳

点击下拉选项查看故障排除建议。

我们建议您解决这些问题,因为在这些问题得到解决之前,您将无法继续执行升级工作流程等操作。

橙色

良好

点击下拉选项查看框中提供的故障排除建议。

当组件的运行状况良好且可以执行操作时,您可以继续升级工作流程,我们建议您先解决橙色指示的问题,然后再继续,因为这些问题也可能会影响思科 ISE 功能。

绿色

良好

无需任何操作。

蓝色

良好

点击信息图标查看关于功能的关键信息。

步骤 5

点击下载报告 (Download report)

HealthChecksReport.json 文件将保存在本地系统中,其中包含思科 ISE 部署的详细运行状况信息。

触发运行状况检查后,状态将在运行状况检查 (Health Check) 窗口中保留三小时。在运行状况检查 (Health Check) 窗口刷新或过期前,将无法运行健康状况检查。

网络权限框架事件流程

网络权限框架 (NPF) 身份验证和授权事件流程使用下表列出的过程:

流程阶段

说明

1

网络访问设备 (NAD) 执行正常授权或 Flex 授权。

2

使用 Web 授权分析无代理的未知身份。

3

RADIUS 服务器进行身份验证和授权。

4

在端口配置身份的授权。

5

丢弃未经授权的终端通信。

用于监控和故障排除功能的用户角色和权限

监控和故障排除功能与默认用户角色相关联。允许您执行的任务与分配给您的用户角色直接相关。

有关为每个用户角色设置的权限和限制的信息,请参阅思科 ISE 管理员组

不支持在没有思科 TAC 监管的情况下使用根 shell 访问思科 ISE,并且思科不对由此导致的任何服务中断负责。

监控数据库中存储的数据

思科 ISE 监控服务会收集数据并将所收集的数据存储于专用监控数据库中。根据用于监控网络功能的数据速率和数据量,可能需要将某个节点专用于监控。如果思科 ISE 网络以高速率从策略服务节点或网络设备收集日志数据,则我们建议将某个思科 ISE 节点专用于监控。

要管理监控数据库中存储的信息,需要对数据库执行完整备份和增量备份。这包括清除不需要的数据,然后还原数据库。

思科 ISE 遥感勘测

遥测会监控网络中的系统和设备,向思科提供有关您如何使用产品的反馈。思科将这些信息用于改进产品。

思科 ISE 遥测数据通信作为 HTTPS 流量通过端口 443 与 https://connectdna.cisco.com/ 进行。

遥测默认处于启用状态。要禁用此功能,请执行以下操作:

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 网络成功诊断 (Network Success Diagnostics) > 遥测 (Telemetry)

  2. 取消选中启用遥测 (Enable Telemetry) 复选框以禁用遥测。

  • 思科帐户 (Cisco Account):输入您的思科帐户凭证,以便您可以通过遥测获取电子邮件。如果遥测发现任何可能影响思科 ISE 部署的严重问题,我们也可能使用此 ID 与您联系。

遥测收集的信息

遥测会将以下信息发送给思科。

节点

对于每个策略管理节点 (PAN)

  • 当前经过终端安全评估的终端数量

  • 当前 pxGrid 客户端数量

  • 当前由 MDM 管理的终端数量

  • 当前访客用户数

  • 此遥测记录的开始和结束日期

  • FIPS 状态

对于每个策略服务节点 (PSN)

  • 分析器探测数

  • 节点服务类型

  • 已用的被动 ID

对于所有节点

  • 总计和活动 NAD 数

  • CPU 核心数量

  • 虚拟机可用磁盘空间

  • 虚拟机内存和 CPU 设置

  • 系统名称

  • 序列号

  • VID 和 PID

  • 正常运行时间

  • 上次 CLI 登录

MnT 节点计数

pxGrid 节点计数

许可证

  • 是否有许可证已到期?

  • 可用的思科 ISE Essentials 许可证数量、曾使用的最大数量

  • 可用的思科 ISE Advantage 许可证数量、曾使用的最大数量

  • 可用的思科 ISE Premier 许可证数量、曾使用的最大数量

  • 是否正在使用评估许可证?

  • 智能账户的名称

  • TACACS 设备数量

  • 到期日期、剩余天数、许可证期限

  • 服务类型、主要和辅助 UDI

终端安全评估

  • 非活动策略的数量

  • 最后终端安全评估源更新

  • 活动策略的数量

  • 终端安全评估源更新

访客用户

  • 当天经过身份验证的访客的最大数量

  • 当天活动访客的最大数量

  • 当天 BYOD 用户的最大数量

  • 经过身份验证的访客的外部 ID 信息

网络访问设备 (NAD)

  • 授权:激活的 ACL 数、VLAN 数、策略大小

  • NDG 映射和 NAD 层次结构

  • 身份验证:

    • RADIUS、RSA ID、LDAP、ODBC 和 Active Directory ID 存储区的数量

    • 本地(非管理员)用户数

    • NDG 映射和 NAD 映射

    • 策略行数

对于授权,包括活动 VLAN 数、策略计数、已激活的 ACL 数量:

  • 状态,VID,PT

  • 平均负载,内存使用量

  • PAP、MnT、pxGrid 和 PIC 节点的数量

  • 名称、配置文件名称、配置文件 ID

NAD 配置文件

对于每个 NAD 配置文件:

  • 名称和 ID

  • 思科设备

  • TACACS 支持

  • RADIUS 支持

  • TrustSec SXP 支持

  • 默认配置文件

Profiler

  • 最后源更新的日期

  • 是否已启用自动更新?

  • 已分析的终端数、终端类型、未知终端数、未知百分比和终端总数

  • 自定义配置文件数量

  • 序列号、范围、终端类型、自定义配置文件

移动设备管理 (MDM)

  • MDM 节点列表

  • 对于日期范围,包括当前 MDM 终端计数、当前访客用户计数、当前已经过终端安全评估的用户计数

  • pxGrid 客户端计数

  • 节点计数

补丁和热补丁

  • 节点 FQDN

  • 思科 ISE 版本

  • 补丁和热补丁的名称和安装状态

TrustSec

  • 已创建的 SGACL 数量

  • 安全组数量

  • 配置了 TrustSec 的网络设备数量

  • 分配 SGT 的策略数量

  • 使用 SGT 的策略数量

  • 授权配置文件数量

  • 是否配置了 Meraki 连接器?

  • 已同步的 Meraki 组织数量

  • 已同步的 SGT 数量

  • 已同步的出口策略数量

  • 已同步的 ACL 数量

SNMP 陷阱监控思科 ISE

SNMP 陷阱可帮助您监控思科 ISE 的状态。如果要在不访问思科 ISE 服务器的情况下监控思科 ISE,可以在思科 ISE 中将 MIB 浏览器配置为 SNMP 主机。然后您可以在 MIB 浏览器中监控思科 ISE 的状态。

请参阅《思科身份服务引擎 CLI 参考指南》查看有关 snmp-server host snmp-server trap 此命令的更多信息。

思科 ISE 支持 SNMPv1、SNMPv2c 和 SNMPv3。

如果您在 CLI 中配置了 SNMP 主机,思科 ISE 将发送以下通用系统陷阱︰

  • 冷启动:当设备重新引导时。

  • Linkup:当以太网接口打开时。

  • Linkdown:当以太网接口关闭时。

  • 身份验证故障:当社区字符串不匹配时。

下表列出了思科 ISE 中默认生成的通用 SNMP 陷阱。

OID

说明

陷阱示例

.1.3.6.1.4.1.8072.4.0.3 \n

NET-SNMP-AGENT-MIB::nsNotifyRestart

表示代理已重新启动。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78       SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyRestart    SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix

.1.3.6.1.4.1.8072.4.0.2 \n

NET-SNMP-AGENT-MIB::nsNotifyShutdown

表示代理正在关闭。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyShutdown SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix

.1.3.6.1.6.3.1.1.5.4 \n

IF-MIB::linkUp

表示 SNMP 实体(充当代理角色)检测到其中一条通信链路的 ifOperStatus 对象已从“关闭”(Down) 状态转换为其他状态(但不是“不存在”(notPresent) 状态)。其他状态由包含的 ifOperStatus 值表示。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkUp IF-MIB::ifIndex.12 = INTEGER: 12 IF-MIB::ifAdminStatus.12 = INTEGER: up(1) IF-MIB::ifOperStatus.12 = INTEGER: up(1) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

.1.3.6.1.6.3.1.1.5.3 \n

IF-MIB::linkDown

表示 SNMP 实体(充当代理角色)检测到其中一条通信链路的 ifOperStatus 对象即将从其他状态(但不是“不存在”(notPresent) 状态)进入“关闭”(Down) 状态。其他状态由包含的 ifOperStatus 值表示。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkDown IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifAdminStatus.5 = INTEGER: up(1) IF-MIB::ifOperStatus.5 = INTEGER: down(2) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

.1.3.6.1.6.3.1.1.5.1 \n

SNMPv2-MIB::coldStart

表示支持通知发起方应用的 SNMP 实体正在重新初始化自身,并且其配置可能已更改。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8) 0:00:00.08 SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::coldStart SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10

思科 ISE 中的进程监控 SNMP 陷阱

如果从思科 ISE CLI 配置 SNMP 主机,则思科 ISE 允许将思科 ISE 进程状态的 hrSWRunName 陷阱发送到 SNMP 管理器。思科 ISE 使用时钟守护作业 (cron job) 来触发这些陷阱。Cron 作业会从 Monit 检索思科 ISE 进程状态。当在 CLI 中配置 SNMP-服务器主机 命令后,cron 作业会每五分钟运行一次,并监控思科 ISE。


当 ISE 进程由管理员手动停止时,该进程的监控也会停止,并且系统不会向 SNMP 管理器发送陷阱。仅当进程意外关闭并且不自动恢复时,系统才会向 SNMP 管理器发送进程停止 SNMP 陷阱。

以下是思科 ISE 中进程监控 SNMP 陷阱的列表。

OID

说明

陷阱示例

.1.3.6.1.2.1.25.4.2.1.2 \n

HOST-RESOURCES-MIB::hrSWRunName

此运行软件的文本说明,包括制造商、版本和通常所知的名称。如果此软件是在本地安装的,则此字符串必须与相应的 hrSWInstalledName 中使用的字符串相同。所考虑的服务包括 app-server、rsyslog、redis-server、ad-connector、mnt-collector、mnt-processor、ca-server est-server 和 elasticsearch。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (63692139) 7 days, 8:55:21.39 SNMPv2-MIB::snmpTrapOID.0 = OID: HOSTRESOURCES- MIB::hrSWRunName HOSTRESOURCES- MIB::hrSWRunName = STRING: "redis-server:Running"

发生以下状况时,思科 ISE 会向配置的 SNMP 服务器发送相应的陷阱:

  • 进程开始(受监控状态)

  • 进程停止(不受监控状态)

  • 执行失败:当进程状态从“受监控”(Monitored) 变为“执行失败”(Execution Failed) 时,发送陷阱。

  • 不存在:当进程状态从“受监控”(Monitored) 变为“不存在”(Does Not Exist) 时,发送陷阱。

在 SNMP 服务器中,会为每个对象生成唯一的对象 ID (OID),并为 OID 分配一个值。您可以通过 OID 值在 SNMP 服务器查找对象。正在运行的陷阱的 OID 值为 running,不受监控的、不存在的和执行失败的陷阱的 OID 值为 stopped

思科 ISE 使用属于 HOST-RESOURCES MIB 的 hrSWRunName 的 OID 发送陷阱,并将 OID 值设置为 <进程名称> - <进程状态>,例如,runtime - running。

要终止思科 ISE 发送 SNMP 陷阱至 SNMP 服务器,需在思科 ISE CLI 中删除 SNMP 配置。此操作将终止来自 SNMP 管理器的 SNMP 陷阱和轮询。

思科 ISE 中的磁盘利用率 SNMP 陷阱

当思科 ISE 分区达到利用率限制阈值时并且达到所配置的可用空间量时,将发送一个陷阱。

以下是可在思科 ISE 中配置的磁盘利用率 SNMP 陷阱的列表:

OID

说明

陷阱示例

.1.3.6.1.4.1.2021.9.1.9 \n

UCD-SNMP-MIB::dskPercent

磁盘上已用空间的百分比。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198297) 13 days, 16:19:42.97 SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPercent UCD-SNMP-MIB::dskPercent = INTEGER: 13

.1.3.6.1.4.1.2021.9.1.2 \n

UCD-SNMP-MIB::dskPath

磁盘的挂载路径。

dskPath 可以为 ISE 管理命令 show disks 输出中的所有挂载点发送陷阱。

DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198304) 13 days, 16:19:43.04       SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPath  UCD-SNMP-MIB::dskPath = STRING: /opt

思科 ISE 警报

警报显示在 Alarms dashlet 中,通知您网络中的严重情况。警报还会提供关于系统活动的信息,如数据清除事件。您可以配置要接收系统活动通知的方式,或完全禁用警报。还可以为某些警报配置阈值。

大多数警报没有关联的计划,会在事件发生后立即发送。在任何给定时间点,系统只会保留最新的 15,000 个警报。

如果事件再次发生,则系统会在约一个小时内抑制相同的警报。在事件再次发生期间,可能需要经过一个小时,警报才会再次出现(取决于触发器)。

您可以根据警报名称、类别、严重程度或状态来过滤要查看的警报。在您选择过滤器时,效果是可以叠加的,也称为级联过滤器,可让您深入查找想要的特定数据。

通过快速过滤器,您可以输入列表页面中显示的任何字段属性的值,引用页面,并且仅列出与筛选条件相匹配的记录。

通过高级过滤器,您可以根据指定的条件(例如警报名称包含 TrustSec)来过滤信息。您可以指定不止一个条件。

您可以创建并保存只有您才能访问的用户特定的自定义过滤器。

点击清除所有过滤器 (Clear All Filters)以删除所有应用的过滤器。

下表列出所有思科 ISE 警报、说明及解决方法。

表 2. 思科 ISE 警报

警报名称

警报说明

警报解决方法

管理和操作审核管理

RADIUS 网络设备通信过多

在四小时内,思科 ISE 收到的每个 RADIUS 身份验证系统日志的 RADIUS 记账系统日志数量都高于预期。

当思科 ISE 在四小时内收到每个 RADIUS 身份验证系统日志的六个以上 RADIUS 记账系统日志时,会触发此警报。

确保根据思科的最佳实践建议配置 NAD。

有关详细信息,请参阅《Cisco Identity Services Engine 性能和可扩展性指南》

终端通信过多

在四小时内,思科 ISE 从终端接收的 RADIUS 通信消息数高于预期。

当思科 ISE 在 4 小时内从无线终端收到超过 48 条 RADIUS 通信消息或从有线终端收到超过 4 条 RADIUS 通信消息时,会触发此警报。

确保按照思科的最佳实践建议配置终端。

有关详细信息,请参阅《Cisco Identity Services Engine 性能和可扩展性指南》

管理员证书控制的重启

主 PAN 上的管理员证书已被替换。所有节点都将根据配置重新启动。

在配置的时间或之前重新启动以下节点。

管理员证书控制的重启

以下节点将在 5 天内重新启动。

在配置的时间或之前重新启动以下节点。

管理员证书控制的重启

以下节点无法重新启动。检查事件详细信息,并在需要时手动重新启动。

在配置的时间或之前重新启动以下节点。

部署升级失败

ISE 节点升级失败。

检查故障节点的 ADE.log,以查找升级失败的原因并制定纠正措施。

升级捆绑包下载失败

ISE 节点升级捆绑包下载失败。

检查故障节点的 ADE.log,以查找升级失败的原因并制定纠正措施。

SXP 连接失败

SXP 连接失败。

验证 SXP 服务正在运行。检查对等兼容性。

应用于所有设备的思科配置文件

网络设备配置文件定义网络接入设备的功能,如MAB、Dot1X、CoA 和网络重定向。

编辑非思科网络设备的配置,以分配适当的配置文件。

由于 CRL 查找到已吊销的证书,安全 LDAP 连接重新连接

CRL 检查结果表示用于 LDAP 连接的证书已吊销。

检查 CRL 配置并检验它是否有效。检查 LDAP 服务器证书及其颁发机构证书是否已吊销。如果已撤销,则颁发新证书并将其安装在 LDAP 服务器上。

由于 OCSP 查找到已吊销的证书,安全 LDAP 连接重新连接

OCSP 检查结果表示用于 LDAP 连接的证书已吊销。

检查 OCSP 配置并检验它是否有效。检查 LDAP 服务器证书及其颁发机构证书是否已吊销。如果已撤销,则颁发新证书并将其安装在 LDAP 服务器上。

由于 CRL 查找到已吊销的证书,安全系统日志连接重新连接

CRL 检查结果表示用于系统日志连接的证书已吊销。

检查 CRL 配置并检验它是否有效。检查系统日志服务器证书及其颁发机构证书是否已吊销。如果已撤销,则颁发新证书并将其安装在系统日志服务器上。

由于 OCSP 查找到已吊销的证书,安全系统日志连接重新连接

OCSP 检查结果表示用于系统日志连接的证书已吊销。

检查 OCSP 配置并检验它是否有效。检查系统日志服务器证书及其颁发机构证书是否已吊销。如果已撤销,则颁发新证书并将其安装在系统日志服务器上。

管理员帐户已锁定/禁用

由于密码过期或登录尝试不正确,系统锁定或禁用管理员帐户。有关详细信息,请参阅管理员密码策略。

管理员密码可以由其他管理员使用 GUI 或 CLI 进行重置。

ERS 识别已弃用的 URL

ERS 识别已弃用的 URL

请求 URL 已弃用,建议避免使用此 URL

ERS 识别过时的 URL

ERS 识别过时的 URL

请求的 URL 已过时,建议使用更新的 URL。未来的版本不会删除此过时的 URL。

ERS 请求的内容类型报头已过时

ERS 请求的内容类型报头已过时

在请求的内容类型报头内指定的请求资源版本已过时。这表明资源方案已被修改。可能已添加或删除一个或多个属性。为使用过时的方案解决这一问题,ERS 引擎将使用默认值。

ERS XML 输入有 XSS 或注入攻击的嫌疑

ERS XML 输入有 XSS 或注入攻击的嫌疑。

请检查您的 XML 输入。

备份失败

ISE 备份操作失败。

检查思科 ISE 与存储库之间的网络连接性。确保:

  • 用于存储库的凭证是正确的。

  • 存储库中有足够的磁盘空间。

  • 存储库用户具有写入权限。

CA 服务器已关闭

CA 服务器已关闭。

检查以确保 CA 服务已启动并正在 CA 服务器上运行。

CA 服务器已启动

CA 服务器已启动。

通知管理员 CA 服务器已启动。

证书到期

此证书即将到期。证书到期时,思科 ISE 可能无法与客户端建立安全通信。

更换证书。对于信任证书,请联系证书颁发机构 (CA)。对于 CA 签名的本地证书,请生成 CSR 并使 CA 创建新证书。对于自签名的本地证书,请使用思科 ISE 延长有效期。如果不再使用证书,可将其删除。

证书被吊销

管理员已撤销由内部 CA 颁发给终端的证书。

再次从头完成 BYOD 流程以提供新证书。

证书调配初始化错误

证书调配初始化失败。

在主题中找到多个具有相同 CN (CommonName) 属性值的证书。无法构建证书链。检查系统中的所有证书,包括 SCEP(简单证书注册协议)服务器中的证书。

证书复制失败

到辅助节点的证书复制失败。

证书在辅助节点上无效,或存在某些其他永久错误条件。检查辅助节点是否有预先存在的冲突证书。如果找到,请删除辅助节点上预先存在的证书,然后在主节点上导出新证书,删除证书,然后将其导入以重新尝试复制。

证书复制暂时失败

到辅助节点的证书复制暂时失败。

由于网络故障等临时条件,证书未复制到辅助节点。系统会重试复制,直至成功。

证书已过期

此证书已过期。思科 ISE 可能无法与客户端建立安全通信。节点到节点通信可能也会受到影响。

更换证书。对于信任证书,请联系证书颁发机构 (CA)。对于 CA 签名的本地证书,请生成 CSR 并使 CA 创建新证书。对于自签名的本地证书,请使用思科 ISE 延长有效期。如果不再使用证书,可将其删除。

证书请求转发失败

证书请求转发失败。

确保传入的证书请求与发件人的属性相匹配。

配置已更改

思科 ISE 配置已更新。系统没有为任何用户和终端的配置更改触发此警报。

检查是否应存在配置更改。

CRL 检索失败

无法从服务器检索 CRL。如果指定的 CRL 不可用,就可能会出现这种情况。

确保下载 URL 正确且可用于服务。

DNS 解析失败

节点上的 DNS 解析失败。

检查是否可访问使用 ip name-server 命令配置的 DNS 服务器。

如果您收到的警报为 DNS Resolution failed for CNAME <hostname of the node>,则确保为每个思科 ISE 节点创建 CNAME RR 以及 A 记录。

需要进行固件更新

需要在此主机上进行固件更新。

联系思科 TAC 以获取固件更新。

虚拟机资源不足

此主机上的虚拟机 (VM) 资源(如 CPU、RAM、磁盘空间或每秒输入/输出操作 (IOPS))不足。

确保 VM 主机达到《思科 ISE 硬件安装指南》中指定的最低要求。

NTP 服务故障

此节点上的 NTP 服务已关闭。

这可能是因为 NTP 服务器与思科 ISE 节点之间存在较大的时间差异(超过 1000 秒)。确保 NTP 服务器正常工作并使用 ntp server < servername> CLI 命令重新启动 NTP 服务并修复时间差。

NTP 同步失败

在此节点配置上的所有 NTP 服务器均无法访问。

从 CLI 运行 show ntp 命令,进行故障排除。确保可从思科 ISE 访问 NTP 服务器。如果已配置 NTP 身份验证,请确保密钥 ID 和值与服务器的相匹配。

未安排配置备份

未安排思科 ISE 配置备份。

创建配置备份计划。

操作数据库清除失败

无法从操作数据库中清除较旧的数据。这会在 MnT 节点忙碌时发生。

检查数据清除审核报告并确保所用空间小于阈值空间。使用 CLI 登录 MnT 节点,手动执行清除操作。

分析器 SNMP 请求失败

SNMP 请求超时或 SNMP 社区或用户身份验证数据不正确。

确保 SNMP 正在 NAD 上运行并验证思科 ISE 上的 SNMP 配置是否与 NAD 匹配。

恢复失败

思科 ISE 恢复操作失败。

确保思科 ISE 与存储库之间存在网络连接。确保用于存储库的凭证正确。还要确保备份文件未损坏。从 CLI 执行 reset-config 命令并恢复已知的最后一次有效备份。

补丁失败

服务器上的补丁进程失败。

在服务器上重新安装补丁进程。

补丁成功

服务器上的补丁进程成功。

外部 MDM 服务器 API 版本不匹配

外部 MDM 服务器 API 版本与思科 ISE 中配置的版本不匹配。

确保 MDM 服务器 API 版本与思科 ISE 中配置的版本相同。如有需要,更新思科 ISE MDM 服务器配置。

外部 MDM 服务器连接失败

到外部 MDM 服务器的连接失败。

确保 MDM 服务器已启动且思科 ISE-MDM API 服务正在 MDM 服务器上运行。

外部 MDM 服务器响应错误

外部 MDM 服务器响应错误。

确保思科 ISE-MDM API 服务在 MDM 服务器上正常运行。

MDM 合规性轮询已禁用

定期合规性轮询收到大量不合规设备信息。

将到达 MDM 服务器的不合规设备请求数保持在 20000 以下。

终端证书已过期

终端证书已由每天安排的作业标记为过期。

重新注册终端设备,获取新的终端证书。

终端证书已清除

过期的终端证书已由每天安排的作业清除。

无需任何操作。这是管理员发起的清理操作。

终端清除活动

清除终端上过去 24 小时的活动。此警报在午夜触发。

操作 (Operations) > 报告 (Reports) > 终端和用户 (Endpoints and Users) > 终端清除活动 (Endpoint Purge Activities) 下查看清除活动。

PAN 自动故障切换 - 故障切换失败

到辅助管理节点的升级请求失败。

有关进一步操作,请参阅警报详细信息。

PAN 自动故障切换 - 故障切换已触发

已成功触发辅助管理节点到主要角色的故障切换。

等待辅助 PAN 完成升级,并调用旧的主 PAN。

PAN 自动故障切换 - 运行状况检查处于非活动状态

PAN 未收到指定监控节点的运行状况检查监控请求。

验证报告的监控节点是否关闭或不同步,如有需要,请触发手动同步。

PAN 自动故障切换 - 无效的运行状况检查

收到无效的运行状况检查监控请求,无法进行自动故障切换。

验证运行状况检查监控节点是否不同步,如有需要,请触发手动同步。

PAN 自动故障切换 - 主管理节点已关闭

PAN 已关闭或无法从监控节点访问。

调用 PAN 或等待进行故障切换。

PAN 自动故障切换 - 故障切换尝试被拒绝

辅助管理节点已拒绝运行状况检查监控节点提出的升级请求。

有关进一步操作,请参阅警报详细信息。

EST 服务已停止

EST 服务已停止。

确保 CA 和 EST 服务正常运行,且证书服务终端从属 CA 证书链完整。

EST 服务已启动

EST 服务已启动。

通知管理员 EST 服务已启动。

Smart Call Home 通信故障

Smart Call Home 消息未成功发送。

确保思科 ISE 和思科系统之间存在网络连接。

遥测通信故障

遥测消息未成功发送。

确保思科 ISE 和思科系统之间存在网络连接。

适配器不可访问。

思科 ISE 无法连接到适配器。

有关故障的详细信息,请查看适配器日志。

适配器错误

适配器出错。

查看警报说明。

适配器连接失败

适配器无法连接到源服务器。

确保源服务器可访问。

适配器因错误已停止工作

适配器出错,且未处于预期状态。

确保适配器配置正确,且源服务器可访问。有关错误详细信息,请参阅适配器日志。

服务组件错误

服务组件遇到一个错误。

查看警报说明。

服务组件信息

服务组件已发送通知。

无。

ISE 服务

TACACS 身份验证尝试次数过多

ISE 策略服务节点遇到的 TACACS 身份验证次数超过了预期次数。

  • 检查网络设备的重新验证计时器。

  • 检查 ISE 基础设施的网络连接。

TACACS 身份验证失败次数过多

ISE 策略服务节点遇到的 TACACS 身份验证失败次数超过了预期次数。

  • 检查身份验证步骤,找出根本原因。

  • 检查 ISE 或 NAD 配置,确定身份与密钥是否不匹配。

检测到 TACACS 通信过多

在告警设置中配置的思科 ISE PSN 正经历高于预期的 TACACS AAA 事件速率,从而导致出现以下性能问题:

  • 身份验证丢失。

  • 身份验证响应延迟。

  • MnT 实时日志延迟或丢失。

这可能是由于集成产品或自动化脚本在网络设备上频繁执行命令,或在大量设备上同时执行登录操作所致。

  • 在脚本中实施交错登录,以优化跨 NAD 的同时登录数量。

  • 检查并调整集成产品或自动化脚本,以优化在网络设备上执行命令的频率。

  • 确保 TACACS AAA 事件在所有可用的 PSN 间均匀分布,以防止单个 PSN 过载。

AD 连接器必须重新启动

AD 连接器意外停止,必须重新启动。

如果此问题仍然存在,请联系思科 TAC 寻求帮助。

Active Directory 林不可用

Active Directory 林全局目录不可用,无法用于身份验证、授权,以及组和属性检索。

检查 DNS 配置、Kerberos 配置、错误条件和网络连接性。

身份验证域不可用

身份验证域不可用,无法用于身份验证、授权,以及组和属性检索。

检查 DNS 配置、Kerberos 配置、错误条件和网络连接性。

授权结果

 监控授权结果和活动会话。请参阅配置授权结果警报

检查网络或思科 ISE 配置更改是否存在任何差异。

ISE 身份验证处于非活动状态

思科 ISE 策略服务节点未收到网络设备的身份验证请求。

  • 检查思科 ISE 和 NAD 配置。

  • 检查思科 ISE 和 NAD 基础设施的网络连接。

ID 映射。身份验证处于非活动状态

身份映射服务在过去 15 分钟未收集任何用户身份验证事件。

如果应在此时间内进行用户身份验证(例如工作时间),请检查到 Active Directory 域控制器的连接。

CoA 失败

网络设备已拒绝思科 ISE 策略服务节点发出的授权更改 (CoA) 请求。

确保网络设备已配置为接受思科 ISE 的 CoA 请求。请检查是否在有效会话中发出 CoA。

配置的名称服务器已关闭

配置的名称服务器已关闭或不可用。

检查 DNS 配置和网络连接。

请求者已停止响应

思科 ISE 在 120 秒前向客户端发送了最后一条消息,但客户端未响应。

  • 验证请求者是否正确配置为与思科 ISE 进行完整的 EAP 会话。

  • 验证 NAS 是否正确配置为与请求者之间互相传输 EAP 消息。

  • 验证请求者或 NAS 是否不会对 EAP 会话执行短时间超时。

身份验证尝试次数过多

思科 ISE 策略服务节点进行的身份验证次数超过了预期次数。

检查网络设备的重新验证计时器。检查思科 ISE 基础设施的网络连接。

达到阈值后,系统会触发“身份验证尝试次数过多”警报和“失败尝试次数过多”警报。显示在说明 (Description) 列旁边的数字是在过去 15 分钟针对思科 ISE 进行的身份验证成功或失败的总数。

失败尝试次数过多

思科 ISE 策略服务节点遇到的身份验证失败次数超过了预期次数。

检查身份验证步骤,找出根本原因。检查思科 ISE 或 NAD 配置,确定身份与密钥是否不匹配。

达到阈值后,系统会触发“身份验证尝试次数过多”警报和“失败尝试次数过多”警报。显示在说明 (Description) 列旁边的数字是在过去 15 分钟针对思科 ISE 进行的身份验证成功或失败的总数。

AD:计算机 TGT 刷新失败

ISE 服务器票证授予票证 (TGT) 刷新失败。TGT 用于 Active Directory 连接和服务。

检查 ISE 计算机帐户是否存在且有效。另请检查是否存在时钟偏差、复制、Kerberos 配置和/或网络错误或所有此类问题。

AD:ISE 帐户密码更新失败

ISE 服务器未能更新其 AD 计算机帐户密码。

检查 ISE 计算机帐户密码是否未更改,计算机帐户是否未禁用或限制。检查到 KDC 的连接。

所加入的域不可用

所加入的域不可用,无法用于身份验证、授权,以及组和属性检索。

检查 DNS 配置、Kerberos 配置、错误条件和网络连接性。

身份库不可用

思科 ISE 策略服务节点无法访问配置的身份库。

检查思科 ISE 与身份存储库之间的网络连接。

已检测到网络设备配置错误

思科 ISE 已检测到 NAS 的 RADIUS 记帐信息过多。

默认情况下,禁用此警报。要启用此警报,请参阅启用并配置警报

NAS 已向 ISE 发送过多的重复 RADIUS 记账信息。为 NAS 配置准确的记账频率。

已检测到请求者配置错误

思科 ISE 已检测到网络上的请求者配置错误。

默认情况下,禁用此警报。要启用此警报,请参阅启用并配置警报

确保请求者的配置正确。

记账未启动

思科 ISE 策略服务节点已授权会话,但未收到网络设备的记帐启动请求。

确保在网络设备上已配置 RADIUS 记账。检查网络设备配置的本地授权情况。

NAD 未知

思科 ISE 策略服务节点收到未配置在思科 ISE 中的网络设备的身份验证请求。

检查网络设备是否为真实请求,然后将其添加到配置中。确保密钥匹配。

SGACL 丢包

发生安全组访问 (SGACL) 丢包。如果支持 Trustsec 的设备因 SGACL 策略违规丢包,就会出现这种情况。

运行 RBACL 丢包摘要报告并查看导致 SGACL 丢包的源。向违规的源发出 CoA 以重新授权或断开会话连接。

RADIUS 请求已丢弃

NAD 的身份验证和记账请求已以静默方式丢弃。这可能是由于 NAD 未知、共享密钥不匹配或依照 RFC 数据包的内容无效。

默认情况下,禁用此警报。要启用此警报,请参阅启用并配置警报

检查 NAD/AAA 客户端是否在思科 ISE 中存在有效配置。检查 NAD/AAA 客户端和思科 ISE 上的共享密钥是否相互匹配。确保 AAA 客户端和网络设备没有硬件问题或 RADIUS 兼容性问题。此外,请确保用于将设备连接到思科 ISE 的网络没有硬件问题。

EAP 会话分配失败

由于达到 EAP 会话限制,RADIUS 请求已丢弃。此情况可能是由并行 EAP 身份验证请求过多导致。

在调用包含新 EAP 会话的其他 RADIUS 请求之前,请等待几秒钟。如果继续出现系统过载,请尝试重新启动 ISE 服务器。

RADIUS 情景分配失败

由于系统过载,RADIUS 请求已丢弃。此情况可能是由并行身份验证请求过多导致。

在调用新 RADIUS 请求之前,请等待几秒钟。如果继续出现系统过载,请尝试重新启动 ISE 服务器。

AD:ISE 计算机帐户没有获取组所需的权限。

思科 ISE 计算机帐户没有获取组所需的权限。

检查思科 ISE 计算机帐户是否有权限获取 Active Directory 中的用户组。

安全评估配置检测

对于合规授权配置文件,安全评估状态同步端口不会被阻止。

配置 ACL 以便在客户端安全评估状态合规时阻止安全评估状态同步探测到达思科 ISE。

到 MnT 查询的安全状态查询为高

MnT 会话查找的安全评估查询每小时较高。

检查网络配置,并确保无法从 ISE 网络外部的任何客户端访问 PSN。

节点复制

复制减慢信息

当待处理邮件计数大于 10000 或复制邮件所用时间超过 1 小时时,检测到复制缓慢或卡死。

验证节点是否可访问并且是部署的一部分,并验证其是否处于高负载状态。

复制减慢警告

当待处理邮件计数大于 20000 或复制邮件所用时间超过 3 小时时,检测到复制缓慢或卡死。

验证节点是否可访问并且是部署的一部分,并验证其是否处于高负载状态。

复制减慢错误

当待处理邮件计数大于 40000 或复制邮件所用时间超过 5 小时时,检测到复制缓慢或卡死。

验证节点是否可访问并且是部署的一部分,并验证其是否处于高负载状态。

复制失败

辅助节点无法使用复制的消息。

登录思科 ISE GUI 并从部署 (Deployment) 窗口执行手动同步,或取消注册并注册受影响的思科 ISE 节点。

复制已停止

思科 ISE 节点无法从 PAN 复制配置数据。

登录思科 ISE GUI 以从部署 (Deployment) 窗口执行手动同步,或取消注册并注册带必填字段的受影响思科 ISE 节点。

系统运行状况

高磁盘 I/O 利用率

思科 ISE 系统遇到高磁盘 I/O 利用率。

检查系统是否有足够的资源。检查系统的实际工作量,例如,身份验证数量、分析器活动等。添加额外服务器以分配负载。

高磁盘空间利用率

思科 ISE 系统遇到高磁盘空间利用率。

检查系统是否有足够的资源。检查系统的实际工作量,例如,身份验证数量、分析器活动等。添加额外服务器以分配负载。

高平均负载

思科 ISE 系统遇到高平均负载。

检查系统是否有足够的资源。检查系统的实际工作量,例如,身份验证数量、分析器活动等。添加额外服务器以分配负载。

请勿使用第三方工具检查单个 CPU 核心上的平均负载,因为此指标不会反映整体系统负载。我们建议您在思科 ISE CLI 中使用 tech top 命令查看系统负载的累积视图。

如果主 MNT 节点和辅助 MnT 节点的凌晨 2:00 时间戳出现对应的高平均负载警报,请注意,CPU 使用率可能由于在该小时运行 DBMS 统计信息而较高。在 DBMS 统计信息运行完成后,CPU 使用率将恢复正常。

高平均负载警报在每个星期日的凌晨 1:00 由每周维护任务触发。此维护任务将重新构建所有占用 1 GB 以上空间的索引。可以忽略此警报。

高内存利用率

思科 ISE 系统遇到高内存利用率。

当内存使用率达到其阈值时,会触发此警报。默认阈值为 90% (MEMORY_UTILIZATION=90)。虽然可以这样配置,但建议您不要更改默认阈值。

检查系统是否有足够的资源。检查系统的实际工作量,例如,身份验证数量、分析器活动等。添加额外服务器以分配负载。

我们建议您在思科 ISE CLI 中使用 show memory 命令检查内存利用率。

在思科 ISE 节点中,其操作系统管理内存利用率。您必须检查可用内存(而不是可用内存)指标,才能更可靠地衡量内存利用率。

请注意,操作系统对缓冲区或缓存中的大部分内存进行分段。如果总内存中显示的内存不足 90%,并且交换内存没有显着增加,则可以认为思科 ISE 内存使用率稳定。

高操作数据库使用率

思科 ISE 监控节点遇到的系统日志数据量高于预期数据量。

检查并缩小操作数据的清除配置窗口。

高身份验证延迟

思科 ISE 系统遇到高身份验证延迟。

检查系统是否有足够的资源。检查系统的实际工作量,例如,身份验证数量、分析器活动等。添加额外服务器以分配负载。

运行状态不可用

监控节点未收到思科 ISE 节点的运行状态。

确保思科 ISE 节点正常运行,并能与监控节点通信。

进程已关闭

其中一个思科 ISE 进程未运行。

重新启动思科 ISE 应用。

已达到分析器队列大小限制

已达到 ISE 分析器队列大小限制。在达到队列大小限制后,收到的时间将被丢弃。

检查系统是否有足够的资源,并确保已启用终端属性过滤器。

已达到 OCSP 事务阈值

已达到 OCSP 事务阈值。当内部 OCSP 服务事务达到其阈值时触发此警报。

检查系统是否有足够的资源。

许可

许可证即将到期

思科 ISE 节点上安装的许可证即将到期。

请参阅思科 ISE 中的许可 (Licencing) 窗口,以查看许可证使用情况。

许可证已过期

思科 ISE 节点上安装的许可证已过期。

联系思科客户团队购买新许可证。

许可证违规

思科 ISE 节点已检测到您超出或即将超出允许的许可证计数。

联系思科客户团队购买额外许可证。

智能许可授权已过期

智能许可的授权已过期。

请参阅思科 ISE 许可管理窗口手动更新智能许可的注册,或检查与思科智能软件管理器的网络连接。如果问题仍然存在,请联系您的思科合作伙伴。

智能许可授权续约故障

从思科智能软件管理器续约授权失败。

请参阅思科 ISE 许可证管理窗口,使用许可证表中的刷新按钮手动更新思科智能软件管理器的授权。如果问题仍然存在,请联系您的思科合作伙伴。

智能许可授权续约成功

从思科智能软件管理器续约授权成功。

发送通知,以告知思科 ISE 的思科智能软件管理器授权续约已成功。

智能许可通信故障

思科 ISE 与思科智能软件管理器的通信失败。

检查与思科智能软件管理器的网络连接。如果问题依然存在,请登录思科智能软件管理器或联系您的思科合作伙伴。

智能许可通信已恢复

思科 ISE 与思科智能软件管理器的通信已恢复。

发送通知,以告知与思科智能软件管理器的网络连接已恢复。

智能许可取消注册失败

从思科智能软件管理器取消注册思科 ISE 失败。

请查看思科 ISE 许可证管理窗口以了解详细信息。如果问题依然存在,请登录思科智能软件管理器或联系您的思科合作伙伴。

智能许可取消注册成功

从思科智能软件管理器取消注册思科 ISE 成功。

发送通知,以告知从思科智能软件管理器取消注册思科 ISE 成功。

智能许可已禁用

思科 ISE 上的智能许可已禁用,正在使用传统许可。

请参阅许可证管理 (License Administration) 窗口以再次启用智能许可。请参阅《思科 ISE 管理指南》或联系您的思科合作伙伴,以了解如何使用思科 ISE 上的智能许可。

智能许可评估期已过期

智能许可的评估期已过期。

请参阅思科 ISE 许可证管理窗口,以从思科智能软件管理器注册思科 ISE。

智能许可 HA 角色已更改

在使用智能许可时已发生高可用性角色更改。

发送通知,以告知 ISE 的高可用性角色已更改。

智能许可 Id 证书已过期

智能许可证书已过期。

请查看思科 ISE 许可证管理窗口,以手动更新智能许可的注册。如果问题仍然存在,请联系您的思科合作伙伴。

智能许可 Id 证书续约失败

在思科智能软件管理器上续约智能许可的注册失败。

请参阅思科 ISE 许可证管理窗口,以手动更新智能许可的注册。如果问题仍然存在,请联系您的思科合作伙伴。

智能许可 Id 证书续约成功

在思科智能软件管理器上续约智能许可的注册成功。

发送通知,以告知思科智能软件管理器的注册续约成功。

智能许可无效请求

对思科智能软件管理器的请求无效。

请查看思科 ISE 许可证管理窗口以了解详细信息。如果问题依然存在,请登录思科智能软件管理器或联系您的思科合作伙伴。

智能许可不合规

思科 ISE 许可证不合规。

请查看 ISE 许可证管理 (ISE License Administration) 窗口以了解详细信息。联系您的合作伙伴或思科客户团队购买新许可证。

智能许可注册失败

将思科 ISE 注册到思科智能软件管理器失败。

请查看 ISE 许可证管理 (ISE License Administration) 窗口以了解详细信息。如果问题依然存在,请登录思科智能软件管理器或联系您的思科合作伙伴。

智能许可注册成功

将思科 ISE 注册到思科智能软件管理器成功。

发送通知,以告知从思科智能软件管理器注册思科 ISE 成功。

系统错误

日志收集错误

思科 ISE 监控收集器进程无法继续从策略服务节点生成审核日志。

这不会影响策略服务节点的实际功能。如需进一步解决问题,请联系思科 TAC。

计划的报告导出失败

无法将导出的报告(CSV 文件)复制到配置的存储库。

验证配置的存储库。如果存储库已删除,请重新添加存储库。如果存储库不可用或不可访问,请将其重新配置为有效存储库。

TrustSec

已调配未知 SGT

已调配未知 SGT。

ISE 将未知 SGT 作为授权流程的一部分进行了调配。不应将未知 SGT 作为已知流的一部分进行分配。

部分 TrustSec 网络设备没有最新的 ISE IP-SGT 映射配置

部分 TrustSec 网络设备没有最新的 ISE IP-SGT 映射配置。

ISE 识别出部分网络设备带有不同的 IP-SGT 映射集。使用 IP-SGT 映射部署 (IP-SGT Mapping Deploy) 选项更新这些设备。

TrustSec SSH 连接失败

TrustSec SSH 连接失败。

ISE 无法建立与网络设备的 SSH 连接。在网络设备 (Network Device) 窗口检查网络设备 SSH 凭证是否与在网络设备上配置的凭证类似。检查网络设备是否已启用从 ISE(IP 地址)进行 SSH 连接。

TrustSec 识别出 ISE 设置为与版本 1.0 以外的 TLS 版本配合使用

TrustSec 识别出 ISE 设置为与版本 1.0 以外的 TLS 版本配合使用。

TrustSec 仅支持 TLS 版本 1.0。

TrustSec PAC 验证失败

TrustSec PAC 验证失败。

ISE 无法验证网络设备发送的 PAC。在网络设备 (Network Device) 窗口以及设备 CLI 检查 Trustsec 设备凭证。确保设备使用由 ISE 服务器调配的有效 PAC。

TrustSec 环境数据下载失败

Trustsec 环境数据下载失败。

思科 ISE 收到非法的环境数据请求。

请验证以下项目:

  • PAC 存在于该请求中且有效。

  • 所有属性均存在于该请求中。

已忽略 TrustSec CoA 消息

已忽略 TrustSec CoA 消息。

思科 ISE 发送了 TrustSec CoA 信息,但尚未收到响应。验证网络设备是否支持 CoA。查看网络设备配置。

TrustSec 默认出口策略被更改

TrustSec 默认出口策略被更改。

请确保它与您的安全策略一致。


当您将用户或终端添加到思科 ISE 时,系统不会触发警报。

警报设置

下表说明了警报设置 (Alarm Settings) 窗口在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 警报设置 (Alarm Settings) > 警报配置 (Alarm Configuration) > 添加 (Add)

字段名称

说明

警报类型 (Alarm Type)

警报类型。

警报名称 (Alarm Name)

警报的名称。

说明

警报说明。

建议的操作 (Suggested Actions)

触发警报时要执行的操作。

状态 (Status)

启用或禁用警报规则。

严重性 (Severity)

选择警报的严重性级别。有效的选项包括:

  • “严重”(Critical):指示严重错误情况。

  • “警告”(Warning):指示正常但重要的情况。这是默认情况。

  • “信息”(Info):指示信息性的消息。

发出系统日志消息 (Send Syslog Message)

为思科 ISE 生成的每个系统警报发送系统日志消息。

输入以逗号分隔的多个电子邮件 (Enter multiple e-mails separated with comma)

电子邮件地址和/或 ISE 管理员名称的列表。

电子邮件中的备注(0 到 4000 个字符) (Notes in Email [0 to 4000 characters])

您希望与系统警报关联的自定义文本消息。

配置授权结果警报

您可以根据授权策略的结果来配置警报。这样将允许您监控任何网络、基础设施或应用变更对终端授权的影响。您可以通过选择特定网络设备组 (NDG) 来定义警报的范围。对于所选的每个 NDG,系统都会创建一个新的“授权结果”(Authorization Result) 警报。

您可以通过选择特定授权配置文件和安全组标记 (SGT) 来过滤要为此警报监控的授权日志。警报只会监控已满足具有指定授权配置文件和 SGT 的授权策略集的终端。

您可以为此警报定义以下阈值之一:

  • 当前活动会话的总数。

  • 所选授权配置文件,SGT 或两者的活动会话数占活动会话总数的百分比。

  • 在定义的时间段内发生的具有所选授权配置文件、SGT 或两者的终端授权的数量。

  • 所选授权配置文件,SGT 或两者的终端授权与定义时间段内生成的授权日志总数相比的百分比。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 警报设置 (Alarm Settings)

步骤 2

从警报列表中,点击授权结果 (Authorization Result)旁边的单选按钮,然后点击编辑 (Edit)

步骤 3

在显示的新窗口中,在警报配置 (Alarm Configuration) 选项卡中,配置阈值 (Thresholds) 区域中的以下字段:

  1. 阈值开 (Threshold On):从下拉列表中选择活动会话 (Active Sessions)配置的时间段内的授权 (Authorizations in Configured Time Period)

    活动会话 (Active Sessions):根据活动会话来定义警报。

    配置的时间段内的授权 (Authorizations in Configured Time Period):根据定义时间段内的终端授权来定义警报。

  2. 阈值类型 (Threshold Type):从下拉列表中选择数字 (Number)百分比 (Percentage)

  3. 阈值运算符 (Threshold Operator):从下拉列表中选择大于 (Greater Than)小于 (Less Than)

  4. 阈值 (Threshold Value):在文本字段中输入阈值。阈值类型 (Threshold Type)数字 (Number) 时,有效范围为 0 到 999999;当阈值类型 (Threshold Type)百分比 (Percentage) 时,有效范围为 0 到 100。

  5. 包括最近的数据(分钟)(Include Data of Last [Minutes]):只有从阈值开 (Threshold On) 下拉列表中选择配置的时间段内的授权 (Authorizations in Configured Time Period) 时才会显示此字段。从下拉列表中选择所需的值。

  6. 运行间隔 (Run Every):从下拉列表中选择轮询间隔(分钟)。

步骤 4

过滤器 (Filters) 区域中定义用于此警报轮询的授权日志的过滤器。从授权配置文件 (Authorization Profile)SGT 下拉列表中选择所需的选项。

您必须在过滤器 (Filters) 区域中至少选择一个选项,即授权配置文件或 SGT,然后才能成功配置此警报。您可以为每个过滤器选择多个选项。

步骤 5

范围 (Scope) 区域中定义警报的范围。从相应的下拉列表中选择特定 NDG,以便仅轮询与特定 NDG 相关的终端授权日志。为所选的每个 NDG 创建单个警报。您可以单独查看和确认每个 NDG 的日志。如果未从下拉列表中选择任何选项,则思科 ISE 中的所有 NDG 都将包含在此警报的范围内。

步骤 6

要接收与此警报活动相关的系统日志消息,请选中发送系统日志消息 (Send Syslog Message) 复选框。

输入以逗号分隔的多个电子邮件 (Enter multiple e-mails separated with comma) 字段中,输入必须将系统日志发送到的邮件地址。要在系统日志邮件中包含特定消息,请在电子邮件中的备注 (Notes in Email) 字段中输入消息。

步骤 7

点击提交 (Submit) 保存配置。

步骤 8

警报通知 (Alarm Notification) 选项卡中,输入必须向其发送警报通知的邮件地址。在输入以逗号分隔的多个电子邮件 (Enter multiple e-mails separated with comma) 字段中输入收件人的邮件地址。在输入发件人电子邮件 (Enter sender e-mail) 字段中输入发件人的电子邮件地址。

步骤 9

点击保存 (Save)

授权结果警报会显示在思科 ISE 控制面板警报 (Alarms) Dashlet 中。此警报的详细信息包括每个授权策略的命中计数,而这些策略包含选择作为过滤器的授权配置文件或 SGT。然后,您可以检查特定授权策略,以确定影响终端授权的网络、基础设施或应用变更。

添加自定义报警

思科 ISE 包含 12 个默认报警类型,例如高内存利用率和配置更改。思科定义的系统警报列在 警报设置窗口(在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 > 系统 > 设置 > 警报设置)。您只能编辑系统报警。

除现有系统警报外,还可以在现有警报类型下添加、编辑或删除自定义警报。

对于每种警报类型,最多可以创建五个警报。警报总数限制为 200。

警报设置 (Alarm Settings) 窗口的警报配置 (Alarm Configuration) 选项卡中,条件 (Conditions) 列显示以下四个警报的详细信息:高身份验证延迟 (High Authentication Latency)、高磁盘 I/O 利用率 (High Disk I/O Utilization)、高磁盘空间利用率 (High Disk Space Utilization) 和高内存利用率 (High Memory Utilization)。其中,每个警报都有一个可配置的阈值。但即使是在配置阈值后,条件 (Conditions) 列也可能不显示详细信息。在这种情况下,请重新编辑警报的相关阈值字段,以查看条件 (Conditions) 列中的详细信息。

执行此程序以添加警报。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 警报设置 (Alarm Settings)

步骤 2

报警配置 (Alarm Configuration) 选项卡中,点击添加 (Add)

步骤 3

输入必要的详细信息。请参阅警报设置部分了解详细信息。

基于报警类型(高内存利用率 (High Memory Utilization)、RADIUS 身份验证尝试次数过多 (Excessive RADIUS Authentication Attempts)、TACACS 身份验证尝试次数过多 (Excessive TACACS Authentication Attempts) 等),警报配置 (Alarm Configuration) 窗口中会显示其他属性。例如,会为“配置更改”(Configuration Change) 警报显示对象名称 (Object Name)对象类型 (Object Type)管理员名称 (Admin Name) 字段。您可以为规定不同条件的相同报警添加多个实例。

步骤 4

点击提交 (Submit)

思科 ISE 警报通知和阈值

您可以启用或禁用思科 ISE 警报,并且配置警报通知行为以通知紧急状况。对于某些警报,您可以配置阈值,如“尝试失败次数过多”(Excessive Failed Attempts) 警报的最大失败尝试次数或“磁盘利用率高”(High Disk Utilization)警报的最大磁盘利用率。

您可以针对每个警报分别配置通知设置,还可以输入每个警报(系统定义警报和用户定义警报)所需要通知的用户的电子邮件 ID。

在警报规则级别指定的收件人邮件地址会覆盖全局收件人邮件地址设置。

启用和配置警报

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 报警设置 (Alarm Settings)

步骤 2

通过点击单选按钮从默认警报列表中选择一个警报,然后点击编辑

步骤 3

状态 (Status) 下拉列表中选择启用 (Enabled)禁用 (Disabled)

步骤 4

如果适用,则配置警报阈值。

步骤 5

点击提交 (Submit)

用于监控的思科 ISE 警报

思科 ISE 提供系统警报以通知您所发生的各种严重系统状况。由思科 ISE 生成的警报在 Alarm dashlet 中显示。Alarm dashlet 中自动显示这些通知。

Alarm dashlet 显示最近警报的列表。从此列表中,您可以选择要查看的警报的详细信息。您可以通过邮件和系统日志消息接收警报通知。

查看监控警报

过程

步骤 1

转至思科 ISE 控制面板

步骤 2

警报 (Alarms) Dashlet 中点击警报。系统会打开一个对话框,其中显示警报详细信息和建议的措施。

步骤 3

点击 Refresh 以刷新警报。

步骤 4

将警报标记为已读以确认警报,减少警报计数(发出警报的次数)。通过选中时间戳旁边的复选框来选择要确认的警报。

确认 (Acknowledge) 下拉列表中选择确认所选 (Acknowledge Selected),将当前显示在窗口中的所有警报标记为已读。默认情况下,窗口中显示 100 行。您可以通过从行数/页数 (Rows/Page) 下拉列表中选择一个值来选择要显示的不同行数。

确认 (Acknowledge) 下拉列表中选择全部确认 (Acknowledge All),将列表中的所有警报标记为已读(无论这些警报当前是否显示在窗口中)。

 

选中标题行中时间戳 (Time Stamp) 旁边的复选框后,将选择窗口中显示的所有警报。但是,如果之后取消选中一个或多个所选警报的复选框,则全选功能将失效。此时时间戳 (Time Stamp) 旁的复选框处于取消选中状态。

步骤 5

点击与您所选择的警报对应的 Details 链接。系统将打开一个对话框,其中显示与所选警报对应的详细信息。

 

与在角色更改之前生成的警报对应的详细信息 (Details) 链接不显示任何数据。

日志收集

监控服务收集日志和配置数据,存储数据,然后处理数据,以生成报告和警报。您可以查看从部署中的任何服务器收集的日志详情。

警报系统日志收集位置

如果将监控功能配置为将警报通知作为系统日志消息发送,您需要提供一个接收通知的系统日志目标。警报系统目标即发送警报系统日志消息的目标位置。


思科 ISE 监控要求日志记录源接口配置使用网络接入服务器 (NAS) IP 地址。您必须为思科 ISE 监控配置交换机。

您还必须有一个配置为系统日志服务器的系统,才能接受系统日志消息。您可以创建、编辑和删除警报系统日志目标。

要将远程日志记录目标配置为警报目标,请执行此程序。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 远程日志记录目标 (Remote Logging Targets)

步骤 2

点击添加 (Add)

步骤 3

新建日志记录目标 (New Logging Target) 窗口中,提交日志记录目标所需的详细信息,并选中包括此目标的警报 (Include Alarms for this Target) 复选框。

RADIUS 实时日志

下表介绍“实时日志”(Live logs) 窗口中的字段,其中显示最近的 RADIUS 身份验证。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > RADIUS > 实时日志 (Live Logs)。请注意,只能在主 PAN 中查看 RADIUS 实时日志。

表 3. RADIUS 实时日志

字段名称

说明

时间

显示监控和故障排除收集代理接收日志的时间。此列为必选项,无法取消选择。

状态

显示身份验证成功还是失败。此列为必选项,无法取消选择。绿色用于代表已通过的身份验证。红色用于代表失败的身份验证。

详细信息

如果已为该会话处理审计事件,则点击详细信息 (Details) 列下的图标可打开审计详细信息 (Accounting Detail) 报告。如果会话处于已验证状态,当您点击详细信息 (Details) 列下的 图标时,会显示身份验证详细信息 (Authentication Detail) 报告。

身份验证详细信息 (Authentication Detail) 报告中的响应时间 (Response Time)是思科 ISE 处理身份验证流程所需的总时间。例如,如果身份验证包含三个往返消息,初始消息花费 300 毫秒,下一条消息花费 150 毫秒,最后一条消息花费 100 毫秒,则 响应时间 为 300 + 150 + 100 = 550 毫秒。

 

您无法查看活动时间超过 7 天的终端的详细信息。当点击活动时间超过 7 天的终端的详细信息 (Details) 图标时,您会看到一个包含以下消息的窗口:此记录无可用数据。(No Data available for this record.)。数据可能已清除或此会话记录的身份验证发生在一周之前。(Either the data is purged or authentication for this session record happened a week ago.) 或者,如果这是“PassiveID”或“PassiveID 可视性”(PassiveID Visibility) 会话,则不会有 ISE 身份验证详细信息,只有会话。(Or if this is an 'PassiveID' or 'PassiveID Visibility' session, it will not have authentication details on ISE but only the session.)

重复次数 (Repeat Count)

显示过去 24 小时内身份验证请求的重复次数,它们在身份、网络设备和授权方面没有任何变化。

身份

显示与身份验证关联的已登录用户名。

如果用户名不存在于任何 ID 存储区中,则显示为 INVALID。如果身份验证由于任何其他原因而失败,则显示为 USERNAME

 

这仅适用于用户。这不适用于 MAC 地址。

为了帮助进行调试,可以强制思科 ISE 显示无效的用户名。为此,请选中管理 (Administration) > 系统 (System) > 设置 (Settings) > 安全设置 (Security Settings) 下的披露无效用户名 (Disclose Invalid Usernames) 复选框。您还可以将披露无效用户名 (Disclose Invalid Usernames) 选项配置为超时,这样就不必手动将其关闭。

终端 ID (Endpoint ID)

显示终端的唯一标识符,通常是 MAC 或 IP 地址。

终端配置文件

显示所分析的终端的类型,例如分析为 iPhone、Android、MacBook、Xbox 等。

身份验证策略 (Authentication Policy)

显示为特定身份验证选择的策略的名称。

授权策略

显示为特定授权选择的策略的名称。

授权配置文件 (Authorization Profiles)

显示用于身份验证的授权配置文件。

IP 地址

显示终端设备的 IP 地址。

Network Device

显示网络访问设备的 IP 地址。

设备端口

显示终端连接的端口号。

Identity Group

显示分配给生成了日志的用户或终端的身份组。

终端安全评估状态 (Posture Status)

显示安全评估验证的状态和身份验证的详细信息。

服务器

指明从其生成日志的策略服务。

MDM 服务器名称 (MDM Server Name)

显示 MDM 服务器的名称。

事件

显示事件状态。

失败原因

如果身份验证失败,显示失败的详细原因。

身份验证方法 (Auth Method)

显示 RADIUS 协议(例如 Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2)、IEEE 802.1x 或 dot1X 等)使用的身份验证方法。

身份验证协议

显示所使用的身份验证协议,例如受保护的可扩展身份验证协议 (PEAP) 和可扩展身份验证协议 (EAP) 等等。

安全组

显示由身份验证日志标识的组。

Session ID

显示会话 ID。


RADIUS 实时日志 (RADIUS Live Logs)TACACS+ 实时日志 (TACACS+ Live Logs) 窗口中,系统会为每个策略授权规则的第一个属性显示一个“已查询 PIP”(Queried PIP) 条目。如果授权规则中的所有属性都与已为之前的规则查询的字典相关,则不会显示其他“已查询 PIP”(Queried PIP) 条目。

您可以在 RADIUS 实时日志 (Live Logs) 窗口中执行以下操作:

  • 将数据导出为 CSV 或 PDF 格式。

  • 根据要求显示或隐藏列。

  • 使用快速或自定义过滤器过滤数据。您也可以保存过滤器供以后使用。

  • 重新排列列并调整列宽。

  • 对列值排序。


所有用户自定义将存储为用户首选项。

TACACS 实时日志

下表列出“TACACS+ 实时日志”(TACACS Live Logs) 窗口的字段,其中会显示 TACACS+ AAA 详细信息。在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > TACACS > 实时日志 (Live Logs)。您只能在主 PAN 中查看 TACACS 实时日志。

表 4. TACACS 实时日志

字段名称

使用指南

生成时间 (Generated Time)

根据特定事件触发时间显示系统日志生成时间。

日志记录时间 (Logged Time)

显示监控节点处理和存储系统日志的时间。此列为必选项,无法取消选择。

状态

显示身份验证成功还是失败。此列为必选项,无法取消选择。绿色用于代表已通过的身份验证。红色用于代表失败的身份验证。

详细信息

在点击放大镜图标时显示报告,使您能够深入查看有关所选身份验证方案的更多详细信息。此列为必选项,无法取消选择。

会话密钥 (Session Key)

显示由 ISE 返回到网络设备的会话密钥(在 EAP 成功或 EAP 失败消息中查找)。

用户名

显示设备管理员的用户名。此列为必选项,无法取消选择。

类型

包括两种类型 - 身份验证和授权。显示身份验证或授权已成功或失败的用户名称,或二者均成功和失败的用户名称。此列为必选项,无法取消选择。

身份验证策略 (Authentication Policy)

显示为特定身份验证选择的策略的名称。

授权策略 (Authorization Policy)

显示为特定授权选择的策略的名称。

ISE 节点 (ISE Node)

显示处理访问请求的 ISE 节点的名称。

网络设备名称

显示网络设备的名称。

网络设备 IP (Network Device IP)

显示访问请求已处理的网络设备的 IP 地址。

网络设备组 (Network Device Groups)

显示网络设备所属相应网络设备组的名称。

设备类型 (Device Type)

显示用于处理来自不同网络设备的访问请求的设备类型。

位置

显示用于处理来自网络设备的访问请求的基于位置的策略。

设备端口 (Device Port)

显示发出访问请求的设备端口号。

故障原因 (Failure Reason)

显示拒绝网络设备发出的访问请求的原因。

远程地址 (Remote Address)

显示唯一标识终端站的 IP 地址、MAC 地址,或任何其他字符串。

匹配的命令集

如果 MatchedCommandSet 属性值存在,则显示该值,或如果 MatchedCommandSet 属性值为空或属性本身不存在于系统日志,则显示一个空值。

外壳配置文件 (Shell Profile)

显示已授予设备管理员用于在网络设备执行命令的权限。

您可以在TACACS 实时日志 (TACACS Live Logs) 窗口中执行以下操作:

  • 将数据导出为 CSV 或 PDF 格式。

  • 根据要求显示或隐藏列。

  • 使用快速或自定义过滤器过滤数据。您也可以保存过滤器供以后使用。

  • 重新排列列并调整列宽。

  • 对列值排序。


所有用户自定义将存储为用户首选项。

实时身份验证

您可以在实时身份验证 (Live Authentications) 窗口实时监控最近发生的 RADIUS 身份验证。此窗口显示最近 24 小时内发生的前 10 项 RADIUS 身份验证。此节说明实时身份验证 (Live Authentications) 窗口的功能。

实时身份验证 (Live Authentications) 窗口显示与所发生的身份验证事件对应的实时身份验证条目。除了身份验证条目之外,此窗口还显示与这些事件对应的实时会话条目。您还可以向下钻取会话,查看与该会话对应的详细报告。

实时身份验证 (Live Authentications) 窗口提供一个按所发生时间排序的最近 RADIUS 身份验证的表格说明。实时身份验证 (Live Authentications) 窗口底部显示的最近更新会显示服务器日期、时间和时区。


如果 Access-Request 数据包中的密码属性为空,则会触发错误消息,访问请求将失败。

一个终端成功通过身份验证时,实时身份验证 (Live Authentications) 窗口会显示两个条目 — 一个条目对应身份验证记录,另一个条目对应会话记录(从会话实时视图下拉)。随后,当设备进行其他身份验证成功时,与会话记录对应的重复次数计数器会递增其次数。在实时身份验证 (Live Authentications) 窗口显示的重复次数计数器会显示所抑制的重复 RADIUS 身份验证成功消息的数量。

请参阅默认情况下显示的实时身份验证数据类别。“最近的 RADIUS 身份验证”(Recent RADIUS Authentications) 部分中说明了这些类别。

您可以选择查看所有列,也可以只显示所选择的数据列。在选择您想要显示的列之后,您可以保存您的选择。

监控实时身份验证

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > RADIUS > 实时日志 (Live logs)

步骤 2

刷新 (Refresh) 下拉列表中,选择更改数据刷新率的间隔。

步骤 3

点击刷新 (Refresh) 图标手动更新数据。

步骤 4

显示 (Show) 下拉列表中,选择一个选项以更改显示的记录数量。

步骤 5

时间范围 (Within) 下拉列表中,选择一个选项以指定时间间隔。

步骤 6

点击添加或删除列 (Add or Remove Columns) 并从下拉列表中选择选项以更改所显示的列。

步骤 7

点击窗口底部的保存以保存您的修改。

步骤 8

点击显示实时会话 (Show Live Sessions) 以查看实时 RADIUS 会话。

您可以使用实时会话的动态授权更改 (CoA) 功能,使您可以动态控制活动的 RADIUS 会话。您可以向网络接入设备 (NAD) 发送重新身份验证或断开连接请求。

在“实时身份验证”(Live Authentications) 页面过滤数据

使用实时身份验证页面中的过滤器,可以过滤出您需要的信息,快速排除网络身份验证问题。您可以在身份验证实时日志页面筛选记录,只查看那些您感兴趣的记录。身份验证日志包含许多详细信息,过滤特定用户或位置的身份验证信息有助于您快速扫描数据。您可以使用实时身份验证页面中可用的若干运算符,根据搜索条件筛选记录。

  • “abc”:包含“abc”

  • “!abc”:不包含“abc”

  • “{}”:为空

  • “!{}”:不为空

  • “abc*”:以“abc”开头

  • “*abc”:以“abc”结束

  • “\!”、“\*”、“\{”、“\\”:转义

通过 Escape 选项,您可以筛选包含特殊字符的文本(包括用作过滤器的特殊字符)。您必须将反斜线 (\) 放在特殊字符的前面。例如,如果您要查看身份为“Employee!”的用户的身份验证记录,请在身份过滤器 (Identity Filter) 文本框中输入“Employee\!”。在此例中,思科 ISE 考虑将感叹号 (!) 作为文字字符,而不是作为特殊字符。

此外,使用状态 (Status) 字段您可以筛选出仅成功的身份验证记录、失败的身份验证、实时会话,等等。绿色复选标记会筛选过去发生的所有成功身份验证。红色十字标记会筛选所有失败身份验证。蓝色 i 图标会筛选所有实时会话。您还可以选择查看这些选项的组合。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 > RADIUS > 实时日志

步骤 2

根据显示实时身份验证页面中的任意字段筛选数据。

您可以根据成功或失败身份验证,或实时会话筛选结果。

RADIUS 实时会话

此表说明了 RADIUS 实时会话 (Live Sessions) 窗口中的字段,此窗口显示实时身份验证要查看此处窗口,请点击菜单 图标 (),然后选择 操作 > RADIUS > 实时会话您仅可在主 PAN 上查看 RADIUS 实时会话。

表 5. RADIUS 实时会话

字段名称

说明

启动时间 (Initiated)

显示启动会话时的时间戳。

已更新 (Updated)

显示会话上次由于更改而更新时的时间戳。

帐户会话时间 (Account Session Time)

显示用户会话的时间跨度(秒)。

会话状态 (Session Status)

显示终端设备的当前状态。

操作 (Action)

点击操作 (Actions) 图标可对活动 RADIUS 会话重新进行身份验证或断开活动 RADIUS 会话连接。

重复次数 (Repeat Count)

显示用户或终端重新进行身份验证的次数。

终端 ID (Endpoint ID)

显示终端的唯一标识符,通常是 MAC 或 IP 地址。

身份 (Identity)

显示终端设备的用户名。

IP 地址 (IP Address)

显示终端设备的 IP 地址。

审核会话 ID (Audit Session ID)

显示唯一会话标识符。

帐户会话 ID (Account Session ID)

显示网络设备提供的唯一 ID。

终端配置文件 (Endpoint Profile)

显示设备的终端配置文件。

安全评估状态 (Posture Status)

显示安全评估验证的状态和身份验证的详细信息。

安全组 (Security Group)

显示由身份验证日志标识的组。

服务器 (Server)

指示已从中生成日志的策略服务节点。

身份验证方式 (Auth Method)

显示 RADIUS 协议使用的身份验证方式,例如密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、IEE 802.1x 或 dot1x 等等。

身份验证协议 (Authentication Protocol)

显示所使用的身份验证协议,例如受保护的可扩展身份验证协议 (PEAP) 和可扩展身份验证协议 (EAP) 等等。

身份验证策略 (Authentication Policy)

显示为特定身份验证选择的策略的名称。

授权策略 (Authorization Policy)

显示为特定授权选择的策略的名称。

授权配置文件 (Authorization Profiles)

显示用于身份验证的授权配置文件。

NAS IP 地址 (NAS IP Address)

显示网络设备的 IP 地址。

设备端口 (Device Port)

显示网络设备的连接端口。

PRA 操作 (PRA Action)

显示客户端在网络上成功通过合规性验证后,在客户端上采取的定期重评估操作。

ANC 状态 (ANC Status)

设备的自适应网络控制状态,如隔离 (Quarantine)、取消隔离 (Unquarantine)关闭 (Shutdown)

WLC 漫游 (WLC Roam)

显示用于跟踪是否已在漫游期间从一个无线局域网控制器 (WLC) 传递到另一个 WLC 的终端的布尔值 (Y/N)。它的值为 cisco-av-pair=nas-update =Y 或 N。

 

思科 ISE 依靠 WLC 中的 nas-update=true 属性识别会话是否处于漫游状态。当原始 WLC 在 nas-update=true 时发送记账停止属性时,不会在 ISE 中删除会话,以避免重新进行身份验证。如果漫游失败,ISE 将在会话处于非活动状态五天后清除该会话。

接收的数据包 (Packets In)

显示接收的数据包数量。

发送的数据包 (Packets Out)

显示发送的数据包数量。

接收的字节 (Bytes In)

显示接收的字节数。

发送的字节 (Bytes Out)

显示发送的字节数。

会话源 (Session Source)

指示它是 RADIUS 会话还是被动 ID 会话。

用户域名 (User Domain Name)

显示用户的注册 DNS 名称。

主机域名 (Host Domain Name)

显示主机的注册 DNS 名称。

用户 NetBIOS 名称 (User NetBIOS Name)

显示用户的 NetBIOS 名称。

主机 NetBIOS 名称 (Host NetBIOS Name)

显示主机的 NetBIOS 名称。

许可证类型 (License Type)

显示使用的许可证类型。

许可证详细信息 (License Details)

显示许可证详细信息。

提供程序 (Provider)

终端活动获悉自不同的系统日志源。这些系统日志源称为提供程序。

  • Windows Management Instrumentation (WMI):WMI 是一种 Windows 服务,用于提供通用接口和对象模型来访问有关操作系统、设备、应用和服务的管理信息。

  • 代理:代表客户端或另一个程序在客户端上运行的程序。

  • 系统日志:客户端发送事件消息的日志记录服务器。

  • REST:客户端通过终端服务器进行身份验证。对于此系统日志源,将会显示“TS 代理 ID”、“源端口开始时间”、“源端口结束时间”和“源第一个端口”值。

  • SPAN:使用 SPAN 探测器发现的网络信息。

  • DHCP:DHCP 事件。

  • 终端

 

从终端会话了解或获取来自不同提供程序的两个事件后,提供程序在实时会话 (Live Sessions)窗口中显示为逗号分隔值。

MAC 地址 (MAC Address)

显示客户端的 MAC 地址。

终端检查时间 (Endpoint Check Time)

显示终端探测器上次检查终端的时间。

终端检查结果 (Endpoint Check Result)

显示终端探测的结果。可能的值包括:

  • 无法接通

  • 用户退出

  • 活动用户

起始源端口 (Source Port Start)

(仅为 REST 提供程序显示值)显示端口范围中的第一个端口号。

结束源端口 (Source Port End)

(仅为 REST 提供程序显示值)显示端口范围中的最后一个端口号。

源第一个端口 (Source First Port)

(仅为 REST 提供程序显示值)显示由终端服务器代理分配的第一个端口。

终端服务器指允许多个终端在无需调制解调器或网络接口的情况下连接到其上的服务器或网络设备,可实现多个终端到 LAN 网络的连接。多个终端可能会有相同的 IP 地址,因此难以识别特定用户的 IP 地址。所以,为了识别特定用户,需在服务器上安装终端服务器代理,为每个用户分配一个端口范围。这有助于创建 IP 地址-端口用户映射。

TS 代理 ID (TS Agent ID)

(仅为 REST 提供程序显示值)显示安装在终端上的终端服务器代理的唯一标识。

AD 用户解析的身份 (AD User Resolved Identities)

(仅为 AD 用户显示值)显示匹配的潜在账户。

AD 用户解析的 DN (AD User Resolved DNs)

(仅为 AD 用户显示值)显示 AD 用户的可分辨名称,例如 CN=chris,CN=Users,DC=R1,DC=com

导出摘要

您可以查看过去 7 天内所有用户导出的报告的详细信息以及状态。导出摘要包括手动报告和已计划的报告。导出摘要 (Export Summary) 窗口每 2 分钟自动刷新一次。点击刷新图标可手动刷新导出摘要窗口。

超级管理员可以取消处于处理中排队中状态的导出任务。其他用户只能取消他们发起的导出进程。

默认情况下,在给定的时间点只能运行 3 次报告手动导出,其余触发的报告手动导出会排队。计划导出的报告没有此类限制。
当思科 ISE 服务器重新启动时,所有处于排队状态的报告都将重新安排,处于正在进行 (In-Progress)正在取消 (Cancellation-in-progress) 状态的报告将标记为失败。如果主 MnT 节点关闭,则已计划的报告导出作业会在辅助 MnT 节点上运行。

下表介绍导出摘要窗口中的字段。 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 导出摘要 (Export Summary)

表 6. 导出摘要

字段名称

说明

报告已导出

显示报告的名称。

导出依据

显示发起导出进程的用户的角色。

已计划

显示报告导出是否为计划性导出。

触发于

显示在系统中触发导出进程的时间。

存储库

显示将存储导出数据的存储库的名称。

过滤器参数

显示导出报告时选择的过滤器参数。

状态

显示导出的报告的状态。它可以是下列类型之一:

  • 已排队

  • 正在进行

  • 已完成

  • 正在取消

  • 已取消

  • 失败

  • 已跳过

 
失败状态指示失败的原因。已跳过状态指示当主 MnT 节点关闭时,跳过了计划的报告导出。

您可以在导出摘要 (Export Summary) 窗口中执行以下操作:

  • 根据要求显示或隐藏列。

  • 使用快速或自定义过滤器过滤数据。您也可以保存过滤器供以后使用。

  • 重新排列列并调整列宽。

身份验证摘要报告

您可以根据与身份验证请求相关的属性,针对具体用户、设备或搜索条件对网络接入进行故障排除。您可以通过运行“身份验证摘要”(Authentication Summary) 报告实现此目标。

您只能生成最近 30 天的“身份验证摘要”报告。

网络接入问题故障排除

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 设备管理 (Device Administration) > 身份验证摘要报告 (Authentication Summary Report)

步骤 2

过滤报告以了解故障原因

步骤 3

查看报告中身份验证失败原因 (Authentication by Failure Reasons) 部分的数据以对您的网络访问问题进行故障排除。

 

由于身份验证摘要报告会收集和显示与失败或成功的身份验证对应的最新数据,所以报告内容会延迟几分钟后显示。

部署和支持信息的思科支持诊断

概述

Cisco Support Diagnostics Connector 是一项新功能,可帮助思科技术支持中心 (TAC) 和思科支持工程师从主管理节点获取部署信息。TAC 可以通过连接器获取部署中任何特定节点的支持信息。这些数据有助于更快、更准确地进行故障排除。

您可以通过思科 ISE 管理门户启用 Cisco Support Diagnostics Connector。利用安全服务交换 (SSE) 云门户,此功能允许在部署中的主策略管理节点与 Cisco Support Diagnostics 之间建立双向连接。

前提条件

  • 您必须具有超级管理员或系统管理员角色才能启用或禁用 Cisco Support Diagnostics。

配置 Cisco Support Diagnostics Connector

启用 Cisco Support Diagnostics 功能:

  • 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 设置 (Settings) > 网络成功诊断 (Network Success Diagnostics) > 思科支持诊断 (Cisco Support Diagnostics) > 思科支持诊断设置 (Cisco Support Diagnostics Setting)

  • 默认情况下会禁用此功能。否则,请选中启用 Cisco Support Diagnostics (Enable Cisco Support Diagnostics) 复选框以激活 Cisco Support Diagnostics。

验证 Cisco Support Diagnostics 双向连接

要验证思科 ISE 是否已成功注册或登记 Cisco Support Diagnostics,以及是否已通过安全服务交换门户建立双向连接,请执行以下操作:

  • 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 更改配置审核 (Change Configuration Audit)

  • 请确保执行以下操作:

    1. Cisco Support Diagnostics 已启用。

    2. ISE 服务器已注册到 Cisco Support Diagnostics。

    3. ISE SSE 服务已登记到 Cisco Support Diagnostics。

    4. Cisco Support Diagnostics 双向连接已启用。

  • 您还可以转到“操作审核”(Operations Audit) 窗口在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 操作审核 (Operations Audit)),了解作为 Cisco Support Diagnostics 组成部分启用、禁用、注册、取消注册、登记或取消登记的服务的详细信息。

故障排除信息。

如果 Cisco Support Diagnostics 双向连接显示为断开,请检查以下项目:

  • 智能许可:禁用智能许可会自动禁用 Cisco Support Diagnostics。重新启用智能许可以启用连接器。

  • 与安全服务交换云的连接:启用 Cisco Support Diagnostics 后,思科 ISE 会持续检查与安全服务交换门户建立的持久连接。如果发现此连接断开,则会触发以下严重警报:“警报:Cisco Support Diagnostics 双向连接断开”(Alarms: The Cisco Support Diagnostics bi-directional connectivity is broken)。使用前面提供的配置步骤重新启用该功能。

相关信息

管理员可以使用 ERS API 执行以下特定任务:

  • 触发特定节点上的支持信息。

  • 获取已触发的支持捆绑包的状态。

  • 下载支持捆绑包。

  • 提取部署信息。

有关使用情况和其他信息,请参阅 ERS SDK 页面。

使用 Cisco Support Diagnostics Connector 获取配置备份

此功能可帮助思科技术支持中心 (TAC) 和思科支持工程师触发配置备份,并将备份文件上传到思科支持诊断文件夹。将备份文件上传到思科支持诊断文件夹后,可以从思科 ISE 本地磁盘删除备份文件。

要使用此功能,必须在思科 ISE 中启用智能许可和思科支持诊断。要启用思科支持诊断,请执行以下操作:

  1. 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 管理 > 系统 > 设置 > 网络成功诊断 > 思科支持诊断 > 思科支持诊断设置

  2. 选中启用思科支持诊断 (Enable Cisco Support Diagnostics) 复选框以激活思科支持诊断。

以下方法用于触发配置备份,然后将备份文件上传到思科支持诊断文件夹:

  1. REST API 用于获取 ISE 集成公司名称的组织 ID。

  2. REST API 中的组织 ID 用于获取设备列表。

  3. REST API 用于获取服务 ID。

  4. 服务 ID 和组织 ID 用于生成 JSON Web 令牌 (JWT)。

  5. REST API 通过将设备 ID 用作路径参数来检查可用于设备的服务。

  6. REST API 用于将备份文件从思科 ISE 上传到思科支持诊断文件夹。可以验证备份文件的上传状态。如果文件未上传到思科支持诊断文件夹,则会显示 404 错误。

故障排除诊断工具

诊断工具可帮助您诊断思科 ISE 网络上的问题并进行故障排除,同时提供关于如何解决问题的详细说明。您可以使用这些工具对身份验证进行故障排除并评估您网络上包括 TrustSec 设备在内的任何网络设备的配置。

RADIUS 身份验证故障排除工具

当身份验证结果不是预期结果时,可使用此工具搜索并选择 RADIUS 身份验证或与 RADIUS 身份验证相关的 Active Directory,以进行故障排除。如果希望通过身份验证但却未通过,或者希望用户或计算机具有特定级别的权限但用户或计算机没有这些权限,请使用此工具。

  • 根据用户名、终端 ID、网络访问服务 (NAS) IP 地址和身份验证失败原因搜索 RADIUS 身份验证以排除故障时,思科 ISE 只显示系统(当前)日期的身份验证。

  • 根据 NAS 端口搜索 RADIUS 身份验证以排除故障时,思科 ISE 显示自上个月初至当前日期的所有 NAS 端口值。


    根据 NAS IP 地址和终端 ID 字段搜索 RADIUS 身份验证时,先在操作数据库中执行搜索,然后在配置数据库中执行搜索。

对意外 RADIUS 身份验证结果进行故障排除

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > RADIUS 身份验证故障排除 (RADIUS Authentication Troubleshooting)

步骤 2

根据需要在字段中指定搜索条件。

步骤 3

点击 Search 以显示与您的搜索条件匹配的 RADIUS 身份验证。

如果要搜索 Active Directory 相关的身份验证,但在部署中未配置 Active Directory 服务器,则系统将显示未配置 AD”(AD not configured) 消息。

步骤 4

从表格中选择 RADIUS 身份验证记录,并点击故障排除

要对 Active Directory 相关的身份验证进行故障排除,请访问管理 > 身份管理 > 外部身份源 > Active Directory > AD 节点下的“诊断工具”。

步骤 5

点击需要用户输入 (User Input Required),根据需要修改字段,然后点击提交 (Submit)

步骤 6

点击 Done

步骤 7

故障排除完成后,点击 Show Results Summary

步骤 8

(可选)若要查看诊断、为解决问题而采取的步骤以及故障排除摘要,请点击完成

执行网络设备命令诊断工具

执行网络设备命令诊断工具允许您在任何网络设备上运行 show 命令。

显示的结果与您应在控制台上看到的结果相同。通过此工具,您可以发现设备配置中的任何问题。

使用此工具可验证任何网络设备的配置,也可以使用此工具了解网络设备的配置方式。

要访问执行网络设备命令诊断工具,请选择以下导航路径之一:

  1. 在思科 ISE GUI 中,点击菜单图标 () 并选择 操作 > 故障排除 > 诊断工具 > 执行网络设备命令在思科 ISE GUI 中,点击菜单图标 () 并选择 工作中心 > 解析器 > 故障排除 > 执行网络设备命令

  2. 在显示的 执行网络设备命令 窗口中,在相应字段中输入网络设备的 IP 地址和您想要运行的 显示 命令。

  3. 点击运行 (Run)

执行思科 IOS show 命令以检查配置

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 选择操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > 执行网络设备命令 (Execute Network Device Command)

步骤 2

在相应字段中输入信息。

步骤 3

点击 Run 以在指定网络设备上执行此命令。

步骤 4

点击需要用户输入 (User Input Required),必要时修改字段。

步骤 5

点击 提交 以在网络设备上运行命令,然后查看输出。

评估配置验证程序工具

可以使用此诊断工具评估网络设备的配置并确定配置问题(如果有)。Expert Troubleshooter 会将设备的配置与标准配置进行比较。

无代理终端安全状态故障排除

“无代理终端安全评估”(Agentless Posture) 报告是当无代理终端安全评估未按预期工作时使用的主要故障排除工具。此报告显示无代理流的各个阶段,包括脚本上传完成、脚本上传失败、脚本执行完成等事件,以及任何已知的失败原因(如有)。


无代理安全评估脚本无法验证自身,但脚本会在执行后验证从思科 ISE 接收的数据。

您可以从两个位置访问无代理终端安全评估故障排除:

  • 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 > 实时日志,然后在要进行故障排除的客户端旁边的终端安全评估状态 列上点击三个竖点。

  • 在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 > 故障排除 > 诊断 > 常规工具 > 无代理终端安全评估故障排除

无代理终端安全评估故障排除工具会收集指定客户端的无代理终端安全评估活动。无代理终端安全评估流 (Agentless Posture Flow) 会启动终端安全评估并显示当前活动客户端与思科 ISE 之间的所有交互。仅下载客户端日志 (Only Download Client Logs) 会创建一些日志,其中包含最长 24 小时的客户端终端安全评估流。客户端可以随时删除日志。收集完成后,可以导出日志的 ZIP 文件。

报告

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 > 报告 > 报告 > 终端和用户 > 无代理终端安全评估,查看运行无代理终端安全评估的所有终端。

解决网络设备配置问题

过程

步骤 1

在思科 ISE GUI 中,点击菜单图标 () 并选择 操作 > 故障排除 > 诊断工具 > 常规工具 > 评估配置验证器

步骤 2

网络设备 IP (Network Device IP) 字段中输入您想要评估网络设备的 IP 地址。

步骤 3

选中相应复选框,然后点击要与建议模板进行比较的配置选项旁边的单选按钮。

步骤 4

点击 Run

步骤 5

进度详细信息...区域中,点击点击此处输入凭证

步骤 6

凭证窗口 (Credentials Window) 对话框中,输入与网络设备建立连接所需的连接参数和凭证。

步骤 7

点击提交 (Submit)

步骤 8

(可选)要取消工作流程,请在进度详细信息... 窗口中点击点击此处取消正在运行的工作流程

步骤 9

(可选)选中想要分析的接口旁边的复选框,然后点击提交

步骤 10

(可选)点击显示结果摘要以查看配置评估的详细信息。

排除终端安全评估故障

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > 终端安全评估故障排除 (Posture Troubleshooting)

步骤 2

在相应字段中输入信息。

步骤 3

点击 Search

步骤 4

要查找说明和确定事件的解决方法,请在列表中选择事件,点击 Troubleshoot

会话跟踪测试案例

此工具用于以一种可预测的方式测试策略流,以检查和验证策略的配置方式,而无需让实际流量源自实际设备。

您可以配置测试案例中使用的属性和值的列表。这些详细信息用于执行与策略系统的交互,以模拟对策略的运行时调用。

可通过使用词典配置属性。适用于简单 RADIUS 身份验证的所有词典都列在属性字段中。


您可以配置仅适用于简单 RADIUS 身份验证的测试案例。

配置会话跟踪测试案例

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 > 故障排除 > 诊断工具 > 常规工具 > 会话跟踪测试用例

步骤 2

点击添加

步骤 3

测试详细信息 (Test Details) 选项卡中,输入测试用例的名称和描述。

步骤 4

选择一个预定义的测试用例或配置必填属性及其值。可提供以下预定义的测试案例:

  • 基本身份验证访问

  • 已分析的思科电话

  • 兼容设备访问

  • Wi-Fi 访客(重定向)

  • Wi-Fi 访客(访问)

选择预定义的测试案例后,思科 ISE 会自动填充测试案例的相关属性。您可以使用这些属性的默认值,或从显示的选项中选择一个值。您还可以向测试用例添加其他自定义属性。

添加到测试用例的属性和值会列在文本 (Text) 字段(自定义属性 (Custom Attributes) 字段下方)中。当您在文本 (Text) 字段中编辑内容时,思科 ISE 会检查更新内容的有效性和语法。

您可以在测试详细信息 (Test Details) 窗口底部查看所有属性的摘要。

步骤 5

点击 提交

思科 ISE 验证属性及其值,并在保存测试详细信息之前指示任何错误。

步骤 6

测试可视化工具 (Test Visualizer) 选项中,选择要运行此测试用例的节点。

 

仅具有策略服务角色的节点显示在 ISE 节点下拉列表中。

点击用户组/属性 (User Groups/Attributes),从外部身份库检索用户的组和属性。

步骤 7

点击执行 (Execute)

思科 ISE 执行测试案例,并以表格格式显示测试案例的逐步结果。它显示策略阶段、匹配规则和结果对象。点击绿色图标可查看每个步骤的详细信息。

步骤 8

(可选)点击先前测试执行选项卡查看先前测试执行的结果。您还可以选择和比较任意两个测试案例。思科 ISE 以表格格式显示每个测试案例的属性的比较视图。

步骤 9

您可以从 RADIUS 实时日志 (RADIUS Live Logs) 页面启动会话跟踪测试用例工具。您可以在实时日志 窗口上选择一个条目,然后点击操作图标(在详细信息 列中),启动会话跟踪测试用例工具。思科 ISE 会从相应的日志条目中提取相关属性及其值。如果需要,可以修改这些属性和值,并执行测试用例。

用于验证传入流量的 TCP Dump 实用工具

TCP 转储实用工具嗅探数据包,可以使用此实用工具验证预计数据包是否已到达节点。例如,当报告中没有显示传入身份验证或日志时,您可能会怀疑没有传入流量或传入流量无法到达思科 ISE。在这种情况下,您可以运行此工具进行验证。

可以配置 TCP 转储选项,然后从网络流量收集数据以帮助您对网络问题进行故障排除。

使用 TCP Dump 监控网络流量

“TCP 转储”(TCP Dump) 窗口列出了您创建的 TCP 转储进程文件。可以创建不同文件以用于不同目的,根据需要运行这些文件,然后在不需要这些文件时将其删除。

您可以通过指定大小、文件数量以及进程运行时间来控制收集的数据。如果进程在时间限制之前完成,并且文件小于最大大小,并且您启用了多个文件,则进程会继续并创建另一个转储文件。

可以对更多接口运行 TCP 转储,包括绑定接口。

不再提供人可读格式选项,转储文件始终为原始格式。

开始之前

TCP 转储 (TCP Dump) 窗口页面中的网络接口 (Network Interface) 下拉列表仅显示已配置 IPv4 或 IPv6 地址的网络接口卡 (NIC)。在 VMware 中,默认情况下将连接所有 NIC,因此,所有 NIC 均具有 IPv6 地址,并显示在网络接口 (Network Interface) 下拉列表中。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > TCP 转储 (TCP Dump)

步骤 2

主机名称 (Host Name) 下拉列表中选择 TCP Dump 实用工具的源。

步骤 3

网络接口 (Network Interface) 下拉列表中选择要监控的接口。

步骤 4

过滤器 (Filter) 字段中,输入要对其进行过滤的布尔表达式。

系统支持以下标准 TCP 转储过滤器表达式:

  • ip host 10.77.122.123

  • ip host ISE123

  • ip host 10.77.122.123 and not 10.77.122.119

步骤 5

输入此 TCP 转储进程的文件名 (File Name)

步骤 6

存储库 (Repository) 下拉列表中选择用于存储 TCP 转储日志文件的存储库。

步骤 7

文件大小 (File Size) 下拉列表中选择最大文件大小。

如果转储超出此文件大小,则一个新文件将打开以继续转储。转储可通过新文件继续的次数受限制为 (Limit to) 设置的限制。

步骤 8

限制为 (Limit to) 选项用于限制转储可扩展到的文件数。

步骤 9

时间限制 (Time Limit) 选项可用于配置转储在运行多长时间后结束。

步骤 10

点击开 (On)关 (Off),设置混合模式 (Promiscuous Mode)。默认值为开 (On)

混合模式为默认包嗅探模式,在此模式下,网络接口将所有流量都传输到系统的 CPU。我们建议将该选项设置为“开”(On)。

保存 TCP Dump 文件

开始之前

您应按照使用 TCP Dump 文件监控网络流量一节中所描述的内容成功完成任务。


还可以通过思科 ISE CLI 访问 TCP 转储。有关详细信息,请参阅思科身份服务引擎 CLI 参考指南

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > TCP 转储 (TCP Dump)

步骤 2

点击下载 (Download),导航至所需位置,并点击保存 (Save)

步骤 3

(可选)若要清除以前的转储文件而无需保存,请点击删除 (Delete)

比较终端或用户的意外 SGACL

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > TrustSec 工具 (TrustSec Tools) > 出口 (SGACL) 策略 (Egress [SGACL] Policy)

步骤 2

输入想要比较其 SGACL 策略的 TrustSec 设备的网络设备 IP 地址。

步骤 3

点击运行 (Run)

步骤 4

点击需要用户输入,必要时修改字段。

步骤 5

点击 提交

步骤 6

点击 Show Results Summary,查看诊断和建议的解决步骤。

出口策略诊断流程

出口策略诊断工具会使用下表中介绍的流程:

流程阶段

说明

1

使用您所提供的 IP 地址连接设备,然后获取每个源和目标 SGT 对的访问控制列表 (ACL)。

2

检查并确保已在思科 ISE 中配置出口策略并为每个源和目标 SGT 对获取 ACL。

3

将从网络设备获取的 SGACL 策略与从思科 ISE 获取的 SGACL 策略进行比较。

4

如果存在不匹配情况,则显示源和目标 SGT 对。此外,作为额外的信息,系统会显示匹配的条目。

使用 SXP-IP 映射排除支持 TrustSec 的网络中的连接问题

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 > 故障排除 > 诊断工具 > Trustsec 工具 > SXP-IP 映射

步骤 2

输入网络设备的 IP 地址。

步骤 3

点击选择

步骤 4

点击运行

专业的故障排除人员从网络设备检索 TrustSec SXP 连接,并提示您再次选择 SXP 对等设备。

步骤 5

点击需要用户输入,然后在字段中输入必要信息。

步骤 6

选中您要用于对比 SXP 映射的 SXP 对等设备的复选框,然后输入通用连接参数。

步骤 7

点击 提交

步骤 8

点击 Show Results Summary 查看诊断和解决步骤。

通过 IP-SGT 映射解决支持 TrustSec 的网络中的连接问题

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > Trustsec Tools (Trustsec 工具) > IP 用户 SGT (IP User SGT)

步骤 2

根据需要在字段中输入信息。

步骤 3

点击 Run

系统会提示您输入其他信息。

步骤 4

点击需要用户输入,必要时修改字段。

步骤 5

点击 提交

步骤 6

点击 Show Results Summary 查看诊断和解决步骤。

设备 SGT 工具

对于启用 TrustSec 解决方案的设备,每个网络设备都会通过 RADIUS 身份验证分配到一个 SGT 值。设备 SGT 诊断工具连接至网络设备(使用您提供的 IP 地址)并获取网络设备 SGT 值,然后检查 RADIUS 身份验证记录以确定最近分配的最新 SGT 值。最后,它会用表格格式显示设备-SGT 对,并确定 SGT 值为相同还是不同。

通过对比设备 SGT 映射排除启用 TrustSec 的网络中的连接故障

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > Trustsec 工具 (Trustsec Tools) > 设备 SGT (Device SGT)

步骤 2

根据需要在字段中输入信息。

Telnet 的默认端口号为 23,SSH 的默认端口号为 22。

步骤 3

点击 Run

步骤 4

点击 Show Results Summary 查看设备 SGT 的比较结果。

获取其他故障排除信息

通过思科 ISE,可以从管理员门户下载支持和故障排除信息。可以使用支持捆绑包为思科技术支持中心 (TAC) 准备诊断信息来对思科 ISE 的问题进行故障排除。


支持捆绑包和调试日志为 TAC 提供高级故障排除信息,并且难以解释。可以使用思科 ISE 提供的各种报告和故障排除工具对在网络中面临的问题进行诊断和故障排除。

思科 ISE 支持捆绑包

您可以配置日志,使其成为支持捆绑包的一部分。例如,您可以配置来自特定服务的日志,使其成为调试日志的一部分。此外,您还可以根据日期过滤日志。

您可以下载的日志分类如下:

  • 完整配置数据库:包含可读 XML 格式的思科 ISE 配置数据库。当您尝试解决问题时,可以将此数据库配置导入另一个思科 ISE 节点,以便重新创建场景。

  • 调试日志: 捕获引导程序、应用配置、运行时、部署、公共密钥基础设施 (PKI) 信息以及监控和报告。

    调试日志为特定的思科 ISE 组件提供故障排除信息。要启用调试日志,请参阅第 11 章日志记录。如果不启用调试日志,所有信息消息 (INFO) 将包含在支持捆绑包中。有关详细信息,请参阅思科 ISE 调试日志

  • 本地日志:包含来自思科 ISE 上运行的各种进程的系统日志消息。

  • 核心文件 - 包含有助于识别突发事件的原因的重要信息。这些日志在应用发生崩溃并且包含大量转储时创建。

  • 监控和报告日志:包含关于警报和报告的信息。

  • 系统日志 - 包含思科应用部署引擎 (ADE) 相关信息。

  • 策略配置:包含在思科 ISE 中配置的可读格式的策略。

使用 backup-logs 命令可以从思科 ISE CLI 下载这些日志。有关详细信息,请参阅思科身份服务引擎 CLI 参考指南

对于内嵌式状态节点,您不能从管理员门户下载支持捆绑包。必须从思科 ISE CLI 使用 backup-logs 命令。

如果选择从 Admin 门户下载这些日志,您可以执行以下操作:

  • 根据日志类型(例如调试日志或系统日志),仅下载日志子集。

  • 对于所选日志类型,仅下载最新的 n 个文件。此选项允许您控制支持捆绑包的大小以及下载所需的时间。

监控日志提供关于监控、报告和故障排除功能的信息。有关下载日志的详细信息,请参阅 下载思科 ISE 日志文件。

支持捆绑包

您可以将支持捆绑包以简单 tar.gpg 文件的形式下载至您的本地计算机。支持捆绑包将按照 ise-support-bundle_ise-support-bundle-mm-dd-yyyy--hh-mm.tar..gpg 的格式用日期和时间戳命名。浏览器会提示您将支持捆绑包保存至适当的位置。您可以提取支持捆绑包的内容并查看 README.TXT 文件,此文件介绍该支持捆绑包的内容,以及在支持捆绑包包含 ISE 数据库内容的情况下如何导入 ISE 数据库内容。

下载思科 ISE 日志文件。

在对网络中的问题进行故障排除时,可以下载思科 ISE 日志文件,以查找更多信息。

您也可以下载包含 ADE-OS 和其他日志文件的系统日志来排除安装和升级方面的问题。

在下载支持捆绑包时,可以选择一个公共密钥,而无需手动输入加密密钥。如果选择此选项,会使用思科 PKI 对支持捆绑包进行加密和解密。思科 TAC 负责维护公共密钥和专用密钥。思科 ISE 使用公共密钥来加密支持捆绑包。思科 TAC 可使用专用密钥解密支持捆绑包。如果您想要提供支持捆绑包到思科 TAC 以进行故障排除,请使用此选项。如果您要在现场排除故障,请使用共享密钥加密。

开始之前

  • 您必须具有超级管理员或系统管理员权限才能执行以下任务。

  • 应已配置调试日志和调试日志级别。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 下载日志 (Download Logs) > 设备节点列表 (Appliance Node List)

步骤 2

点击要从其下载支持捆绑包的节点。

步骤 3

支持捆绑包 (Support Bundle) 选项卡中,选择要填充在您的支持捆绑包中的参数。

如果您将所有日志包含在内,则您的支持捆绑包会非常大,下载会需要较长时间。要优化下载流程,请选择只下载最新的 n 个文件。

步骤 4

输入生成支持捆绑包的起始日期 (From)结束日期 (To)

步骤 5

选择以下其中一个选项:

  • 公共密钥加密 (Public Key Encryption):如果您想要向思科 TAC 提供支持捆绑包以进行故障排除,请选择此选项。
  • 共享密钥加密 (Shared Key Encryption):如果您希望在现场排除故障,请选择此选项。如果选择此选项,您必须输入支持捆绑包的加密密钥。

步骤 6

输入支持捆绑包的加密密钥,并重新输入加以确认。

步骤 7

点击 创建支持捆绑包 (Create Support Bundle)

步骤 8

点击下载 (Download) 以下载新创建的支持捆绑包。

支持捆绑包是下载到正在运行您的应用浏览器的客户端系统的一个 tar.gpg 文件。

下一步做什么

下载特定组件的调试日志。

思科 ISE 调试日志

调试日志为各种思科 ISE 组件提供故障排除信息。调试日志包含过去 30 天生成的紧急和警告警报以及在过去 7 天生成的信息警报。报告问题时,可能会要求您启用并发送这些调试日志,以便诊断和解决问题。


启用具有高负载的调试日志(例如监控调试日志)会生成有关高负载的警报。

配置调试日志设置

您可以为每个调试日志组件配置日志级别 、最大文件大小以及允许的最大文件数量。


建议在正常运行时使用默认设置,只有在调试问题时才增加调试日志文件大小、文件数量或两者。
过程

步骤 1

在思科 ISE 图形用户界面中,点击菜单图标 (),然后选择操作 > 调试向导 > 调试日志配置

步骤 2

节点列表窗口中,选择该节点,然后点击编辑

步骤 3

调试级别配置窗口中,点击要配置的组件旁边的单选按钮。

步骤 4

点击调试日志设置 (Debug Log Settings)

步骤 5

调试日志设置 (Debug Log Settings) 窗口中输入以下详细信息:

  • 最大文件大小 (Max File Size):输入此组件的最大文件大小(以 MB 为单位)。有效范围为 1 到 100。

  • 文件计数 (File Count):指定该组件允许的最大文件数。

     

    最大文件大小 (Max File Size)文件计数 (File Count) 的默认值因您选择的组件而异。

    调试级别配置 ( Debug Level Configuration ) 窗口中的总磁盘空间 (Total Disk Space) 使用情况指示栏显示当前磁盘空间使用情况,以及根据为最大文件大小 (Max File Size)文件计数 (File Count) 设置的值估计的空间使用情况。

     

    调试日志允许的最大磁盘空间使用量为 60 GB。

步骤 6

点击保存 (Save)

思科 ISE 组件和相应的调试日志

表 7. 组件和相应的调试日志
组件 调试日志
Active Directory ad_agent.log
Cache Tracker tracking.log
Entity Definition Framework (EDF) edf.log
JMS ise-psc.log
License ise-psc.log
Notification Tracker tracking.log
Replication-Deployment replication.log
Replication-JGroup replication.log
Replication Tracker tracking.log
RuleEngine-Attributes ise-psc.log
RuleEngine-Policy-IDGroups ise-psc.log
accessfilter ise-psc.log
admin-infra ise-psc.log
boot-strap wizard ise-psc.log
cellular-config ise-psc.log
cellular-config-api api-service.log
cellular-config-ui ise-psc.log
cellular-mnt collector.log
cisco-mnt ise-psc.log
client ise-psc.log
cpm-clustering ise-psc.log
cpm-mnt ise-psc.log
epm-pdp ise-psc.log
epm-pip ise-psc.log
anc ise-psc.log

anc

ise-psc.log
ers ise-psc.log
guest ise-psc.log

Guest Access Admin

guest.log

访客访问

guest.log

MyDevices

guest.log

Portal

guest.log

Portal-Session-Manager

guest.log

Portal-web-action

guest.log

guestauth ise-psc.log
guestportal ise-psc.log
identitystore-AD ise-psc.log
infrastructure ise-psc.log
ipsec ise-psc.log
ipsec-api api-service.log
ipsec-ui ise-psc.log
mdm ise-psc.log
mdm-pip ise-psc.log
mnt-report reports.log
mydevices ise-psc.log
nsf ise-psc.log
nsf-session ise-psc.log
org-apache ise-psc.log
org-apache-cxf ise-psc.log
org-apache-digester ise-psc.log
posture ise-psc.log
profiler profiler.log
provisioning ise-psc.log
policy-engine ise-psc.log
policy-engine-timelog policy-eval-time.log
prrt-JNI prrt-management.log
runtime-AAA prrt-management.log
runtime-config prrt-management.log
runtime-logging prrt-management.log
sponsorportal ise-psc.log
swiss ise-psc.log
遥测 sch.log

配置调试向导(按功能)

调试向导包含调试模板,可用于对思科 ISE 节点问题进行故障排除。可以配置调试配置文件和调试日志。

调试配置文件配置 (Debug Profile Configuration) 窗口中,可以为模板中的各个组件配置调试日志严重性级别。

调试日志配置 (Debug Log Configuration) 窗口中,可以配置调试日志的严重性级别。调试日志可捕获引导程序 (bootstrap)、应用配置、运行时间、部署、监控、报告和公钥基础设施 (PKI) 信息。


  • 每节点日志级别优先于调试向导配置文件。

  • 当启用多个配置文件来编辑同一组件时,较高的日志级别优先,其中跟踪日志具有最高优先级。
过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 调试向导 (Debug Wizard) > 调试配置文件配置 (Debug Profile Configuration) 以配置调试配置文件。

步骤 2

要创建新配置文件,请点击添加 (Add)

步骤 3

输入新配置文件的名称描述

步骤 4

选中要包含在配置文件中的组件旁边的复选框,并为每个组件设置相应的日志级别

步骤 5

点击保存 (Save)

步骤 6

要在思科 ISE 节点中启用所选组件的日志级别更改,请点击启用。如果您希望稍后启用更改,请点击稍后执行

步骤 7

点击保存 (Save)

步骤 8

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 调试向导 (Debug Wizard) > 调试日志配置 (Debug Log Configuration) 以配置调试日志。

步骤 9

点击单选按钮以选择节点。

步骤 10

点击单选按钮以选择组件。

步骤 11

点击编辑以更改组件的组件名称日志级别说明和组件的日志文件名称

步骤 12

点击保存

下载调试日志

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程

步骤 1

在思科 ISE GUI 中,点击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 下载日志 (Download Logs) > 设备节点列表 (Appliance Node List)

步骤 2

在“设备节点”(Appliance node) 列表中,点击您希望下载调试日志的节点。

步骤 3

点击调试日志 (Debug Logs) 选项卡。

系统会显示调试日志类型和调试日志的列表。此列表显示的内容取决于您的调试日志配置。

步骤 4

点击您希望下载的日志文件并将其保存到正在运行客户端浏览器的系统中。

您可以根据需要重复此过程下载其他日志文件。可以从调试日志 (Debug Logs) 页面下载以下额外的调试日志:

  • isebootstrap.log:提供引导日志消息

  • monit.log:提供监视程序消息

  • pki.log:提供第三方加密库日志

  • iseLocalStore.log:提供本地存储文件相关日志

  • ad_agent.log:提供 Microsoft Active Directory 第三方库日志

  • catalina.log:提供第三方日志