はじめに
このドキュメントでは、CLIまたはGUIを使用してCisco ISE 3.xからサポートバンドルを収集する方法について説明します。これらのツールには、ISEのトラブルシューティングに必要な重要なデータが含まれています。
Cisco ISEのサポートバンドルの収集
ステップ 1:ISEコンポーネントのデバッグの有効化
ISEのさまざまな問題をトラブルシューティングするには、異なるログのセットが必要です。必要なデバッグの完全なリストをTACエンジニアが提供する必要があります。ただし、ISE 3.xには事前に設定されたデバッグカテゴリがあり、これを使用して初期ロゴを収集し、問題の解決を迅速化できます。
TACエンジニアが要求するデバッグのリストは、常にこのリストよりも優先される必要があります。
これらの事前に設定されたデバッグを見つけるには、Operations > Troubleshoot > Debug Wizard > Debug Profile Configurationに移動します。
各行の先頭にある適切なチェックボックス(802.1x(赤)など)を選択してデバッグを有効にする必要がある機能を選択し、ノード選択(緑)に移動します。
次に、各行の先頭にある適切なチェックボックス(赤)とsave changes(緑)を選択して、これらのデバッグを有効にする必要があるノードを選択します。
ページがDebug Profile Configurationに戻り、デバッグのステータスがENABLEDに変わり、これらのデバッグを実行するノードに関する情報が表示されます。
ステップ 2:問題の再現
必要なすべてのデバッグを有効にしたら、問題を再作成してログを生成します。
問題を手動でトリガーできない場合は、次の発生を待つ必要があります。
デバッグを有効にする前に問題が発生した場合は、トラブルシューティングに必要な情報が不足しています。
理想的には、問題が発生した直後にサポートバンドルを収集する必要があります。ログ分析に必要な補足情報をメモします。
- レクリエーション時間
- macアドレス、IPアドレス、ユーザ名、セッションIDなど、イベントの一意のID(状況によって異なりますが、通常はMAC/IP +ユーザ名で十分です)
ステップ 3:デバッグの無効化
問題が再現された直後に、新しく生成されたログが過度のロギングによって上書きされるのを防ぐため、デバッグを無効にします。
これを行うには、ステップ1の操作を繰り返します。ただし、ノード選択ページで、適切なチェックボックスをオフにして前と同様に保存します。
ステップ 4:サポートバンドルの収集
Operations > Troubleshooting > Download Logsに移動し、ISEノード(デバッグが有効になっていたノード)を選択します。各ノードのタブには、2つのオプションがあります。サポートバンドルの収集(赤)または特定のログファイルのダウンロード – デバッグログ(オレンジ色)。
デバッグログには、使用可能なすべてのログファイルの完全なリストが表示されます。ファイル名をクリックすると、ファイルがダウンロードされます。
サポートバンドルは、選択したグループのすべてのログを含むパッケージです。
- 完全な設定データベースは、完全なISE設定をサポートバンドルに追加します。
- デバッグログはすべてのISEコンポーネントからのすべてのデバッグを含むため、最もよく使用されます
- ローカルログには、展開内のこのノードのRADIUS認証を示すログが含まれています
- コアファイルが原因でサポートバンドルが増大することがありますが、クラッシュのトラブルシューティング時に必要です
- モニタリングおよびレポートログには運用データが含まれる
- システムログには、システム固有のログが含まれます(OSが提供するサービスのトラブルシューティング用)
- ポリシー設定:ISEで設定されたポリシーのバー
xml ジョン
ほとんどのシナリオでは、デバッグログとローカルログを含めれば十分です。安定性とパフォーマンスの問題の場合も、コアログとシステムログが必要です。
公開キー暗号化のみを選択した場合、TACではシスコの秘密キーを使用してこのバンドルを復号化できます。共有キーを使用すると、ログの復号化に必要なパスワードを設定できます。
共有キーの場合、シスコ側でバンドルを復号化できるように、TACエンジニアがアクセスできることを確認します。
すべてが設定されたら、Create Support Bundleボタンをクリックして待機します。
サポートバンドルを作成するプロセスが完了すると、ダウンロードできるようになります。Downloadをクリックすると、サポートバンドルがPCのローカルディスクに保存され、トラブルシューティングのためにTACにアップロードできるようになります。
Webインターフェイスが使用できない場合は、CLIからサポートバンドルを収集できます。これを行うには、SSHまたはコンソールアクセスを使用してログインし、次のコマンドを使用します。
backup-logs name repository ftp {encryption-key plain key | public-key}
name:サポートバンドルの名前
ftp:ISEで設定されたリポジトリの名前
key:サポートバンドルの暗号化/復号化に使用するキーです。
サポートバンドルをアップロードする公式ツールは、https://mycase.cloudapps.cisco.com/caseです。
サポートバンドルファイルの拡張子をzipまたは変更しないでください。ISEからダウンロードしたのと同じ状態でアップロードする必要があります。