Konfigurieren der ISE 3.2 Data Connect-Integration mit Splunk

Download-Optionen

  • PDF     (944.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.6 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. September 2022
Dokument-ID:218190

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie die Cisco Identity Services Engine (ISE) 3.2-Integration mit Splunk over Data Connect konfigurieren, um Berichtsdaten direkt aus der ISE-Datenbank abzurufen. Sie können Ihre eigenen Abfragen erstellen und Ihre eigenen Berichte erstellen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    1. Cisco ISE 3.2
    2. Grundkenntnisse über Oracle-Abfragen
    3. Splunk

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    1. Cisco ISE 3.2
    2. Splunk 9.0.0

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

    Konfigurieren

    Konfigurationen

    Schritt 1: Konfigurieren der ISE-Datenverbindungseinstellungen

    1. Datenverbindung aktivieren

    Navigieren Sie auf der ISE zu Administration > System > Settings > Data Connectund die Taste gegen Data Connect. Geben Sie das Kennwort ein, und klicken Sie auf Save .

    Data Connect Configuration

    Notieren Sie sich die Datenverbindungseinstellungen, darunter User Name, Hostname, Port, and Service Name .Data Connect ist in einer verteilten Bereitstellung auf sekundärem MNT standardmäßig aktiviert. Weitere Informationen zu Failover-Szenarien finden Sie im Administratorhandbuch.

    Data Connect Node settings

    2. Data Connect-Zertifikat exportieren

    Betrieb in Step 1.hat die Erstellung des Datenverbindungszertifikats ausgelöst. Sie muss von den Clients, die ISE über Data Connect abfragen, als vertrauenswürdig eingestuft werden.

    Um das Zertifikat zu exportieren, navigieren Sie zu Administration > System > Settings > Cetificate Management > Trusted Certificates, Zertifikat auswählen mit Data Connect Certificate Anzeigename, und klicken Sie auf Export .

    Trusted Certificates

    Das Zertifikat wird im PEM-Format exportiert.

    DataConnect Certificate

    Schritt 2: Splunk konfigurieren

    Anmerkung: Die Splunk-Installation wird in diesem Dokument nicht behandelt.

    1. Splunk DB Connect-Anwendung installieren

    Klicken Sie auf + Find More Apps aus dem Hauptmenü.

    Splunk. Menu

    Eingabe Splunk DB Connect im Suchmenü und klicke auf Installgegen Splunk DB Connect App wie im Bild gezeigt.

    Splunk. Settings

    Geben Sie die Splunk-Anmeldeinformationen ein, um die App zu installieren. Klicken Sie auf Agree and Install wie im Bild dargestellt.

    Splunk. Password Settings

    Bei der Anwendungsinstallation muss der Computer neu gestartet werden. Klicken Sie auf Restart Now.

    Splunk. DB Installation

    2. Oracle-Treiber installieren

    Gemäß Splunk-Dokumentation müssen JDBC-Treiber installiert werden. Installieren Sie den Oracle-Treiber über die Splunk-Add-ons für DB Connect. Klicken Sie auf Login to Download wie im Bild dargestellt.

    Splunk. DBX Add-on 1

    Klicken Sie auf Download.

    Splunk. DBX Add-on 2

    Klicken Sie im Startmenü auf das Zahnrad-Symbol neben Apps wie im Bild dargestellt.

    Splunk. Settings

    Klicken Sie auf Install App from File.

    Splunk. App installation 1

    Wählen Sie Datei zuvor heruntergeladen aus, und klicken Sie auf Uploadwie im Bild dargestellt.

    Splunk. App installation 2

    Navigieren Sie zu Apps > Splunk DB Connect > Configuration > Settings > Driversauf Reload.Oracle Der Treiber muss wie folgt aussehen: Installed.

    Splunk. App installation 3

    3. Konfigurieren der Anwendungsidentität von Splunk DB Connect

    Anmerkung: Damit die Splunk DB Connect App funktioniert, muss Java (SE) installiert sein. Für diese App ist Java (SE) 11 installiert.

    C:\Users\Administrator>java --version
    java 11.0.15.1 2022-04-22 LTS
    Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
    Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

    C:\Users\Administrator>

    Navigieren Sie zu Apps > Splunk DB Connect > Configuration > Databases > Identities und klicke auf New Identity.

    Splunk. Identity 1

    Konfigurieren Sie Identity Name (beliebiger Wert), Username (Datenverbindung) und Password von Step 1. und klicke auf Save.

    Splunk. Identity 2

    4. Konfigurieren der Splunk DB Connect-Anwendungsverbindung

    Navigieren Sie zu Apps > Splunk DB Connect > Configuration > Databases > Connections und dann auf New Connection.

    Splunk. Connection 1

    Konfigurieren Sie Connection Name (beliebiger Wert). Auswählen Identity von Configure Splunk DB Connect App IdentitySchritt. Auswählen Connection Type als Oracle. Aktivieren Sie das Kontrollkästchen neben dem Edit JDBC URL und fügen Sie den Wert ein:

    jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

    Der HOST muss durch die IP-Adresse des MNT-Knotens aus dem Schritt ersetzt werden. Enable Data Connect wie im Bild dargestellt.

    Splunk. Connection 2

    Blättern Sie nach unten zum Zertifikatabschnitt, und fügen Sie den Inhalt von DataConnectCertificate.pem Zertifikatsdatei und klicken Sie auf Save wie im Bild dargestellt.

    Splunk. Connection 3

    5. Splunk DB Connect-Eingaben konfigurieren

    Navigieren Sie zu Apps > Splunk DB Connect > Data Lab > Inputs  andKlicken Sie auf New Input.

    Splunk. Input 1

    Wählen Sie in Schritt konfigurierte Verbindung aus. Configure Splunk DB Connect App Connection .Geben Sie die Abfrage ein, die Sie für das Polling verwenden möchten. In diesem Beispiel wird die Abfrage Authentifizierung durch ISE-Knoten verwendet:

    select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

    Klicken Sie auf  Execute SQL Um sicherzustellen, dass die Abfrage funktioniert, muss auch weiter gegangen werden. Klicken Sie auf Next wie im Bild dargestellt.

    Splunk. Input 2

    Konfigurieren der Eingabe Name(beliebiger Wert). Auswählen Application als Splunk DB Connect. Stellen Sie Execution Frequency (wie oft die Anfrage an die ISE gesendet wird).

    Splunk. Input 3

    Konfigurieren Sie Source Type und Input.

    Splunk. Input 4

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Um die Daten aus den Antworten zu überprüfen und zu visualisieren, navigieren Sie zu Apps > Splunk DB Connect > Data Lab > Inputs. Klicken Sie auf Find Events.

    Splunk. Events 1

    Über die Events können Sie zu Visualization.

    Splunk. Events 2

    Sie können das Suchmenü anpassen und die gewünschte Visualisierung auswählen. Die Abfrage im Beispiel verwendet ein Zeitdiagramm und erstellt das Diagramm auf der Grundlage der maximal übergebenen Authentifizierungsversuche.

    index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

    Splunk. Events 3

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    23-Sep-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Eugene Korneychuk
      Technischer Leiter TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.