使用ERS API收集ISE支援捆綁包
簡介
本文檔介紹使用PostMan作為REST客戶端通過ERS API觸發和下載ISE支援捆綁的過程。
必要條件
需求
思科建議您瞭解以下主題:
- ISE
- 外部RESTful服務
- REST的客戶包括郵遞員、REST和失眠等。
採用元件
本檔案中的資訊是根據以下軟體版本:
- Cisco ISE 3.1補丁6
- Postman REST客戶端v10.17.4
注意:其他ISE版本和REST客戶端的步驟相似或相同。您可以對所有2.x和3.x ISE軟體版本使用這些步驟,除非另有說明。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
啟用ERS(埠9060)
ERS API是僅使用HTTPS的REST API,通過埠443和埠9060運行。埠9060預設關閉,因此需要先將其開啟。 如果嘗試訪問此埠的客戶端不首先啟用ERS,則會顯示伺服器超時。因此,第一個要求是從思科ISE管理員UI啟用ERS。
導航到Administration > Settings > API Settings並啟用ERS(讀/寫)切換按鈕。
註:ERS API支援TLS 1.1和TLS 1.2。無論在Cisco ISE GUI的「安全設定」(Security Settings)視窗(Administration > System > Settings > Security Settings)中啟用TLS 1.0,ERS API都不支援TLS 1.0。在「安全設定」視窗中啟用TLS 1.0僅與EAP協定相關,不會影響ERS API。
建立ERS管理員
建立思科ISE管理員,分配密碼,並將使用者作為ERS管理員新增到管理員組。您可以將配置的其餘部分留空。
設定郵遞員
下載或使用線上版Postman。
- 通過按一下「工作區」(Workspaces)頁籤下的「建立工作區」(Create Workspace)建立使用者並建立工作區。
2.選擇空白工作區,並為工作區分配名稱。您可以新增描述並將其公開。 在本示例中選擇了Personalis。
建立工作區後,您現在可以配置我們的API呼叫。
觸發器支援套件
要配置任何呼叫,首先允許訪問ISE ERS SDK(軟體開發工具包)。此工具編譯ISE可以執行的所有API呼叫清單:
- 轉到https://{ise-ip}/ers/sdk
- 使用您的ISE管理員憑據登入。
- 展開API文檔
- 向下滾動,直到找到Support Bundle Trigger Configuration,然後按一下它。
- 在此選項下,您現在可在ISE上找到可為此選項執行的所有可用操作。選擇建立。
6.現在,您可以看到在任何Rest客戶端上使用XML或JSON執行API呼叫所需的配置,以及預期的響應示例。
7.返回到Postman可將基本身份驗證配置為ISE。在Authorization頁籤下,選擇Basic Auth作為身份驗證型別,並新增先前在ISE上建立的ISE ERS使用者憑據。
注意:除非在Postman上配置了變數,否則密碼顯示為明文
8.在Postman中,移到Headers頁籤,並使用SDK中所看到的XML或JSON為API呼叫配置所需的標頭。在此示例中,使用JSON。 標頭配置必須如下所示:
9.轉到 本文 標題和選擇 原始.這允許我們貼上觸發支援捆綁包所需的XML或JSON模板。
10.將XML或JSON模板貼上到Body部分中,根據需要更改值:
XML:
JSON:
{ "SupportBundle": { "name": "supportBundle", "description": "Support Bundle Generation", "hostName": "node hostname the SB is being collected from", "supportBundleIncludeOptions": { "includeConfigDB": true|false, "includeDebugLogs": true|false, "includeLocalLogs": true|false, "includeCoreFiles": true|false, "mntLogs": true|false, "includeSystemLogs": true|false, "policyXml": true|false, "fromDate": "mm/dd/yyyy", "toDate": "mm/dd/yyyy" } } }
11.選擇POST作為方法,貼上https://{ISE-ip}/ers/config/supportbundle,然後按一下Send。 如果所有配置都正確,您必須看到「201 Created」消息,結果為空。
檢查支援套件組合狀態
您可以確認是否通過運行一系列GET呼叫觸發或完成支援捆綁。
注意:根據從日誌收集的資訊量,支援捆綁包必須花費5-20分鐘才能完成。
- 在SDK上的Support Bundle Statustab 下選擇Get-All。您想要獲取ID,以便可以運行下一個GET呼叫。 如前所述,以下是執行呼叫所需的標頭以及預期的響應。
2. M轉到 標頭 頁籤並配置API呼叫所需的標頭,如SDK中所示。在此示例中,使用JSON。標頭配置必須如下所示:
3.選擇GET作為方法,貼上https://{ISE-ip}/ers/config/supportbundlestatus,然後按一下Send。 如果所有配置均正確,您必須看到「200 OK」消息以及觸發最後一個支援捆綁包的相關資訊的結果。此呼叫不會讓我們知道支援捆綁包是否成功完成。從此呼叫收集ID,以便可以在下次GET呼叫中使用它。
4.收集ID後,請轉到SDK(位於支援捆綁包狀態表下)並選擇Get-By-Id。如前所述,下面是執行呼叫所需的標頭以及預期的響應。
5. M轉到 標頭 頁籤並配置API呼叫所需的標頭,如SDK中所示。在此示例中,使用JSON。標頭配置必須如下所示:
6.選擇GET作為方法,貼上https://{ISE-ip}/ers/config/supportbundlestatus/{id} 和從步驟3收集的ID,最後按一下Send。 如果所有配置都正確,您必須看到「200 OK」消息和結果,其中顯示與上次觸發支援捆綁包完成與否相關的資訊。記下此呼叫的fileName,因為您需要PUT呼叫。
下載支援套件組合
確認支援套件組合處於完成狀態後。您可以繼續下載。
- 在SDK上的Support Bundle Downloadtab下選擇Download SupportBundle。如前所述,以下是執行呼叫所需的標頭、XML和JSON模板以及預期的響應。
2. M轉到 標頭 頁籤並配置API呼叫所需的標頭,如SDK中所示。在此示例中,使用JSON。標頭配置必須如下所示:
3.轉到 本文 標題和選擇 原始.這允許我們貼上下載支援捆綁包所需的XML或JSON模板。
4. 在主體部分中貼上XML或JSON模板,根據需要更改值。檔名將是從步驟6收集的檔名(ise-support-bundle-pk-ise3-1test-external-09-26-2023-01-26.tar.gpg):
XML
JSON:
{ "ErsSupportBundleDownload" : { "fileName" : "Support bundle file name to be picked for download" } }
5.選擇PUT作為方法,貼上https://{ISE-ip}/ers/config/supportbundledownload,然後按一下Send。 如果所有配置都正確,您必須看到「200 OK」消息並下載檔案。
驗證
如果您能夠訪問API服務GUI頁面,例如https://{iseip}:{port}/api/swagger-ui/index.html或https://{iseip}:9060/ers/sdk,則表示API服務正在按預期工作。
疑難排解
- 所有REST操作都經過稽核,並且日誌會記錄到系統日誌中。
- 要排除與Open API相關的問題,請在Debug Log Configuration視窗中將apiservice元件的Log Level設定為DEBUG。
- 要排除與ERS API相關的問題,請在Debug Log Configuration視窗中將ers元件的Log Level設定為DEBUG。要檢視此視窗,請導航至Cisco ISE GUI,點選選單圖示並選擇操作>故障排除>調試嚮導>調試日誌配置。
- 您可以從Download Logs(下載日誌)視窗下載日誌。要檢視此視窗,請導航至Cisco ISE GUI,點選選單圖示並選擇操作>故障排除>下載日誌。
- 您可以選擇通過按一下頁籤下的Download按鈕,從「Support Bundle」頁籤下載支援捆綁包,或者通過按一下api-service調試日誌的Log File值,從Debug Logs頁籤下載api-service調試日誌。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
02-Oct-2023 |
初始版本 |
意見