Einleitung
In diesem Dokument wird beschrieben, wie Sie den externen Syslog-Server auf der ISE konfigurieren.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Identity Services Engine (ISE).
- Syslog-Server
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Identity Services Engine (ISE) 3.3 Version
- Kiwi Syslog-Server v1.2.1.4
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
.
Syslog-Meldungen von der ISE werden gesammelt und von Protokollsammlern gespeichert. Diese Protokollsammler werden Überwachungsknoten zugewiesen, sodass MnT die gesammelten Protokolle lokal speichert.
Um Protokolle extern zu sammeln, konfigurieren Sie externe Syslog-Server, die als Ziele bezeichnet werden. Protokolle werden in verschiedene vordefinierte Kategorien eingeteilt.
Sie können die Protokollierungsausgabe anpassen, indem Sie die Kategorien in Bezug auf die Ziele, den Schweregrad usw. bearbeiten.
Konfiguration
Sie können die Webschnittstelle verwenden, um entfernte Syslog-Serverziele zu erstellen, an die Systemprotokollmeldungen gesendet werden. Protokollnachrichten werden gemäß dem Syslog-Protokollstandard (siehe RFC-3164) an die Remote-Syslog-Serverziele gesendet.
Konfigurieren des Remote-Protokollierungsziels (UDP-Syslog)
Klicken Sie in der Cisco ISE-GUI auf das Menuicon (), und wählen Sie Administration > Click Add (>>).
Hinweis: Dieses Konfigurationsbeispiel basiert auf dem Screenshot "Configuring Remote Logging Target" (Remote-Protokollierungsziel konfigurieren).
- Name wie Remote_Kiwi_Syslog, hier können Sie den Namen des Remote-Syslog-Servers eingeben, dieser wird für beschreibende Zwecke verwendet.
- Zieltyp als UDP-Syslog. In diesem Konfigurationsbeispiel wird UDP-Syslog verwendet. Sie können jedoch weitere Optionen aus der Dropdown-Liste Zieltyp konfigurieren:
UDP Syslog: Wird zum Senden von Syslog-Meldungen über UDP verwendet und eignet sich für eine einfache und schnelle Protokollierung.
TCP-Syslog: Wird zum Senden von Syslog-Meldungen über TCP verwendet. Dadurch wird die Zuverlässigkeit durch Fehlerprüfung und Funktionen zur erneuten Übertragung gewährleistet.
Sicheres Syslog: Dies bezieht sich auf Syslog-Meldungen, die über TCP mit TLS-Verschlüsselung gesendet werden, um Datenintegrität und Vertraulichkeit zu gewährleisten.
Hinweis: Wenn Sie einen Syslog-Server mit FQDN konfigurieren möchten, müssen Sie das DNS-Caching einrichten, um Beeinträchtigungen der Leistung zu vermeiden. Ohne DNS-Caching fragt die ISE den DNS-Server jedes Mal ab, wenn ein Syslog-Paket an das mit FQDN konfigurierte Remote-Protokollierungsziel gesendet werden muss. Dies hat gravierende Auswirkungen auf die ISE-Performance.
Verwenden Sie service cache enableden Befehl im gesamten PSN der Bereitstellung, um Folgendes zu überwinden:
Beispiel
ise/admin(config)# service cache enable hosts ttl 180
- Port als 514: In diesem Konfigurationsbeispiel lauscht der Kiwi Syslog-Server Port 514, der Standardport für UDP-Syslog-Meldungen. Benutzer können diese Portnummer jedoch auf einen beliebigen Wert zwischen 1 und 65535 ändern.Stellen Sie sicher, dass der gewünschte Port nicht von einer Firewall blockiert wird.
- Anlagencode als LOCAL6 können Sie den Syslog-Anlagencode, der für die Protokollierung verwendet werden soll, aus der Dropdown-Liste auswählen. Gültige Optionen sind Local0 bis Local7.
- Maximale Länge als 1024, hier können Sie die maximale Länge der Remote-Log-Zielnachrichten eingeben. Die maximale Länge ist standardmäßig auf 1024 festgelegt (ISE 3.3-Version), die Werte liegen zwischen 200 und 1024 Byte.
Hinweis: Um zu vermeiden, dass verkürzte Nachrichten an Ihr Remote-Protokollierungsziel gesendet werden, können Sie die Maximallänge auf 8192 einstellen.
- Alarme für dieses Ziel einbeziehen, um es einfach zu halten, in diesem Konfigurationsbeispiel Alarme für dieses Ziel einschließen ist nicht aktiviert. Wenn Sie dieses Kontrollkästchen aktivieren, werden jedoch auch Alarmmeldungen an den Remote-Server gesendet.
- Compliance to RFC 3164 ist aktiviert. Wenn Sie dieses Kontrollkästchen aktivieren, werden die Trennzeichen (, ; { } \ \) in den an die Remoteserver gesendeten Syslog-Nachrichten nicht escaped, auch wenn ein umgekehrter Schrägstrich (\) verwendet wird.
-
Klicken Sie nach Abschluss der Konfiguration auf Speichern.
-
Nach dem Speichern zeigt das System folgende Warnung an: Sie haben sich entschieden, eine unsichere (TCP/UDP) Verbindung zum Server herzustellen. Möchten Sie wirklich fortfahren? Klicken Sie auf "Ja".
Konfigurieren des Remote-Ziels
Konfigurieren des Remote-Ziels unter Protokollierungskategorien
Die Cisco ISE sendet überprüfbare Ereignisse an das Syslog-Ziel. Nachdem Sie das Remote-Protokollierungsziel konfiguriert haben, müssen Sie das Remote-Protokollierungsziel den vorgesehenen Kategorien zuordnen, um die überprüfbaren Ereignisse weiterzuleiten.
Die Protokollierungsziele können dann jeder dieser Protokollierungskategorien zugeordnet werden. Ereignisprotokolle aus diesen Protokollkategorien werden nur von PSN-Knoten generiert und können so konfiguriert werden, dass sie die relevanten Protokolle an den Remote-Syslog-Server senden, je nachdem, welche Dienste auf diesen Knoten aktiviert sind:
-
AAA-Audit
-
AAA-Diagnose
-
Buchhaltung
-
Externes MDM
-
Passive ID
-
Status- und Client-Bereitstellungs-Audit
-
Status- und Client-Bereitstellungsdiagnose
-
Profiler
Ereignisprotokolle aus diesen Protokollkategorien werden von allen Knoten in der Bereitstellung generiert und können so konfiguriert werden, dass die relevanten Protokolle an den Remote-Syslog-Server gesendet werden:
-
Verwaltungs- und Betriebsaudit
-
Systemdiagnose
-
Systemstatistiken
In diesem Konfigurationsbeispiel konfigurieren Sie Remote Target unter vier Protokollierungskategorien, diese 3 zum Senden von Authentifizierungs-Datenverkehrsprotokollen: Erfolgreiche Authentifizierungen, Fehlgeschlagene Versuche und Radius-Abrechnung sowie diese Kategorie für ISE-Administrator-Protokollierungsdatenverkehr:
Hinweis: Dieses Konfigurationsbeispiel basiert auf dem Screenshot mit dem Namen: Configuring Remote Logging Target (Remote-Protokollierungsziel konfigurieren)
Klicken Sie in der Cisco ISE-GUI auf das Menuicon (), wählen Sie und klicken Sie auf die erforderliche Kategorie (Erfolgreiche Authentifizierungen, fehlgeschlagene Versuche und Radius-Accounting).
Schritt 1: Schweregrad protokollieren: Eine Ereignismeldung wird mit einem Schweregrad verknüpft, sodass ein Administrator die Meldungen filtern und priorisieren kann. Wählen Sie den Schweregrad des Protokolls nach Bedarf aus. Für einige Protokollierungskategorien ist dieser Wert standardmäßig festgelegt, und Sie können ihn nicht bearbeiten. Für einige Protokollierungskategorien können Sie einen der folgenden Schweregrade aus einer Dropdown-Liste auswählen:
-
FATAL: Notfallstufe. Diese Stufe bedeutet, dass Sie die Cisco ISE nicht verwenden können und sofort die erforderlichen Maßnahmen ergreifen müssen.
-
FEHLER: Dieser Wert gibt einen kritischen Fehlerzustand an.
-
WARNUNG: Dieser Wert gibt einen normalen, aber signifikanten Zustand an. Dies ist die Standardeinstellung für viele Protokollierungskategorien.
-
INFO: Diese Stufe gibt eine Informationsmeldung an.
-
DEBUG: Diese Stufe zeigt eine Diagnosefehlermeldung an.
Schritt 2 - Lokale Protokollierung: Mit diesem Kontrollkästchen wird die lokale Protokollgenerierung aktiviert. Das bedeutet, dass die von den PSNs generierten Protokolle auch auf dem jeweiligen PSN gespeichert werden, der das Protokoll generiert. Wir empfehlen, die Standardkonfiguration beizubehalten.
Schritt 3 - Ziele: In diesem Bereich können Sie die Ziele für eine Protokollierungskategorie auswählen, indem Sie die Ziele mithilfe der Pfeilsymbole nach links und rechts zwischen den Verfügbaren und den Ausgewählten Bereichen verschieben.
Der Bereich Availableenthält die vorhandenen Protokollierungsziele, sowohl lokale (vordefinierte) als auch externe (benutzerdefinierte) Ziele.
Der Bereich Selectedarea, der zunächst leer ist, zeigt dann die Ziele an, die für die Kategorie ausgewählt wurden.
Schritt 4 - Wiederholen Sie die Schritte 1 bis 3, um Remote Target unter Failed Attempts (Fehlgeschlagene Versuche) und Radius Accounting (Radius-Abrechnung) hinzuzufügen.
Remote-Ziele den gewünschten Kategorien zuordnen
Schritt 5: Überprüfen Sie, ob Ihr Remote-Ziel unter den erforderlichen Kategorien liegt.Sie müssen in der Lage sein, das gerade hinzugefügte Remote-Ziel anzuzeigen.
In diesem Screenshot sehen Sie das Remote-Ziel Remote_Kiwi_Syslog, das den erforderlichen Kategorien zugeordnet ist.
Überprüfen von Kategorien
Kategorien verstehen
Eine Meldung wird generiert, wenn ein Ereignis auftritt. Es gibt verschiedene Arten von Ereignismeldungen, die von verschiedenen Einrichtungen generiert werden, z. B. vom Kernel, von E-Mail, von der Benutzerebene usw.
Diese Fehler werden im Nachrichtenkatalog kategorisiert und die Ereignisse hierarchisch in Kategorien eingeteilt.
Diese Kategorien haben übergeordnete Kategorien, die eine oder einige Kategorien enthalten.
Übergeordnete Kategorie
|
Kategorie
|
AAA-Audit |
AAA-Audit Fehlgeschlagene Versuche Authentifizierung bestanden |
AAA-Diagnose |
AAA-Diagnose Administrator-Authentifizierung und -Autorisierung Authentifizierungs-Ablaufdiagnose Identitätsspeicherdiagnose Richtliniendiagnose Radius-Diagnose Gast |
Buchhaltung |
Buchhaltung
RADIUS-Abrechnung |
Verwaltungs- und Betriebsaudit |
Verwaltungs- und Betriebsaudit |
Status- und Client-Bereitstellungs-Audit |
Status- und Client-Bereitstellungs-Audit |
Status- und Client-Bereitstellungsdiagnose |
Status- und Client-Bereitstellungsdiagnose |
Profiler |
Profiler |
Systemdiagnose |
Systemdiagnose Verteilte Verwaltung Interne Betriebsdiagnose |
Systemstatistiken |
Systemstatistiken |
In diesem Screenshot sehen Sie, dass Guest eine Message Class ist und als Guest Category kategorisiert ist. Diese Gastkategorie verfügt über eine übergeordnete Kategorie mit dem Namen AAA Diagnostics.
Nachrichtenkatalog
Überprüfen und Fehlerbehebung
Ein TCP-Dump für das Remote-Protokollierungsziel ist der schnellste Fehlerbehebungs- und Verifizierungsschritt, um zu bestätigen, ob Protokollereignisse gesendet werden.
Die Erfassung muss vom PSN übernommen werden, der den Benutzer authentifiziert, da PSN Protokollmeldungen generieren wird und diese Meldungen an das Remote-Ziel gesendet werden.
Klicken Sie in der Cisco ISE-GUI auf das Menuicon () und wählen Sie Troubleshoot
TCP-Dump
In diesem Screenshot sehen Sie, wie die ISE Syslog-Meldungen für den Protokollverkehr des ISE-Administrators sendet.
Syslog-Datenverkehr