はじめに
このドキュメントでは、CyberVision CenterとISEの統合のトラブルシューティング手順について説明します。
ベストプラクティスの概要
ベストプラクティスは、システム設定が正しく動作するために考慮する必要がある推奨手順です。推奨事項:
- 最新の機能、ガイドライン、制限事項、および注意事項については、Cisco Cyber VisionリリースノートおよびCisco Identity Services Engine(ISE)リリースノートを参照してください
- 新しい設定変更を実装後に確認し、トラブルシューティングを行う
CCV-ISE概要フロー図
トラブルシューティングのガイドライン
今後の質問に回答することで、トラブルシューティングパスとさらに調査が必要なコンポーネントを特定できます。次の質問に答えて、インストールのステータスを確認します。
- 新規にインストールしたシステムですか、それとも既存のシステムですか。
- CyberVisionはISEを見ることができましたか。
systemctl status pxgrid-agent
コマンドを使用して、pxGridサービスのステータスを確認します。
- ISEはpxGridをハイアベイラビリティで実行しますか。
- アプリケーションで問題が発生し始める直前に、設定またはインフラストラクチャ全体で何が変化したか?
ネットワークの問題を検出するには、一般的なネットワークのトラブルシューティング手順を使用します。
ステップ 1:ISEからCyberVision Centerのホスト名にpingできますか。
pingできない場合は、セキュアシェル(SSH)を使用してISE CLIに接続し、ホスト名を追加します。
ステップ 2:CyberVision CenterからISEホスト名にpingを実行できますか。
そうでない場合は、ISEホスト名を中央の/data/etc/hostsファイルに追加します。
ステップ 3:証明書の問題を検出します。
CyberVision Centerからopenssl s_client -connect YourISEHostname:8910コマンドを入力します。
収集するデータ
ネットワークの問題:
センターとISEの間の詳細を示すスキームが役立ちます。
- Firewall Rules
- スタティック ルート
- ゲートウェイの設定
- VLANの設定
データの損失を回避するために、まずCenter診断ファイルを収集します。
次に、次の手順を使用して、センターで詳細ログをアクティブ化します。
/data/etc/sbsフォルダに2つのファイルを作成します。
最初のファイルにはlistener.confという名前を付け、次の内容を含める必要があります。
(ログレベルの前のスペースに注意してください)。
root@Center:~# cat /data/etc/sbs/listener.conf
configlog:
loglevel: debug
root@Center:~#
2番目のファイルにはpxgrid-agent.confという名前を付け、次の内容を含める必要があります。
(ログレベルの前のスペースに注意してください)。
root@Center:~# cat /data/etc/sbs/pxgrid-agent.conf
configlog:
loglevel: debug
両方のファイルを作成したら、Centerを再起動するか、sbs-burrowとpxgrid-agentサービスを再起動します。
Restart service using the command:
#systemctl restart sbs-burrow
#systemctl restart pxgrid-agent
次に、pxGridログを収集します(ファイル転送ツールを使用して、Centerからログをエクスポートします)。
root@Center:~# journalctl -u pxgrid-agent > /data/tmp/pxgridLogs.log
CenterとISE間の通信フローを分析するために、tcpdumpキャプチャを収集します。
root@Center:~# tcpdump -i eth0 -n host CCV_IP and host ISE_IP -w /data/tmp/ccv_ise.pcap
- ISEでデバッグを有効にし、サポートバンドルを収集します。
ISEでデバッグを有効にするには、Administration > System > Logging > Debug Log Configurationに移動します。ログレベルを次のように設定します。
個人 |
コンポーネント名 |
ログ レベル |
チェックするファイル |
|
PAN(オプション) |
プロファイラ |
デバッグ |
プロファイラ。ログ |
|
pxGridプローブが有効なPSN |
プロファイラ |
デバッグ |
プロファイラ。ログ |
|
pxGrid |
pxgrid |
トレース |
pxgridサーバ.log |
|
予想されるログメッセージ
中央のpxGridエージェントのデバッグログには、エージェントの開始、サービスの登録、ISEとのシンプル(またはストリーミング)テキスト指向メッセージングプロトコル(STOMP)接続の確立、資産/コンポーネントの更新操作の送信が示されます。
Jul 11 13:05:02 center systemd[1]: Started Agent for interfacing with pxGrid.
Jul 11 13:05:02 center pxgrid-agent[5404]: pxgrid-agent Center type: standalone [caller=postgres.go:543]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:119]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent HTTP server listening to: '169.254.0.90:2027' [caller=main.go:154]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={} [caller=control.go:147]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Account activated [caller=pxgrid.go:58]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset","restBaseUrl":"https://Center:8910/
Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Service registered, ID: c514c790-2361-47b5-976d-4a1b5ccfa8b7 [caller=pxgrid.go:76]
Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup body={"name":"com.cisco.ise.pubsub"} [caller=control.go:147]
Jul 11 13:05:05 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccessSecret body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:147]
Jul 11 13:05:06 center pxgrid-agent[5404]: pxgrid-agent Websocket connect url=wss://labise. aaalab .com:8910/pxgrid/ise/pubsub [caller=endpoint.go:129]
Jul 11 13:05:07 center pxgrid-agent[5404]: pxgrid-agent STOMP CONNECT host=10.48.78.177 [caller=endpoint.go:138]
Jul 11 13:06:59 center pxgrid-agent[5404]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"01:80:c2:00:00:00","assetName":"LLDP/STP bridges Multicast 0:0:0","assetIpAddress"
Jul 11 13:10:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister body={"id":"c514c790-2361-47b5-976d-4a1b5ccfa8b7"} [caller=control.go:147]
正常に統合された後の予期されるメッセージ形式とassetGroup属性は、次に示すように値なしでパブリッシュされます。
Jan 25 11:05:49 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":""},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":""}],"assetConnectedLinks":[]}} length=513 [caller=endpoint.go:149]
メッセージ形式が必要です(図に示すように、値を持つassetGroup)。これにより、CyberVision Centerが属性を送信していることを確認できます。属性がISE側にそれ以上反映されていない場合は、ISEでさらに調査する必要があります。
Jan 25 11:09:28 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":"test group"},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":"test group"}],"assetConnectedLinks":[]}} length=533 [caller=endpoint.go:149]
関連情報