ISEでの高度なモニタリングのためのGrafanaスタックについて
はじめに
このドキュメントでは、Identity Services Engine(ISE)3.3からSystem 360の高度なモニタリングまでのGrafanaスタックコンポーネントの組み込みについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Identity Service Engine
- Grafanaスタック
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ISE 3.3
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
System 360には、MonitoringAndLog Analytics機能が含まれます。
モニタリング機能を使用すると、一元化されたコンソールから展開内のすべてのノードについて、アプリケーションおよびシステムの広範な統計情報と重要業績評価指標(KPI)を監視できます。KPIは、ノード環境全体の状態を把握するのに役立ちます。統計情報は、システム構成と使用率固有のデータを単純化して表示します。
Log Analyticsは、エンドポイントの認証、許可、アカウンティング(AAA)とプロファイリングsyslogデータを詳細に分析する柔軟な分析システムを提供します。また、Cisco ISEの健全性の概要とプロセスのステータスを分析することもできます。Cisco ISE Counters and Health Summaryレポートに類似したレポートを生成できます。
GrafanaとPrometheusスタック
Grafanaスタックはサードパーティのオープンソースソフトウェアスタックで、特定の環境またはソフトウェアソリューション内で収集された統計情報やカウンタをグラフィックまたはテキストベースで表します。これは、Grafana、Prometheus、およびNode Exporterの各コンポーネントによって構成されます。
- Grafana:Grafanaは、Prometheusと連携する視覚化および分析ソフトウェアです。Prometheusデータベースに保存されているシステムメトリック、ログ、トレースを簡単に照会、可視化、アラート通知、調査できます。
- Prometheus:Prometheusは、ノードエクスポータによってキャッシュされた時系列データをプル、収集、および保存します。
- ノードエクスポータ:メモリ、ディスク、CPU使用率などのさまざまなマシンリソースメトリックを継続的に測定し、それらをキャッシュします。
Grafanaスタックフローチャート
これらのコンポーネントは、さまざまなタイプのシステムメトリックを収集、管理、および分析するための強力なスタックを形成します。これにより、システム管理者は、ネットワークソリューションのステータスとパフォーマンスをリアルタイムで分かりやすく可視化できます。
Grafanaスタックによる高度なISEモニタリング
- ISEでは、導入全体を監視するためにノードごとにGrafanaスタックの個別のインスタンスを用意する必要はありません。各ノードで実行されるスタックコンポーネントは、各ISEノードが持つロールによって異なります。
- 導入環境内の各ISEノードには、独自のノードエクスポータインスタンスがあります。
- ポリシー管理ノード(PAN)には、独立したGrafanaおよびPrometheusインスタンスがあります。
- Prometheusは最大5 GBまたは7日前のデータを保存できます。これらのしきい値に達すると、最も古いデータが最初に消去されます。
- データの収集、保存、および処理は、MnTコレクタでは処理されません。つまり、この機能を有効にしても、ISEのリソース消費に大きな影響はありません。
- モニタリング機能はデフォルトで有効になっています。
ISEモニタリングのGrafanaフロー
モニタリングの有効化または無効化
モニタリングは、ISEでデフォルトで有効になっている機能です。ただし、この機能はいつでも有効または無効にできます。
Operations > System 360 > Settingsの順に移動し、Monitoringボタンをクリックして機能をEnableまたはDisableにします。
最後に、Saveボタンをクリックします。
モニタリングの有効化または無効化
ISEがGrafanaスタックを初期化またはシャットダウンするまでに約1分かかります。show app stat iseを使用してサービスのステータスを確認できます。
vimontes-ise-33-1/admin#show application status ise ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 81008 Database Server running 134 PROCESSES Application Server running 518925 Profiler Database running 86939 ISE Indexing Engine running 486865 AD Connector running 90383 M&T Session Database running 486437 M&T Log Processor running 2564857 Certificate Authority Service running 245113 EST Service running 583881 SXP Engine Service disabled TC-NAC Service disabled PassiveID WMI Service disabled PassiveID Syslog Service disabled PassiveID API Service disabled PassiveID Agent Service disabled PassiveID Endpoint Service disabled PassiveID SPAN Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled ISE Messaging Service running 247148 ISE API Gateway Database Service running 488895 ISE API Gateway Service running 501344 ISE pxGrid Direct Service running 559099 Segmentation Policy Service disabled REST Auth Service disabled SSE Connector disabled Hermes (pxGrid Cloud Agent) disabled McTrust (Meraki Sync Service) disabled ISE Node Exporter running 91058 ISE Prometheus Service running 357191 ISE Grafana Service running 504738 ISE MNT LogAnalytics Elasticsearch running 359800 ISE Logstash Service running 362762 ISE Kibana Service running 365658 ISE Native IPSec Service running 507795 MFC Profiler running 574221
注:各ISEノードで実行されているペルソナによっては、モニタリングが有効になっていてもGrafanaスタックサービスの一部がnot runningステータスになることが予想されます。
ナビゲーションメニュー
Operations > System 360 > Monitoring の順に移動し、Grafana Navigationメニューにアクセスします。 ナビゲーションメニューは、ISEが表示するダッシュボードの左側にあります。
Grafanaナビゲーションメニュー
組み込みダッシュボード
ISEにはデフォルトで、ISEダッシュボードとMFCプロファイラという2つの組み込みダッシュボードがあります。 これらのダッシュボードには、メモリ、CPU、ディスク統計などの最も一般的な重要業績評価指標(KPI)が、導入環境内のISEノードごとに個別に表示されます。これらのダッシュボードには、プロセス消費メトリックも表示できます。
これらのダッシュボードにアクセスするには、Operations > System 360 > Monitoringメニューの順に移動します。デフォルトでは、ISEはISEダッシュボードを表示します。
注:機能が有効になっていない場合、GUIには「Monitoring」メニューは表示されません。
ISEノードを選択し、表示される情報の期間とダッシュボードのリフレッシュレートを変更できます。
モニタリング組み込みダッシュボード
ダッシュボードを切り替えるには、4つの四角形のアイコンをクリックします
。[ダッシュボードの管理]ウィンドウが開きます。このウィンドウでは、既存の異なるダッシュボードから選択できます。
ダッシュボード間の切り替え
注:データの不一致を避けるには、ISEサーバとクライアントマシンの時刻を同じにする必要があります。時刻の不一致が検出された場合、組み込みダッシュボードにアクセスした後にISEが次の警告を表示します。「ISEサーバとクライアントマシン間で時刻の不一致が検出されました。これにより、Grafanaの動作に一貫性がなく、両方のマシンで時刻を慎重に同期できる可能性があります」
独自のダッシュボードの作成
提供されている組み込みダッシュボードに加えて、独自のダッシュボードをゼロから作成できます。
ステップ 1:新しいダッシュボードメニューの入力
Operations > System 360 > Monitoringの順に移動します。
Grafanaナビゲーションメニューでプラス(+)アイコンをクリックし、ダッシュボードをクリックします。
新しいダッシュボードの作成
ステップ 2:パネルを追加する
Add a new panelオプションを選択します。パネルの編集ウィンドウが表示されます。新しいパネルの追
加
Edit Panelウィンドウは次のようになります。
ダッシュボード作成領域
a.視覚化領域:Prometheusデータベースから取得したデータをグラフィックで表示します。
b. Data Queries領域:クエリーを選択して、Prometheusデータベースに保存されている特定のメトリックとデータを取得できます。
c.パネルオプション領域:データを表示するグラフィックパネルを変更するための豊富なオプションを提供します。
ステップ 3:クエリーを使用してパネルを作成する
トラブルシューティング
- モニタリング機能が有効になっていることを確認します。
- 各ISEノードで有効になっているペルソナに応じて、GrafanaスタックサービスがISEノードで実行されていることを確認します。
- 各Grafanaスタックコンポーネントには個別のログがあります。これらのログファイルには、ISE CLIで次のコマンドを使用してアクセスできます。
vimontes-ise-33-1/admin#show logging application ise-prometheus/prometheus.log vimontes-ise-33-1/admin#show logging application ise-node-exporter/node-exporter.log vimontes-ise-33-1/admin#show logging application ise-grafana/grafana.log
注:この機能をトラブルシューティングするためにデバッグレベルに設定する特定のコンポーネントはありません。これらのログファイルを収集するだけで十分です。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
01-Dec-2023 |
初版 |
フィードバック