Konfigurieren eines externen Syslog-Servers auf der ISE

Download-Optionen

  • PDF     (1.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:26. Juli 2024
Dokument-ID:222223

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie den externen Syslog-Server auf der ISE konfigurieren.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Identity Services Engine (ISE).
    • Syslog-Server

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Identity Services Engine (ISE) 3.3 Version
    • Kiwi Syslog-Server v1.2.1.4

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen 

    .

    Syslog-Meldungen von der ISE werden gesammelt und von Protokollsammlern gespeichert. Diese Protokollsammler werden Überwachungsknoten zugewiesen, sodass MnT die gesammelten Protokolle lokal speichert. 

    Um Protokolle extern zu sammeln, konfigurieren Sie externe Syslog-Server, die als Ziele bezeichnet werden. Protokolle werden in verschiedene vordefinierte Kategorien eingeteilt.

    Sie können die Protokollierungsausgabe anpassen, indem Sie die Kategorien in Bezug auf die Ziele, den Schweregrad usw. bearbeiten.

    Konfiguration

    Sie können die Webschnittstelle verwenden, um entfernte Syslog-Serverziele zu erstellen, an die Systemprotokollmeldungen gesendet werden. Protokollnachrichten werden gemäß dem Syslog-Protokollstandard (siehe RFC-3164) an die Remote-Syslog-Serverziele gesendet. 

    Konfigurieren des Remote-Protokollierungsziels (UDP-Syslog)

    Klicken Sie in der Cisco ISE-GUI auf das Menuicon (Menüsymbol), und wählen Sie Administration>System>Logging>Remote Logging Targets > Click Add (Verwaltung>Protokollierung> Remote-Protokollierungsziele).

    note-icon

    Hinweis: Dieses Konfigurationsbeispiel basiert auf dem Screenshot "Configuring Remote Logging Target" (Remote-Protokollierungsziel konfigurieren).

    • Name wie Remote_Kiwi_Syslog, hier können Sie den Namen des Remote-Syslog-Servers eingeben, dieser wird für beschreibende Zwecke verwendet.
    • Zieltyp als UDP-Syslog. In diesem Konfigurationsbeispiel wird UDP-Syslog verwendet. Sie können jedoch weitere Optionen aus der Dropdown-Liste Zieltyp konfigurieren:

    UDP Syslog: Wird zum Senden von Syslog-Meldungen über UDP verwendet und eignet sich für eine einfache und schnelle Protokollierung. 

    TCP-Syslog: Wird zum Senden von Syslog-Meldungen über TCP verwendet. Dadurch wird die Zuverlässigkeit durch Fehlerprüfung und Funktionen zur erneuten Übertragung gewährleistet. 

    Sicheres Syslog: Dies bezieht sich auf Syslog-Meldungen, die über TCP mit TLS-Verschlüsselung gesendet werden, um Datenintegrität und Vertraulichkeit zu gewährleisten.

    • Status as Enabled (Aktiviert): Wählen Sie in der Dropdown-Liste "Status" die Option Enabled (Aktiviert) aus.

    • Beschreibung, optional können Sie eine kurze Beschreibung des neuen Ziels eingeben.

    • Host/IP-Adresse: Geben Sie hier die IP-Adresse oder den Hostnamen des Zielservers ein, auf dem die Protokolle gespeichert werden.Cisco ISE unterstützt IPv4- und IPv6-Formate für die Protokollierung.
    note-icon

    Hinweis: Wenn Sie einen Syslog-Server mit FQDN konfigurieren möchten, müssen Sie das DNS-Caching einrichten, um Beeinträchtigungen der Leistung zu vermeiden. Ohne DNS-Caching fragt die ISE den DNS-Server jedes Mal ab, wenn ein Syslog-Paket an das mit FQDN konfigurierte Remote-Protokollierungsziel gesendet werden muss. Dies hat gravierende Auswirkungen auf die ISE-Performance.

    Verwenden Sie service cache enableden Befehl im gesamten PSN der Bereitstellung, um Folgendes zu überwinden:

    Beispiel

    ise/admin(config)# service cache enable hosts ttl 180
    • Port als 514: In diesem Konfigurationsbeispiel lauscht der Kiwi Syslog-Server Port 514, der Standardport für UDP-Syslog-Meldungen. Benutzer können diese Portnummer jedoch auf einen beliebigen Wert zwischen 1 und 65535 ändern.Stellen Sie sicher, dass der gewünschte Port nicht von einer Firewall blockiert wird.
    • Anlagencode als LOCAL6 können Sie den Syslog-Anlagencode, der für die Protokollierung verwendet werden soll, aus der Dropdown-Liste auswählen. Gültige Optionen sind Local0 bis Local7.
    • Maximale Länge als 1024, hier können Sie die maximale Länge der Remote-Log-Zielnachrichten eingeben. Die maximale Länge ist standardmäßig auf 1024 festgelegt (ISE 3.3-Version), die Werte liegen zwischen 200 und 1024 Byte.
      •
    note-icon

    Hinweis: Um zu vermeiden, dass verkürzte Nachrichten an Ihr Remote-Protokollierungsziel gesendet werden, können Sie die Maximallänge auf 8192 einstellen.
    • Alarme für dieses Ziel einbeziehen, um es einfach zu halten, in diesem Konfigurationsbeispiel Alarme für dieses Ziel einschließen ist nicht aktiviert. Wenn Sie dieses Kontrollkästchen aktivieren, werden jedoch auch Alarmmeldungen an den Remote-Server gesendet.
    • Compliance to RFC 3164 ist aktiviert. Wenn Sie dieses Kontrollkästchen aktivieren, werden die Trennzeichen (, ; { } \ \) in den an die Remoteserver gesendeten Syslog-Nachrichten nicht escaped, auch wenn ein umgekehrter Schrägstrich (\) verwendet wird.

    • Klicken Sie nach Abschluss der Konfiguration auf Speichern

    • Nach dem Speichern zeigt das System folgende Warnung an: Sie haben sich entschieden, eine unsichere (TCP/UDP) Verbindung zum Server herzustellen. Möchten Sie wirklich fortfahren? Klicken Sie auf "Ja".

      •

    Konfigurieren des Remote-ZielsKonfigurieren des Remote-Ziels

    Konfigurieren des Remote-Ziels unter Protokollierungskategorien

    Die Cisco ISE sendet überprüfbare Ereignisse an das Syslog-Ziel. Nachdem Sie das Remote-Protokollierungsziel konfiguriert haben, müssen Sie das Remote-Protokollierungsziel den vorgesehenen Kategorien zuordnen, um die überprüfbaren Ereignisse weiterzuleiten.

    Die Protokollierungsziele können dann jeder dieser Protokollierungskategorien zugeordnet werden. Ereignisprotokolle aus diesen Protokollkategorien werden nur von PSN-Knoten generiert und können so konfiguriert werden, dass sie die relevanten Protokolle an den Remote-Syslog-Server senden, je nachdem, welche Dienste auf diesen Knoten aktiviert sind:

    • AAA-Audit

    • AAA-Diagnose

    • Buchhaltung

    • Externes MDM

    • Passive ID

    • Status- und Client-Bereitstellungs-Audit

    • Status- und Client-Bereitstellungsdiagnose

    • Profiler

      •

    Ereignisprotokolle aus diesen Protokollkategorien werden von allen Knoten in der Bereitstellung generiert und können so konfiguriert werden, dass die relevanten Protokolle an den Remote-Syslog-Server gesendet werden:

    • Verwaltungs- und Betriebsaudit

    • Systemdiagnose

    • Systemstatistiken

      •

    In diesem Konfigurationsbeispiel konfigurieren Sie Remote Target unter vier Protokollierungskategorien, diese 3 zum Senden von Authentifizierungs-Datenverkehrsprotokollen: Erfolgreiche Authentifizierungen, Fehlgeschlagene Versuche und Radius-Abrechnung sowie diese Kategorie für ISE-Administrator-Protokollierungsdatenverkehr: 

    note-icon

    Hinweis: Dieses Konfigurationsbeispiel basiert auf dem Screenshot mit dem Namen: Configuring Remote Logging Target (Remote-Protokollierungsziel konfigurieren)

    Klicken Sie in der Cisco ISE-GUI auf das Menuicon (Menüsymbol), wählen Sie Administration>System>Logging>Logging Categories, und klicken Sie auf die erforderliche Kategorie (Erfolgreiche Authentifizierungen, fehlgeschlagene Versuche und Radius-Accounting). 

    Schritt 1: Schweregrad protokollieren: Eine Ereignismeldung wird mit einem Schweregrad verknüpft, sodass ein Administrator die Meldungen filtern und priorisieren kann. Wählen Sie den Schweregrad des Protokolls nach Bedarf aus. Für einige Protokollierungskategorien ist dieser Wert standardmäßig festgelegt, und Sie können ihn nicht bearbeiten. Für einige Protokollierungskategorien können Sie einen der folgenden Schweregrade aus einer Dropdown-Liste auswählen:

    • FATAL: Notfallstufe. Diese Stufe bedeutet, dass Sie die Cisco ISE nicht verwenden können und sofort die erforderlichen Maßnahmen ergreifen müssen.

    • FEHLER: Dieser Wert gibt einen kritischen Fehlerzustand an.

    • WARNUNG: Dieser Wert gibt einen normalen, aber signifikanten Zustand an. Dies ist die Standardeinstellung für viele Protokollierungskategorien.

    • INFO: Diese Stufe gibt eine Informationsmeldung an.

    • DEBUG: Diese Stufe zeigt eine Diagnosefehlermeldung an.

      •

    Schritt 2 - Lokale Protokollierung: Mit diesem Kontrollkästchen wird die lokale Protokollgenerierung aktiviert. Das bedeutet, dass die von den PSNs generierten Protokolle auch auf dem jeweiligen PSN gespeichert werden, der das Protokoll generiert. Wir empfehlen, die Standardkonfiguration beizubehalten.

    Schritt 3 - Ziele: In diesem Bereich können Sie die Ziele für eine Protokollierungskategorie auswählen, indem Sie die Ziele mithilfe der Pfeilsymbole nach links und rechts zwischen den Verfügbaren und den Ausgewählten Bereichen verschieben.

    Der Bereich Availableenthält die vorhandenen Protokollierungsziele, sowohl lokale (vordefinierte) als auch externe (benutzerdefinierte) Ziele.

    Der Bereich Selectedarea, der zunächst leer ist, zeigt dann die Ziele an, die für die Kategorie ausgewählt wurden.

    Schritt 4 - Wiederholen Sie die Schritte 1 bis 3, um Remote Target unter Failed Attempts (Fehlgeschlagene Versuche) und Radius Accounting (Radius-Abrechnung) hinzuzufügen.

    Remote-Ziele den gewünschten Kategorien zuordnenRemote-Ziele den gewünschten Kategorien zuordnen

    Schritt 5: Überprüfen Sie, ob Ihr Remote-Ziel unter den erforderlichen Kategorien liegt.Sie müssen in der Lage sein, das gerade hinzugefügte Remote-Ziel anzuzeigen. 

    In diesem Screenshot sehen Sie das Remote-Ziel Remote_Kiwi_Syslog, das den erforderlichen Kategorien zugeordnet ist.

    Überprüfen von KategorienÜberprüfen von Kategorien

    Kategorien verstehen

    Eine Meldung wird generiert, wenn ein Ereignis auftritt. Es gibt verschiedene Arten von Ereignismeldungen, die von verschiedenen Einrichtungen generiert werden, z. B. vom Kernel, von E-Mail, von der Benutzerebene usw.

    Diese Fehler werden im Nachrichtenkatalog kategorisiert und die Ereignisse hierarchisch in Kategorien eingeteilt.

    Diese Kategorien haben übergeordnete Kategorien, die eine oder einige Kategorien enthalten.

    Übergeordnete Kategorie
    Kategorie

    AAA-Audit

    AAA-Audit

    Fehlgeschlagene Versuche

    Authentifizierung bestanden

    AAA-Diagnose

    AAA-Diagnose

    Administrator-Authentifizierung und -Autorisierung

    Authentifizierungs-Ablaufdiagnose

    Identitätsspeicherdiagnose

    Richtliniendiagnose

    Radius-Diagnose

    Gast

    Buchhaltung

    Buchhaltung

    RADIUS-Abrechnung

    Verwaltungs- und Betriebsaudit

    Verwaltungs- und Betriebsaudit

    Status- und Client-Bereitstellungs-Audit

    Status- und Client-Bereitstellungs-Audit

    Status- und Client-Bereitstellungsdiagnose

    Status- und Client-Bereitstellungsdiagnose

    Profiler

    Profiler

    Systemdiagnose

    Systemdiagnose

    Verteilte Verwaltung

    Interne Betriebsdiagnose

    Systemstatistiken

    Systemstatistiken

    In diesem Screenshot sehen Sie, dass Guest eine Message Class ist und als Guest Category kategorisiert ist. Diese Gastkategorie verfügt über eine übergeordnete Kategorie mit dem Namen AAA Diagnostics.

    NachrichtenkatalogNachrichtenkatalog

    Überprüfen und Fehlerbehebung 

    Ein TCP-Dump für das Remote-Protokollierungsziel ist der schnellste Fehlerbehebungs- und Verifizierungsschritt, um zu bestätigen, ob Protokollereignisse gesendet werden.

    Die Erfassung muss vom PSN übernommen werden, der den Benutzer authentifiziert, da PSN Protokollmeldungen generieren wird und diese Meldungen an das Remote-Ziel gesendet werden.

    Klicken Sie in der Cisco ISE-GUI auf das Menuicon (Menüsymbol) und wählen Sie Operations> Troubleshoot>TCP Dump> Click on Add aus.

    • Sie müssen den Datenverkehr filtern und das IP-Host-Filterfeld <remote_target_IP_address> hinzufügen.
    • Sie müssen die Erfassung von der PSN-Verarbeitung von Authentifizierungen übernehmen.

    TCP-DumpTCP-Dump

    In diesem Screenshot sehen Sie, wie die ISE Syslog-Meldungen für den Protokollverkehr des ISE-Administrators sendet.

    Syslog-DatenverkehrSyslog-Datenverkehr

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    26-Jul-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Antonio Garcia Araya
      Technischer Berater

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.