トラブルシューティング
Cisco ISE のモニタリングとトラブルシューティング サービス
モニタリングおよびトラブルシューティング(MnT)サービスは、すべての Cisco ISE 実行時サービスを対象とした包括的なアイデンティティ ソリューションです。[操作(Operations)] メニューには次のコンポーネントが表示されます。このメニューはポリシー管理ノード(PAN)からのみ表示できます。 [操作(Operations)] メニューはプライマリ モニタリング ノードに表示されないことに注意してください。
-
モニタリング:ネットワーク上のアクセス アクティビティの状態を表す意味のあるデータをリアルタイムに表示します。これを把握することにより、操作の状態を簡単に解釈し、作用することができます。
-
トラブルシューティング:ネットワーク上のアクセスの問題を解決するための状況に応じたガイダンスを提供します。また、ユーザの懸念に対応してタイムリーに解決策を提供できます。
-
レポート:トレンドを分析し、システムパフォーマンスおよびネットワークアクティビティをモニタするために使用できる、標準レポートのカタログを提供します。 レポートをさまざまな方法でカスタマイズし、今後使用するために保存できます。[ID(Identity)]、[エンドポイント ID(Endpoint ID)]、および [ISE ノード(ISE Node)](正常性の概要レポートは除く)のすべてのレポートで、ワイルドカードおよび複数値を使用してレコードを検索できます。
|
トラブルシューティングに関するテクニカルノートのリストについては、「 ISE Troubleshooting TechNotes」を参照してください。 |
Network Privilege Framework のイベントフロープロセス
Network Privilege Framework(NPF)認証および許可イベントフローでは、次の表に記載されているプロセスが使用されます。
|
プロセス ステージ |
説明 |
|---|---|
|
1 |
ネットワーク アクセス デバイス(NAD)によって通常の許可またはフレックス許可のいずれかが実行されます。 |
|
2 |
未知のエージェントレス ID が Web 許可を使用してプロファイリングされます。 |
|
3 |
RADIUS サーバによって ID が認証および許可されます。 |
|
4 |
許可がポートでアイデンティティに対してプロビジョニングされます。 |
|
5 |
許可されないエンドポイント トラフィックはドロップされます。 |
モニタリングおよびトラブルシューティング 機能のユーザロールと権限
モニタリングおよびトラブルシューティング機能は、デフォルトのユーザ ロールに関連付けられます。実行を許可されるタスクは、割り当てられているユーザロールに直接関係します。
各ユーザロールに設定されている権限と制約事項については、「Cisco ISE Administrator Groups」の項を参照してください。
モニタリングデータベースに格納されているデータ
Cisco ISE モニタリング サービスでは、データが収集され、特化したモニタリング データベースに格納されます。ネットワーク機能のモニタリングに使用されるデータのレートおよび量によっては、モニタリング専用のノードが必要な場合があります。 Cisco ISE ネットワークによって、ポリシーサービスノードまたはネットワークデバイスからロギングデータが高いレートで収集される場合は、モニタリング専用の Cisco ISE ノードを推奨します。
モニタリングデータベースに格納される情報を管理するには、データベースの完全バックアップおよび差分バックアップを実行します。これには、不要なデータの消去とデータベースの復元が含まれます。
Smart Call Home
Smart Call Home(ISE)は、ネットワーク内の Cisco ISE デバイスを監視し、重大なイベントに関して電子メールで知らせます。電子メールには、環境情報と修復に関するアドバイスが記載されたリアルタイムのアラートが含まれています。
Cisco ISE のスマート ライセンスをアクティブにすると、SCH の機能はデフォルトで有効になります。それ以外の場合で、SCH を有効にするには、SCH サービス用に Cisco ISE を登録する必要があります。 SCH 機能を有効にする方法の詳細については、「Smart Call Home サービスの登録」を参照してください。
-
[シスコアカウント(Cisco Account)]:SCH からの電子メールを受信できるようにシスコアカウントを入力します。この ID は、お客様に影響する重大な問題が SCH によって発見された場合の連絡にも使用される場合があります。
-
[トランスポートゲートウェイ(Transport Gateway)]:セキュリティを強化するために、Cisco ISE とシスコの外部テレメトリサーバの間でプロキシを使用することができます。そうする場合は、このオプションをオンにして、プロキシサーバの FQDN を入力します。
シスコでは、Cisco.com からダウンロードできるトランスポート ゲートウェイ用のソフトウェアを提供しています。このソフトウェアは、Linux サーバ上で実行されます。 RHEL サーバでの Transport Gateway ソフトウェアの導入方法については、『Smart Call Home Deployment Guide』を参照してください。
SCH 機能の有効化については、「Smart Call Home サービスの登録」を参照してください。
Smart Call Home プロファイル
Smart Call Home プロファイルは、デバイスでモニタされるイベントのタイプを決定します。Cisco ISE には、次のデフォルトプロファイルがあります。
-
ciscotac-1:匿名レポートのために使用されます
-
isesch-1:Smart Call Home 機能のために使用されます
匿名レポートのために使用されるデフォルトプロファイル(ciscotac-1)を編集することはできません。
Anonymous Reporting
Cisco ISE は、ユーザの展開、ネットワーク アクセス デバイス、プロファイラ、およびその他に使用しているサービスに関する非機密情報を安全に収集します。このデータは、Cisco ISE の使用状況をより詳しく把握し、製品と製品が提供するさまざまなサービスを向上させる目的で収集されます。
デフォルトでは、anonymous reporting は有効になっています。anonymous reporting を使用不可にするには、ISE 管理者ポータル([管理(Administration)] > [システム(System)] > [設定(Settings)] > [Smart Call Home])で行うことができます。
Smart Call Home サービスの登録
 注 |
Cisco ISE のスマート ライセンスを有効にしている場合、Smart Call Home(SCH)サービスに登録する必要はありません。スマートライセンスにより、SCH 機能はデフォルトで有効になっています。 [Smart Call Home] ページの登録ステータスはアクティブになっています。 匿名レポートのみを有効にすることや、SCH が提供する機能一式を有効にすることができます。 |
スマート ライセンスを使用せずに SCH サービスを有効にするには、まず SCH サービス用に Cisco ISE を登録する必要があります。これは、スタンドアロンノードまたはプライマリ管理ノードからのみ行うことができます。
手順
| ステップ 1 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [Smart Call Home] の順に選択します。 |
| ステップ 2 |
次のいずれか を実行します。
|
| ステップ 3 |
([SCH のすべての機能をオンにする(Turn on full SCH capability)] オプションを選択した場合のみ)[登録ステータス(Registration Status)] エリアに電子メールアドレスを入力します。 |
| ステップ 4 |
(オプション)[Transport Gateway] チェックボックスをオンにして、Transport Gateway の URL を入力します。 |
| ステップ 5 |
[保存(Save)] をクリックします。 SCH のすべての機能を有効にしている場合は、アクティベーションリンクが記載された電子メールを受信します。 アクティベーションリンクをクリックして記載されている指示に従い、登録を完了します。 |
Cisco ISE テレメトリ
テレメトリは、ネットワーク内のシステムとデバイスを監視し、ユーザの製品使用方法に関する情報をシスコにフィードバックします。シスコでは、この情報を使用して製品を改善します。
テレメトリはデフォルトで有効になっています。この機能を無効にするには、次の手順に従ってください。
-
[管理(Administration)] > [システム(System)] [設定(Settings)] > [Network Success Diagnostics] > [テレメトリ(Telemetry)] に移動します。
-
[テレメトリの有効化(Enable Telemetry)] チェックボックスをクリックしてオフにし、テレメトリを無効にします。
Cisco ISE で、機能が無効になり、テレメトリデータの共有が停止するまでに最大 24 時間かかる場合があります。
-
[シスコアカウント(Cisco Account)]:テレメトリからの電子メールを受信できるようにシスコアカウントを入力します。この ID は、ユーザに影響する重大な問題がテレメトリによって発見された場合の連絡にも使用される場合があります。
-
[トランスポートゲートウェイ(Transport Gateway)]:セキュリティを強化するために、Cisco ISE とシスコの外部テレメトリサーバの間でプロキシを使用することができます。そうする場合は、このオプションをオンにして、プロキシサーバの FQDN を入力します。 テレメトリにプロキシは必要ありません。
シスコでは、Cisco.com からダウンロードできるトランスポート ゲートウェイ用のソフトウェアを提供しています。このソフトウェアは、Linux サーバ上で実行されます。 RHEL サーバでの Transport Gateway ソフトウェアの導入方法については、『Smart Call Home Deployment Guide』を参照してください。このシスコソフトウェアを使用している場合、 URL の値は、<FQDN of proxyserver>/Transportgateway/services/DeviceRequestHandler です。このゲートウェイを使用して、スマート ライセンス サーバに接続することもできます。トランスポートゲートウェイのバージョン 3.5 以降では、ポートを変更できませんが、FQDN の代わりに IP アドレスを入力できます。
テレメトリが収集する情報
ノード:
PAN ノードの場合:
-
ポスチャされたエンドポイントの現在の数
-
PxGrid クライアントの現在の数
-
MDM によって管理されるエンドポイントの現在の数
-
現在のゲストユーザーの数
-
このテレメトリレコードの開始日と終了日
PSN ノードの場合:
-
プロファイラプローブの数
-
ノードサービスタイプ
-
パッシブ ID が使用されているか
すべてのノードの場合:
-
CPU コア数
-
VM 利用可能なディスク容量
-
システム名
-
Serial number
-
VID と PID
-
アップタイム(Uptime)
-
最後の CLI ログイン
MnT ノード数
pxGrid ノード数
ライセンス
-
ライセンスの有効期限が切れていますか?
-
使用可能な Apex ライセンスの数、これまでに使用された最大数
-
使用可能な基本ライセンスの数、これまでに使用された最大数
-
使用可能な Plus ライセンスの数、これまでに使用された最大数
-
使用可能な Apex ライセンスの数、これまでに使用された最大数
-
小規模、中規模、大規模 VM ライセンスの数
-
評価ライセンスを使用していますか?
-
スマートアカウントの名前
-
TACACS デバイスの数
-
有効期限、残りの日数、ライセンス期間
-
サービスタイプ、プライマリ UDI およびセカンダリ UDI
ポスチャ(Posture)
-
非アクティブなポリシーの数
-
最後のポスチャフィード更新
-
アクティブなポリシーの数
ゲスト ユーザ
-
当日の認証されたゲストの最大数
-
当日のアクティブゲストの最大数
-
当日の BYOD ユーザの最大数
Network Access
各 NAD に関する情報:
-
認証:アクティブ化された ACL、VLAN、ポリシーサイズ
-
NDG マップと NAD 階層
-
Authentication:
-
RADIUS、RSA ID、LDAP、ODBC、およびアクティブディレクトリ ID ストアの数
-
ローカル(管理者以外の)ユーザの数
-
NDG マップと NAD マップ
-
ポリシーの行数
-
認証用の、アクティブ VLAN、ポリシー数、アクティブ化された ACL の数
ステータス、VID、PT
平均負荷、メモリ使用率
PAP、MnT、pxGrid、および PIC ノードの数
名前、プロファイル名、プロファイル ID
NAD プロファイル
各 NAD プロファイルに関する情報:
-
名前と ID
-
シスコ デバイス
-
TACACS サポート
-
RADIUS サポート
-
TrustSec サポート
-
[デフォルトのプロファイル(Default Profile)]
プロファイラ
-
フィードの最終更新日
-
自動更新を有効にしますか。
-
プロファイルされたエンドポイント、エンドポイントの種類、不明なエンドポイント、不明なパーセンテージ、および合計エンドポイント数
-
カスタムプロファイルの数
-
シリアル番号、範囲、エンドポイントタイプ、カスタムプロファイル
MDM
-
MDM ノードのリスト
-
日付範囲内における、現在の MDM エンドポイント数、現在のゲスト ユーザ数、現在のポスチャ済みユーザ数
-
pxGrid クライアント数
-
ノード数
Cisco ISE をモニタする SNMP トラップ
Cisco ISE の汎用 SNMP トラップ
SNMP トラップは、Cisco ISE のステータスをモニタできます。Cisco ISE サーバにアクセスせずに Cisco ISE をモニタする場合は、Cisco ISE の SNMP ホストとして MIB ブラウザを設定できます。 その後、MIB ブラウザから Cisco ISE のステータスをモニタすることもできます。
snmp-server host および snmp-server trap コマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
Cisco ISE は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。
CLI から SNMP ホストを設定した場合は、Cisco ISE は次の汎用システム トラップを送信します。
-
Cold start:デバイスをリブートするとき
-
Linkup:イーサネット インターフェイスを起動するとき
-
Linkdown:イーサネット インターフェイスをダウンするとき
-
Authentication failure:コミュニティ ストリングが一致しないとき
Cisco ISE では、デフォルトで次の汎用 SNMP トラップが生成されます。
|
OID |
説明 |
トラップの例 |
|---|---|---|
|
.1.3.6.1.4.1.8072.4.0.3 NET SNMP エージェント MIB::nsNotifyRestart |
エージェントが再起動されたことを示します。 |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78 SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyRestart SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix |
|
.1.3.6.1.4.1.8072.4.0.2 NET SNMP エージェント MIB::nsNotifyShutdown |
エージェントがシャットダウン中であることを示します。 |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyShutdown SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix |
|
.1.3.6.1.6.3.1.1.5.4 IF-MIB::linkUp |
linkUp トラップは、エージェントロールで動作している SNMP エンティティで、いずれかの通信リンクの ifOperStatus オブジェクトが、ダウン状態から(notPresent 状態以外の)他の状態に遷移したことが検出されたことを示します。 This other state is indicated by the included value of ifOperStatus. |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (478) 0:00:04.78 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkUp IF-MIB::ifIndex.12 = INTEGER: 12 IF-MIB::ifAdminStatus.12 = INTEGER: up(1) IF-MIB::ifOperStatus.12 = INTEGER: up(1) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10 |
|
.1.3.6.1.6.3.1.1.5.3 IF-MIB::linkDown |
linkDown トラップは、エージェントロールで動作している SNMP エンティティで、いずれかの通信リンクの ifOperStatus オブジェクトが、(notPresent 状態以外の)他の状態からダウン状態に遷移しようとしていることが検出されたことを示します。 This other state is indicated by the included value of ifOperStatus. |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (479) 0:00:04.79 SNMPv2-MIB::snmpTrapOID.0 = OID: IF-MIB::linkDown IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifAdminStatus.5 = INTEGER: up(1) IF-MIB::ifOperStatus.5 = INTEGER: down(2) SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10 |
|
.1.3.6.1.6.3.1.1.5.1 SNMPv2-MIB::coldStart |
coldStart トラップは、通知発信元アプリケーションをサポートする SNMP エンティティが自動的に再初期化され、このエンティティの設定は変更された可能性があることを示します。 |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8) 0:00:00.08 SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::coldStart SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10 |
Cisco ISE のプロセス モニタリング SNMP トラップ
Cisco ISE では、Cisco ISE CLI から SNMP ホストを設定する場合、Cisco ISE プロセスステータスの hrSWRunName トラップを SNMP マネージャに送信できます。 Cisco ISE は cron ジョブを使用してこれらのトラップをトリガーします。cron ジョブは Cisco ISE プロセスステータスを Monit から取得します。 CLI から SNMP-Server Host コマンドを設定した後、5 分ごとに cron ジョブを実行して Cisco ISE をモニタします。
注 |
管理者が ISE プロセスを手動で停止した場合は、プロセスの Monit が停止しても、SNMP マネージャにトラップは送信されません。 プロセスが不意にシャットダウンし、自動的に復活しない場合のみ、プロセス停止 SNMP トラップは SNMP マネージャに送信されます。 |
|
OID |
説明 |
トラップの例 |
|---|---|---|
|
.1.3.6.1.2.1.25.4.2.1.2 HOST-RESOURCES-MIB::hrSWRunName |
A textual description of this running piece of software, including the manufacturer, revision, and the name by which it is commonly known. このソフトウェアがローカルにインストールされた場合は、対応する hrSWInstalledName で使用されているものと同じ文字列である必要があります。検討する必要のあるサービスは、app-server、rsyslog、redis-server、ad-connector、mnt-collector、mnt-processor、ca-server est-server、および elasticsearch です。 |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (63692139) 7 days, 8:55:21.39 SNMPv2-MIB::snmpTrapOID.0 = OID: HOSTRESOURCES- MIB::hrSWRunName HOSTRESOURCES- MIB::hrSWRunName = STRING: "redis-server:Running" |
Cisco ISE は、次のステータスのトラップを設定済みの SNMP サーバに送信します。
-
Process Start(監視状態)
-
Process Stop(監視されていない状態)
-
Execution Failed:プロセスの状態が「Monitored」から「Execution failed」に変更されるとトラップが送信されます。
-
Does Not Exists:プロセスの状態が「Monitored」から「Does not exists」に変更されるとトラップが送信されます。
SNMP サーバで、すべてのオブジェクトについて一意のオブジェクト ID(OID)が生成され、値が OID に割り当てられます。SNMP サーバの OID 値でオブジェクトを検索できます。 実行中のトラップの OID 値は「running」で、監視されないトラップ、存在しないトラップ、実行に失敗したトラップの OID 値は「stopped」です。
Cisco ISE は、HOST-RESOURCES MIB に属している hrSWRunName の OID を使用してトラップを送信し、< PROCESS NAME > - < PROCESS STATUS > として OID 値を設定します。たとえば、runtime - running として設定します。
Cisco ISE が SNMP トラップを SNMP サーバに送信するのを停止させるには、Cisco ISE CLI から SNMP 設定を削除します。この操作によって、SNMP トラップの送信と、SNMP マネージャからのポーリングが停止されます。
Cisco ISE のディスク使用状況 SNMP トラップ
Cisco ISE のパーティションのディスク使用率がしきい値に到達し、設定された空きディスク領域の量に達すると、ディスク使用状況トラップが送信されます。
Cisco ISE では、次のディスク使用状況 SNMP トラップを設定できます。
|
OID |
説明 |
トラップの例 |
|---|---|---|
|
.1.3.6.1.4.1.2021.9.1.9 UCD-SNMP-MIB::dskPercent |
使用されているディスク容量の割合。 |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198297) 13 days, 16:19:42.97 SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPercent UCD-SNMP-MIB::dskPercent = INTEGER: 13 |
|
.1.3.6.1.4.1.2021.9.1.2 UCD-SNMP-MIB::dskPath |
ディスクがマウントされている場所のパス。 dskPath は、ISE 管理コマンド show disks の出力ですべてのマウントポイントのトラップを送信できます。 |
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (118198304) 13 days, 16:19:43.04 SNMPv2-MIB::snmpTrapOID.0 = OID: UCD-SNMP-MIB::dskPath UCD-SNMP-MIB::dskPath = STRING: /opt |
Cisco ISE アラーム
アラームは、ネットワークの重大な状態を通知し、[アラーム(Alarms)] ダッシュレットに表示されます。 データ消去イベントなど、システムアクティビティの情報も提供されます。 システムアクティビティについてどのように通知するかを設定したり、それらを完全に無効にしたりできます。 また、特定のアラームのしきい値を設定できます。
大半のアラームには関連付けられているスケジュールがなく、イベント発生後即時に送信されます。 その時点で最新の 15,000 件のアラームのみが保持されます。
イベントが繰り返し発生した場合、同じアラームは約 1 時間抑制されます。 イベントが繰り返し発生する間は、トリガーに応じて、アラームが再び表示されるのに約 1 時間かかる場合があります。
次の表に、すべての Cisco ISE アラームおよびその説明と解決方法を示します。
|
アラーム名 |
アラーム の説明 |
アラームの解決方法 |
|---|---|---|
| 管理および操作の監査の管理 | ||
|
展開のアップグレードの失敗(Deployment Upgrade Failure) |
ISE ノードでアップグレードに失敗しました。 |
アップグレードが失敗した原因と修正措置について、失敗したノードの ADE.ログを確認します。 |
|
アップグレード バンドルのダウンロードの失敗(Upgrade Bundle Download failure) |
アップグレード バンドルのダウンロードが ISE ノードで失敗しました。 |
アップグレードが失敗した原因と修正措置について、失敗したノードの ADE.ログを確認します。 |
|
SXP 接続障害(SXP Connection Failure) |
SXP 接続に失敗しました。 |
SXP サービスが実行していることを確認します。ピアに互換性があることを確認します。 |
|
シスコ プロファイルの全デバイスへの適用(Cisco profile applied to all devices) |
ネットワーク デバイス プロファイルによって、MAB、Dot1X、CoA、Web Redirect などのネットワーク アクセス デバイスの機能が定義されます。 ISE 2.0 へのアップグレードにより、デフォルトのシスコ ネットワーク デバイス プロファイルがすべてのネットワークデバイスに適用されました。 |
シスコ以外のネットワークデバイスの設定を必要に応じて編集し、適切なプロファイルを割り当てます。 |
|
CRL で失効した証明書が見つかったことによるセキュア LDAP 接続の再接続(Secure LDAP connection reconnect due to CRL found revoked certificate) |
CRL チェックの結果、LDAP 接続で使用された証明書が失効していることが検出されました。 |
CRL 設定が有効であることを確認します。LDAP サーバ証明書とその発行元の証明書が失効していないことを確認します。 失効している場合は、新しい証明書を発行して LDAP サーバにインストールします。 |
|
OCSP で失効した証明書が見つかったことによるセキュア LDAP 接続の再接続(Secure LDAP connection reconnect due to OCSP found revoked certificate) |
OCSP チェックの結果、LDAP 接続で使用された証明書が失効していることが検出されました。 |
OCSP 設定が有効であることを確認します。LDAP サーバ証明書とその発行元の証明書が失効していないことを確認します。 失効している場合は、新しい証明書を発行して LDAP サーバにインストールします。 |
|
CRL で失効した証明書が見つかったことによるセキュア syslog 接続の再接続(Secure syslog connection reconnect due to CRL found revoked certificate) |
CRL チェックの結果、syslog 接続で使用された証明書が失効していることが検出されました。 |
CRL 設定が有効であることを確認します。syslog サーバ証明書とその発行元の証明書が失効していないことを確認します。 失効している場合は、新しい証明書を発行して syslog サーバにインストールします。 |
|
OCSP で失効した証明書が見つかったことによるセキュアな syslog 接続の再接続(Secure syslog connection reconnect due to OCSP found revoked certificate) |
OCSP チェックの結果、syslog 接続で使用された証明書が失効していることが検出されました。 |
OCSP 設定が有効であることを確認します。syslog サーバ証明書とその発行元の証明書が失効していないことを確認します。 失効している場合は、新しい証明書を発行して syslog サーバにインストールします。 |
|
管理者アカウントがロック/無効(Administrator account Locked/Disabled) |
パスワードの失効または不正なログイン試行のために、管理者アカウントがロックされているか、または無効になっています。 詳細については、管理者パスワード ポリシーを参照してください。 |
管理者パスワードは、GUI または CLI を使用して、他の管理者によってリセットできます。 |
|
ERS が非推奨の URL を検出(ERS identified deprecated URL) |
ERS が非推奨の URL を検出しました。 |
要求された URL が非推奨であるため、使用しないでください。 |
|
ERS が古い URL を検出(ERS identified out-dated URL) |
ERS が古い URL を検出しました。 |
要求された URL が古いため、新しいものを使用してください。 この URL は今後のリリースで削除されません。 |
|
ERS 要求 Content-Type ヘッダーが古い(ERS request content-type header is outdated) |
ERS 要求 Content-Type ヘッダーが最新ではありません。 |
要求 Content-Type ヘッダーで指定された要求のリソース バージョンが最新ではありません。 これはリソース スキーマが変更されたことを意味します。いくつかの属性が追加または削除された可能性があります。 古いスキーマをこのまま処理するために、ERS エンジンでデフォルト値が使用されます。 |
|
ERS XML 入力が XSS またはインジェクション攻撃の原因です(ERS XML input is a suspect for XSS or Injection attack) |
ERS XML 入力が XSS またはインジェクション攻撃の原因になっています。 |
XML 入力を確認してください。 |
|
バックアップに失敗(Backup Failed) |
ISE バックアップ操作に失敗しました。 |
Cisco ISE とリポジトリ間のネットワーク接続を確認します。 次の点を確認します。
|
|
CA サーバがダウン(CA Server is down) |
CA サーバがダウンしています。 |
CA サービスが CA サーバで稼働中であることを確認します。 |
|
CA サーバが稼働中(CA Server is Up) |
CA サーバは稼働中です。 |
CA サーバが稼働中であることを管理者に通知します。 |
|
証明書の有効期限(Certificate Expiration) |
この証明書はまもなく有効期限が切れます。 これが失効すると、Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。 |
証明書を交換します。 信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。 CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。 自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。 使用されなくなった場合、証明書を削除できます。 |
|
証明書が失効(Certificate Revoked) |
管理者は、内部 CA がエンドポイントに発行した証明書を取り消しました。 |
BYOD フローに従って最初から新しい証明書を使用してプロビジョニングします。 |
|
証明書プロビジョニング初期化エラー(Certificate Provisioning Initialization Error) |
証明書プロビジョニングの初期化に失敗しました。 |
複数の証明書でサブジェクトの CN(CommonName)属性が同じ値になっており、証明書チェーンを構築できません。 SCEP サーバからそれらを含むシステムのすべての証明書を確認します。 |
|
証明書の複製に失敗(Certificate Replication Failed) |
セカンダリ ノードへの証明書の複製に失敗しました。 |
証明書がセカンダリノードで無効であるか、他の永続的なエラー状態があります。 セカンダリノードに矛盾する証明書が存在しないかどうかを確認します。 見つかった場合、セカンダリノードに存在するその証明書を削除し、プライマリの新しい証明書をエクスポートしてから削除し、その後インポートすることによって複製を再試行します。 |
|
証明書の複製に一時的に失敗(Certificate Replication Temporarily Failed) |
セカンダリ ノードへの証明書の複製に一時的に失敗しました。 |
証明書は、ネットワークの停止などの一時的な条件によりセカンダリノードに複製されませんでした。 複製は、成功するまで再試行されます。 |
|
証明書が失効(Certificate Expired) |
この証明書の期限が切れています。 Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。 ノードツーノード通信も影響を受ける場合があります。 |
証明書を交換します。 信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。 CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。 自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。 使用されなくなった場合、証明書を削除できます。 |
|
証明書要求転送に失敗(Certificate Request Forwarding Failed) |
証明書要求転送に失敗(Certificate Request Forwarding Failed) |
受信する証明書要求が送信者からの属性に一致することを確認します。 |
|
設定が変更(Configuration Changed) |
Cisco ISE 設定が更新されています。 このアラームは、ユーザとエンドポイントに設定変更があってもトリガーされません。 |
設定変更が想定どおりであるかどうかを確認します。 |
|
CRL の取得に失敗(CRL Retrieval Failed) |
サーバから CRL を取得できません。これは、指定した CRL が使用できない場合に発生することがあります。 |
ダウンロード URL が正しく、サービスに使用可能であることを確認します。 |
|
DNS 解決に失敗(DNS Resolution Failure) |
ノードで DNS 解決に失敗しました。 |
コマンド ip name-server で設定した DNS サーバが到達可能であることを確認してください。 「CNAME <hostname of the node> に対する DNS 解決が失敗しました(DNS Resolution failed for CNAME <hostname of the node>)」というアラームが表示された場合は、各 Cisco ISE ノードの A レコードとともに CNAME RR を作成できることを確認します。 |
|
ファームウェアの更新が必要(Firmware Update Required) |
このホスト上でファームウェアの更新が必要です。 |
Cisco Technical Assistance Center に問い合わせてファームウェアアップデートを入手してください。 |
|
仮想マシン リソースが不十分(Insufficient Virtual Machine Resources) |
このホストでは、CPU、RAM、ディスク容量、IOPS などの仮想マシン(VM)リソースが不十分です。 |
Cisco ISE Hardware Installation Guide に指定されている VM ホストの最小要件を確認します。 |
|
NTP サービスの障害(NTP Service Failure) |
NTP サービスがこのノードでダウンしています。 |
これは、NTP サーバと Cisco ISE ノードとの間に大きな時間差(1000 秒を超える)があるために発生することがあります。 NTP サーバが正しく動作していることを確認し、 ntp server <servername> CLI コマンドを使用して NTP サービスを再起動して、 時間を同期します。 |
|
NTP 同期に失敗(NTP Sync Failure) |
このノードに構成されているすべての NTP サーバが到達不能です。 |
トラブルシューティングのために、CLI で show ntp コマンドを実行します。Cisco ISE から NTP サーバに到達可能であることを確認します。 NTP 認証が設定されている場合、キー ID と値がサーバの対応する値に一致することを確認します。 |
|
スケジュールされた設定バックアップなし(No Configuration Backup Scheduled) |
Cisco ISE 設定バックアップがスケジュールされていません。 |
設定バックアップのスケジュールを作成します。 |
|
操作 DB 消去に失敗(Operations DB Purge Failed) |
操作データベースから古いデータを消去できません。 このことは、M&T ノードがビジー状態である場合に発生する可能性があります。 |
[データ消去の監査(Data Purging Audit)] レポートをチェックし、used_space が threshold_space を下回ることを確認します。 CLI を使用して M&T ノードにログインし、消去操作を手動で実行します。 |
|
プロファイラ SNMP 要求に失敗(Profiler SNMP Request Failure) |
SNMP 要求がタイムアウトしたか、または SNMP コミュニティまたはユーザ認証データが不正です。 |
SNMP が NAD で動作していることを確認し、Cisco ISE の SNMP 設定が NAD に一致していることを確認します。 |
|
複製に失敗(Replication Failed) |
セカンダリノードは複製されたメッセージを消費できませんでした。 |
Cisco ISE GUI にログインし、展開ページから手動同期を実行します。 影響を受ける Cisco ISE ノードを登録解除してから登録します。 |
|
復元に失敗(Restore Failed) |
Cisco ISE 復元操作に失敗しました。 |
Cisco ISE とリポジトリ間のネットワーク接続を確認します。 リポジトリに使用するログイン情報が正しいことを確認します。 バックアップファイルが破損していないことを確認します。 CLI で reset-config コマンドを実行して、正常な既知の 最終バックアップを復元します。 |
|
パッチに失敗(Patch Failure) |
パッチ プロセスがサーバで失敗しました。 |
サーバにパッチ プロセスを再インストールします。 |
|
パッチに成功(Patch Success) |
パッチ プロセスがサーバで成功しました。 |
- |
|
外部 MDM サーバ API バージョンが不一致(External MDM Server API Version Mismatch) |
外部 MDM サーバ API バージョンが Cisco ISE に設定されたものと一致しません。 |
MDM サーバ API バージョンが Cisco ISE に設定されたものと同じであることを確認します。 Cisco ISE MDM サーバ設定を更新します(必要な場合)。 |
|
外部 MDM サーバ接続に失敗(External MDM Server Connection Failure) |
外部 MDM サーバへの接続に失敗しました。 |
MDM サーバが稼働し、Cisco ISE-MDM API サービスが MDM サーバで稼働していることを確認します。 |
|
外部 MDM サーバ応答エラー(External MDM Server Response Error) |
外部 MDM サーバ応答エラーです。 |
Cisco ISE-MDM API サービスが MDM サーバで適切に動作していることを確認します。 |
|
複製が停止(Replication Stopped) |
ISE ノードが PAN から設定データを複製できませんでした。 |
Cisco ISE GUI にログインして展開ページから手動同期を実行するか、または影響を受けた ISE ノードを登録解除してから必須フィールドで再登録します。 |
|
エンドポイント証明書が期限切れ(Endpoint certificates expired) |
エンドポイント証明書が日次スケジュールジョブで期限切れとマークされました。 |
エンドポイントデバイスを再登録して新しいエンドポイント証明書を取得してください。 |
|
エンドポイント証明書が消去(Endpoint certificates purged) |
期限切れのエンドポイント証明書が日次スケジュールジョブによって消去されました。 |
アクションは必要ありません。これは、管理者が開始したクリーンアップ操作です。 |
|
エンドポイントのアクティビティ消去(Endpoints Purge Activities) |
過去 24 時間のエンドポイントのアクティビティを消去します。このアラームは、真夜中にトリガーされます。 |
[操作(Operations)] > [レポート(Reports)] > [エンドポイントとユーザ(Endpoints and Users)] > [エンドポイントのアクティビティ消去(Endpoints Purge Activities)] で消去アクティビティを確認します。 |
|
複製低速エラー(Slow Replication Error) |
低速またはスタックした複製が検出されました。 |
ノードが到達可能であり、展開の一部であることを確認してください。 |
|
複製低速情報(Slow Replication Info) |
低速またはスタックした複製が検出されました。 |
ノードが到達可能であり、展開の一部であることを確認してください。 |
|
複製低速警告(Slow Replication Warning) |
低速またはスタックした複製が検出されました。 |
ノードが到達可能であり、展開の一部であることを確認してください。 |
|
PAN 自動フェールオーバー:フェールオーバーが失敗しました(PAN Auto Failover - Failover Failed) |
セカンダリ管理ノードへのプロモーション要求が失敗しました。 |
解決方法については、アラームの詳細を参照してください。 |
|
PAN 自動フェールオーバー:フェールオーバーがトリガーされました(PAN Auto Failover - Failover Triggered) |
プライマリロールにセカンダリ管理ノードのフェールオーバーが正常にトリガーされました。 |
セカンダリ PAN のプロモーションが完了するまで待機し、古いプライマリ PAN を起動してください。 |
|
PAN 自動フェールオーバー:ヘルスチェックの非アクティビティ(PAN Auto Failover - Health Check Inactivity) |
PAN がモニタリングノードからヘルスチェックのモニタリング要求を受け取りませんでした。 |
報告されたモニタリングノードがダウンまたは同期していないかどうかを確認し、必要な場合は手動で同期してください。 |
|
PAN 自動フェールオーバー:無効なヘルスチェック(PAN Auto Failover - Invalid Health Check) |
自動フェールオーバーで無効なヘルスチェックモニタリング要求が受信されました。 |
ヘルス チェック モニタリング ノードが同期していることを確認し、必要な場合は手動で同期してください。 |
|
PAN 自動フェールオーバー:プライマリ管理ノードのダウン(PAN Auto Failover - Primary Administration Node Down) |
プライマリ管理ノードがダウンしているか、またはモニタリングノードから到達不能です。 |
PAN を起動して、フェールオーバーが発生するまで待機します。 |
|
PAN 自動フェールオーバー:フェールオーバーの試行が拒否されました(PAN Auto Failover - Rejected Failover Attempt) |
ヘルスチェックモニタノードによって行われたプロモーション要求をセカンダリ管理ノードが拒否しました。 |
解決方法については、アラームの詳細を参照してください。 |
|
EST サービスの停止 |
EST サービスが停止しています。 |
CA および EST サービスが稼働しており、証明書サービスのエンドポイントサブ CA 証明書チェーンが完了したことを確認します。 |
|
EST サービスの稼働 |
EST サービスが稼働しています。 |
EST サービスが稼働中であることを管理者に通知します。 |
|
Smart Call Home の通信障害 |
Smart Call Home メッセージが正常に送信されませんでした。 |
Cisco ISE と Cisco システムの間でネットワーク接続があることを確認します。 |
|
テレメトリ メッセージの障害 |
テレメトリ メッセージが正常に送信されませんでした。 |
Cisco ISE と Cisco システムの間でネットワーク接続があることを確認します。 |
|
アダプタに接続できない |
Cisco ISE は、アダプタに接続できません。 |
エラーの詳細はアダプタ ログを確認してください。 |
|
アダプタのエラー |
アダプタにエラーが生じています。 |
アラームの説明を確認してください。 |
|
アダプタ接続の失敗 |
アダプタは、送信元のサーバに接続できません。 |
送信元のサーバがアクセス可能であることを確認してください |
|
エラーによるアダプタの停止 |
アダプタにエラーが発生し、望ましい状態ではありません。 |
アダプタの設定が正しく、送信元サーバがアクセス可能であることを確認してください。 エラーの詳細はアダプタログを確認してください。 |
|
サービス コンポーネントのエラー |
サービス コンポーネントにエラーが生じています。 |
アラームの説明を確認してください。 |
|
サービス コンポーネントの情報 |
サービス コンポーネントが情報を送信しました。 |
なし。 |
| ISE サービス | ||
|
過剰な TACACS 認証試行(Excessive TACACS Authentication Attempts) |
ISE ポリシーサービスノードで TACACS 認証の割合が想定よりも多くなっています。 |
ネットワーク デバイスの再認証タイマーをチェックします。ISE インフラストラクチャのネットワーク接続を確認します。 |
|
過剰な TACACS 認証の失敗した試行(Excessive TACACS Authentication Failed Attempts) |
ISE ポリシーサービスノードで失敗した TACACS 認証の割合が想定よりも多くなっています。 |
根本原因を特定するために認証手順を確認します。ID と秘密の不一致がないか、ISE/NAD 設定を確認します。 |
|
MSE ロケーション サーバへのアクセス回復(MSE Location Server accessible again) |
MSE ロケーション サーバへのアクセスが回復しました。 |
なし。 |
|
MSE ロケーション サーバにアクセス不能(MSE Location Server not accessible.) |
MSE ロケーション サーバはアクセス不能でダウンしています。 |
MSE ロケーションサーバが稼働中で、ISE ノードからアクセスできるかどうかを確認します。 |
|
AD コネクタを再起動する必要があります(AD Connector had to be restarted) |
AD コネクタが突然シャットダウンし、再起動が必要となりました。 |
この問題が連続して発生する場合は、Cisco TAC にお問い合わせください。 |
|
Active Directory フォレストが使用不可(Active Directory forest is unavailable) |
Active Directory フォレスト GC(グローバルカタログ)が使用できず、認証、許可、およびグループと属性の取得に使用できません。 |
DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。 |
|
認証ドメインが使用不可(Authentication domain is unavailable) |
認証ドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。 |
DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。 |
|
ISE の認証非アクティビティ(ISE Authentication Inactivity) |
Cisco ISE ポリシーサービスノードは、ネットワークデバイスから認証要求を受け取っていません。 |
ISE/NAD 設定を確認します。 ISE/NAD インフラストラクチャのネットワーク接続を確認します。 |
|
ID マッピングの認証非アクティビティ(ID Map. Authentication Inactivity) |
ユーザ認証イベントが過去 15 分に ID マッピングサービスによって収集されませんでした。 |
これがユーザ認証が想定される時間(たとえば、勤務時間)である場合は、Active Directory ドメインコントローラへの接続を確認します。 |
|
CoA 失敗(COA Failed) |
ネットワークデバイスが、Cisco ISE ポリシーサービスノードによって発行された許可変更(CoA)要求を拒否しました。 |
Cisco ISE から許可変更(CoA)を受け入れるようにネットワークデバイスが設定されていることを確認します。 CoA が有効なセッションに対して発行されているかどうかを確認します。 |
|
設定されたネーム サーバがダウン(Configured nameserver is down) |
設定されたネーム サーバがダウンしているか、使用できません。 |
DNS 設定とネットワーク接続を確認します。 |
|
サプリカントが応答停止(Supplicant Stopped Responding) |
Cisco ISE がクライアントに最後のメッセージを 120 秒前に送信しましたが、クライアントから応答がありません。 |
サプリカントが Cisco ISE との完全な EAP カンバセーションを行えるように適切に設定されていることを確認します。 サプリカントとの間で EAP メッセージを転送するように NAS が正しく設定されていることを確認します。 サプリカントまたは NAS で、EAP カンバセーションのタイムアウトが短くないことを確認します。 |
|
過剰な認証試行(Excessive Authentication Attempts) |
Cisco ISE ポリシーサービスノードで認証の割合が想定よりも多くなっています。 |
ネットワークデバイスの再認証タイマーをチェックします。 Cisco ISE インフラストラクチャのネットワーク接続を確認します。 しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。 [説明(Description)] カラムの横に表示される数値は、過去 15 分間で Cisco ISE に対して認証されたか失敗した認証の合計数です。 |
|
過剰な失敗試行(Excessive Failed Attempts) |
Cisco ISE ポリシーサービスノードで認証失敗の割合が想定よりも多くなっています。 |
根本原因を特定するために認証手順を確認します。 ID と秘密の不一致がないか、Cisco ISE/NAD 設定を確認します。 しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。 [説明(Description)] カラムの横に表示される数値は、過去 15 分間で Cisco ISE に対して認証されたか失敗した認証の合計数です。 |
|
AD:マシン TGT のリフレッシュに失敗(AD: Machine TGT refresh failed) |
ISE サーバ TGT(チケット認可チケット)のリフレッシュに失敗しました。これは AD 接続とサービスに使用されます。 |
ISE マシン アカウントが存在し、有効であることを確認します。また、クロックスキュー、複製、Kerberos 設定やネットワークエラーも確認します。 |
|
AD:ISE アカウント パスワードの更新に失敗(AD: ISE account password update failed) |
ISE サーバは、AD マシンアカウントパスワードを更新できませんでした。 |
ISE マシンアカウントパスワードが変更されていないことと、マシン アカウントが無効でなく制限もされていないことを確認します。 KDC への接続を確認します。 |
|
参加しているドメインが使用不可(Joined domain is unavailable) |
参加しているドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。 |
DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。 |
|
ID ストアが使用不可(Identity Store Unavailable) |
Cisco ISE ポリシーサービスノードは設定された ID ストアに到達できません。 |
Cisco ISE と ID ストア間のネットワーク接続を確認します。 |
|
正しく設定されていないネットワーク デバイスを検出(Misconfigured Network Device Detected) |
Cisco ISE は、NAS から多すぎる RADIUS アカウンティング情報を検出しました。 |
非常に多くの重複する RADIUS アカウンティング情報が、NAS から ISE に送信されました。 正確なアカウンティング頻度で NAS を設定します。 |
|
正しく設定されていないサプリカントを検出(Misconfigured Supplicant Detected) |
Cisco ISE は、ネットワーク上で正しく設定されていないサプリカントを検出しました。 |
サプリカントの設定が正しいことを確認します。 |
|
アカウンティングの開始なし(No Accounting Start) |
Cisco ISE ポリシーサービスノードではセッションを許可していますが、ネットワークデバイスからアカウンティング開始を受信しませんでした。 |
RADIUS アカウンティングがネットワークデバイス上に設定されていることを確認します。 ローカル許可に対するネットワークデバイス設定を確認します。 |
|
NAD が不明な(Unknown NAD) |
Cisco ISE ポリシーサービスノードは、Cisco ISE に設定されていないネットワークデバイスから認証要求を受信しています。 |
ネットワークデバイスが正規の要求であるかどうかを確認してから、それを設定に追加します。 シークレットが一致することを確認します。 |
|
SGACL がドロップ(SGACL Drops) |
セキュリティ グループ アクセス(SGACL)ドロップが発生しました。 これは、SGACL ポリシーの違反により、TrustSec 対応デバイスがパケットをドロップすると発生します。 |
RBACL ドロップ概要レポートを実行し、SGACL ドロップを引き起こしているソースを確認します。 攻撃ソースに CoA を発行してセッションを再許可または切断します。 |
|
RADIUS 要求がドロップ(RADIUS Request Dropped) |
NAD からの認証とアカウンティング要求がサイレントに廃棄されています。 これは、NAD が不明であるか、共有秘密鍵が不一致であるか、RFC ごとのパケット内容が無効であるために発生することがあります。 |
NAD/AAA クライアントについて Cisco ISE に有効な設定があることを確認します。 NAD/AAA クライアントと Cisco ISE の共有秘密鍵が一致しているかどうかを確認します。 AAA クライアントとネットワークデバイスにハードウェアの問題または RADIUS 互換性の問題がないことを確認します。 また、Cisco ISE にデバイスを接続するネットワークにハードウェア上の問題がないことを確認します。 |
|
EAP セッションの割り当てに失敗(EAP Session Allocation Failed) |
RADIUS 要求は EAP セッションの制限に達したためにドロップされました。 この状態の原因として、並列 EAP 認証要求が多すぎることが考えられます。 |
新しい EAP セッションで別の RADIUS 要求を呼び出す前に数秒間待ちます。 システムのオーバーロードが発生する場合は、ISE サーバの再起動を試してください。 |
|
RADIUS コンテキストの割り当てに失敗(RADIUS Context Allocation Failed) |
RADIUS 要求はシステムのオーバーロードのためにドロップされました。この状態の原因として、並列認証要求が多すぎることが考えられます。 |
新しい RADIUS 要求を呼び出す前に数秒間待ちます。システムのオーバーロードが発生する場合は、ISE サーバの再起動を試してください。 |
|
AD:ISE のマシンアカウントにグループを取得するために必要な権限がない |
Cisco ISE のマシンアカウントにグループを取得するために必要な権限がありません。 |
Cisco ISE のマシンアカウントに Active Directory のユーザグループを取得する権限があるかどうかを確認します。 |
| システムの状態(System Health) | ||
|
ディスク I/O 使用率が高い(High Disk I/O Utilization) |
Cisco ISE システムは、ディスク I/O 使用率が高くなっています。 |
システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラアクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。 |
|
ディスク領域の使用率が高い(High Disk Space Utilization) |
Cisco ISE システムは、ディスク領域の使用率が高くなっています。 |
システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラアクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。 |
|
負荷平均が高い(High Load Average) |
Cisco ISE システムは、負荷平均が高くなっています。 |
システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラアクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。 プライマリおよびセカンダリ MNT ノードの 2:00 a.m. タイムスタンプに対して [負荷平均が高い(High Load Average)] アラームが表示される場合、この時刻に実行している DBMS 統計が原因で CPU 使用率が高い可能性があります。 DBMS 統計が完了すると、CPU 使用率は通常に戻ります。 |
|
メモリ使用率が高い |
Cisco ISE システムは、メモリ使用率が高くなっています。 |
システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラアクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。 |
|
操作 DB の使用率が高い(High Operations DB Usage) |
ノードをモニタする Cisco ISE は、syslog データの量が想定よりも多くなっています。 |
操作データの消去設定ウィンドウを確認して削減します。 |
|
認証待ち時間が長い(High Authentication Latency) |
Cisco ISE システムは、認証待ち時間が長くなっています。 |
システムに十分なリソースがあるかどうかを確認します。 システムの実際の作業量、たとえば、認証数、プロファイラアクティビティなどを確認します。負荷を分散するためにさらにサーバを追加します。 |
|
ヘルスステータスが使用不可(Health Status Unavailable) |
モニタリングノードは Cisco ISE ノードからヘルスステータスを受信しませんでした。 |
Cisco ISE ノードが稼働中であることを確認します。 Cisco ISE ノードがモニタリングノードと通信できることを確認します。 |
|
プロセスがダウン(Process Down) |
Cisco ISE プロセスの 1 つが動作していません。 |
Cisco ISE アプリケーションを再起動します。 |
|
プロファイラキューサイズの制限に到達(Profiler Queue Size Limit Reached) |
ISE プロファイラキューサイズの制限に到達しました。 キューサイズの制限に達した後に受信されたイベントはドロップされます。 |
システムに十分なリソースがあることを確認し、エンドポイント属性フィルタが有効になっていることを確認します。 |
|
OCSP トランザクションしきい値に到達 |
OCSP トランザクションしきい値に到達しました。このアラームは、内部 OCSP サービスが大量のトラフィックに到達するとトリガーされます。 |
システムに十分なリソースがあるかどうかを確認してください。 |
| ライセンシング | ||
|
ライセンスがまもなく期限切れ(License About to Expire) |
Cisco ISE ノードにインストールされたライセンスがまもなく期限切れになります。 |
Cisco ISE の [ライセンシング(Licensing)] ページを参照してライセンスの使用状況を確認します。 |
|
ライセンスが期限切れ(License Expired) |
Cisco ISE ノードにインストールされたライセンスの期限が切れました。 |
シスコ アカウント チームに問い合わせて、新しいライセンスを購入してください。 |
|
ライセンス違反(License Violation) |
Cisco ISE ノードは、許可されたライセンス数を超過しているか、まもなく超過することを検出しました。 |
シスコアカウントチームに問い合わせて、追加のライセンスを購入してください。 |
|
スマート ライセンスの認証の期限切れ |
スマート ライセンスの認証の有効期限が切れました。 |
[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照して、手動でスマートライセンスの登録を更新するか、Cisco Smart Software Manager とのネットワーク接続を確認してください。 問題が続くようであれば、シスコ パートナーまでお問い合わせください。 |
|
スマート ライセンスの認証の更新の失敗 |
Cisco Smart Software Manager を使用した認証の更新に失敗しました。 |
[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照し、[ライセンス(Licenses)] テーブルの [更新(Refresh)] ボタンを使用して、Cisco Smart Software Manager で、手動で認証を更新します。 問題が続くようであれば、シスコ パートナーまでお問い合わせください。 |
|
スマート ライセンスの認証の更新の成功 |
Cisco Smart Software Manager を使用した認証の更新に成功しました。 |
Cisco Smart Software Manager を使用した Cisco ISE の認証の更新が完了したことを通知します。 |
|
スマート ライセンスの通信障害 |
Cisco Smart Software Manager と Cisco ISE の通信が失敗しました。 |
Cisco Smart Software Manager とのネットワーク接続を確認します。 問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。 |
|
復元されたスマート ライセンスの通信 |
Cisco Smart Software Manager と Cisco ISE の通信が復元されました。 |
Cisco Smart Software Manager とのネットワーク接続が復元されたことを通知します。 |
|
スマート ライセンスの登録解除の障害 |
Cisco Smart Software Manager を使用した Cisco ISE の登録解除に失敗しました。 |
詳細については、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照してください。 問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。 |
|
スマート ライセンスの登録解除の成功 |
Cisco Smart Software Manager を使用した Cisco ISE の登録解除に成功しました。 |
Cisco Smart Software Manager を使用した Cisco ISE の登録解除に成功したことを通知します。 |
|
スマート ライセンスの無効化 |
スマートライセンスは Cisco ISE で無効になり、従来のライセンスが使用されています。 |
スマートライセンスを再度有効にするには、[ライセンスの管理(License Administration)] ページを参照してください。 Cisco ISE のスマートライセンスの使用の詳細については、管理ガイドを参照するか、シスコパートナーにお問い合わせください。 |
|
スマート ライセンスの評価期間の期限切れ |
スマート ライセンスの評価期間が終了しました。 |
Cisco Smart Software Manager を使用して Cisco ISE を登録するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照してください。 |
|
スマート ライセンスの HA 役割の変更 |
スマートライセンスの使用中に、ハイアベイラビリティの役割の変更が発生しました。 |
Cisco ISE でのハイアベイラビリティの役割が変化したことを通知します。 |
|
スマート ライセンス ID 証明書の期限切れ |
スマート ライセンス証明書の期限が切れました。 |
手動でスマートライセンスの登録を更新するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照してください。 問題が続くようであれば、シスコパートナーまでお問い合わせください。 |
|
スマート ライセンス ID 証明書の更新の失敗 |
Cisco Smart Software Manager を使用したスマートライセンスの登録の更新が失敗しました。 |
手動でスマートライセンスの登録を更新するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照してください。 問題が続くようであれば、シスコパートナーまでお問い合わせください。 |
|
スマート ライセンス ID 証明書の更新の成功 |
Cisco Smart Software Manager を使用したスマートライセンスの登録の更新が成功しました。 |
Cisco Smart Software Manager を使用した登録の更新が成功したことを通知します。 |
|
スマート ライセンスの無効な要求 |
無効な要求が Cisco Smart Software Manager に送信されました。 |
詳細については、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ページを参照してください。 問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。 |
|
コンプライアンスに準拠していないスマート ライセンス |
Cisco ISE ライセンスがコンプライアンスに準拠していません。 |
詳細については、[ISE ライセンス管理(ISE License Administration)] ページを参照してください。 新しいライセンスを購入するには、パートナーまたはシスコ アカウント チームにお問い合わせください。 |
|
スマート ライセンスの登録の障害 |
Cisco Smart Software Manager を使用した Cisco ISE の登録が失敗しました。 |
詳細については、[ISE ライセンス管理(ISE License Administration)] ページを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。 |
|
スマート ライセンスの登録の成功 |
Cisco Smart Software Manager を使用した Cisco ISE の登録に成功しました。 |
Cisco Smart Software Manager を使用した Cisco ISE の登録が成功したことを通知します。 |
| システム エラー | ||
|
ログ収集エラー(Log Collection Error) |
コレクタプロセスをモニタする Cisco ISE が、ポリシーサービスノードから生成された監査ログを保持できません。 |
これは、ポリシーサービスノードの実際の機能に影響を与えません。 その他の解決のために TAC に連絡してください。 |
|
スケジュールされているレポートのエクスポートに失敗(Scheduled Report Export Failure) |
設定されたリポジトリにエクスポートされたレポート(CSV ファイル)をコピーできません。 |
設定されたリポジトリを確認します。 それが削除されていた場合は、再度追加します。それが使用できないか、またはそれに到達できない場合は、リポジトリを再設定して有効にします。 |
|
TrustSec |
||
|
不明な SGT のプロビジョニング(Unknown SGT was provisioned) |
不明な SGT がプロビジョニングされました。 |
ISE は承認フローの一部として不明な SGT をプロビジョニングしました。 不明な SGT は既知のフローの一部として割り当てることはできません。 |
|
一部の TrustSec ネットワークデバイスに最新の ISE IP-SGT マッピング設定がありません(Some TrustSec network devices do not have the latest ISE IP-SGT mapping configuration) |
一部の TrustSec ネットワークデバイスに最新の ISE IP-SGT マッピング設定がありません。 |
ISE が異なる IP-SGT マッピングセットを持ついくつかのネットワークデバイスを検出しました。 [IP-SGT マッピング展開(IP-SGT mapping Deploy)] オプションを使用してデバイスを更新します。 |
|
TrustSec SSH 接続の失敗(TrustSec SSH connection failed) |
TrustSec SSH 接続に失敗しました。 |
ISE がネットワーク デバイスへの SSH 接続を確立できませんでした。[ネットワークデバイス(Network Device)] ページでネットワークデバイスの SSH クレデンシャルがネットワークデバイス上のクレデンシャルと類似していることを確認します。 ネットワークデバイスで ISE(IP アドレス)からの SSH 接続が有効になっていることを確認します。 |
|
TrustSec で識別された ISE は 1.0 以外の TLS バージョンで動作するよう設定されています。 |
TrustSec で識別された ISE は 1.0 以外の TLS バージョンで動作するよう設定されています。 |
TrustSec は TLS バージョン 1.0 のみをサポートします。 |
|
TrustSec PAC の検証の失敗(Trustsec PAC validation failed) |
TrustSec PAC の検証に失敗しました。 |
ISE がネットワークデバイスから送信された PAC を検証できませんでした。 [ネットワークデバイス(Network Device)] ページとデバイスの CLI で、Trustsec デバイスクレデンシャルを確認します。 デバイスが ISE サーバによってプロビジョニングされた有効な pac を使用していることを確認します。 |
|
TrustSec 環境データのダウンロードの失敗 |
TrustSec 環境データのダウンロードに失敗しました |
Cisco ISE は不正な環境データ要求を受信しました。 次のことを確認してください。
|
|
TrustSec CoA メッセージの無視 |
TrustSec CoA メッセージは無視されました |
Cisco ISE は、TrustSec CoA メッセージを送信し、応答を受信しませんでした。 ネットワーク デバイスが CoA 対応であることを確認してください。ネットワークデバイス設定を確認してください。 |
|
TrustSec のデフォルトの出力ポリシーの変更 |
TrustSec のデフォルトの出力ポリシーが変更されました。 |
TrustSec のデフォルトの出力ポリシーのセルが変更されました。セキュリティポリシーに合致していることを確認します。 |
アラームは、Cisco ISE にユーザまたはエンドポイントを追加する場合にはトリガーされません。
アラーム設定
次の表に、[アラーム設定(Alarm Settings)] ページのフィールドの説明を示します。 ([管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)] )
|
フィールド |
説明 |
|---|---|
|
アラームタイプ(Alarm Type) |
ドロップダウンリストからアラームタイプを選択します。 |
|
アラーム名(Alarm Name) |
アラームの名前を入力します。 |
|
説明 |
アラームの説明を入力します。 |
|
推奨されるアクション(Suggested Actions) |
アラームがトリガーされるときに実行する推奨アクションを入力します。 |
|
ステータス |
ステータスとして、アラームルールの [有効化(Enable)] または [無効化(Disable)] を選択します。 |
|
重大度(Severity) |
ドロップダウン リスト ボックスを使用して、アラームの重大度レベルを選択します。 有効なオプションは次のとおりです。
|
|
syslog メッセージを送信(Send Syslog Message) |
Cisco ISE で生成される各システムアラームの syslog メッセージを送信する場合に、このチェックボックスをオンにします。 |
|
複数の電子メールアドレスをカンマで区切って入力(Enter Multiple Emails Separated with Comma) |
電子メールアドレスまたは ISE 管理者名あるいはその両方のカンマ区切りリストを入力します。 |
|
電子メールのカスタムテキスト(Custom Text in Email) |
システムアラームに関連付けるカスタムテキストメッセージを入力します。 |
カスタム アラームの追加
既存のシステムアラームの他に、既存のアラームタイプでカスタムアラームを追加、編集、削除できます。
各アラームタイプで最大 5 つのアラームを作成でき、アラームの合計数は 200 に制限されます。
アラームを追加するには、次の手順を実行します。
手順
| ステップ 1 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)] を選択します。 |
| ステップ 2 |
[アラームの設定(Alarm Configuration)] タブで、[追加(Add)] をクリックします。 |
| ステップ 3 |
次の必須詳細情報を入力します。 詳細については、「 アラーム 設定」の項を参照してください。 アラームタイプに基づいて([メモリ使用率が高い(High Memory Utilization)]、[過剰な RADIUS 認証試行(Excessive RADIUS Authentication Attempts)]、[過剰な TACACS 認証試行(Excessive TACACS Authentication Attempts)] など)、追加の属性が [アラーム設定(Alarm Configuration)] ページに表示されます。たとえば、設定変更アラームには、[オブジェクト名(Object Name)]、[オブジェクト タイプ(Object Types)] および [管理者名(Admin Name)] フィールドが表示されます。 さまざまな基準で同じアラームの複数のインスタンスを追加できます。 |
| ステップ 4 |
[送信(Submit)] をクリックします。 |
Cisco ISE アラーム通知およびしきい値
Cisco ISE アラームを有効または無効にし、重大な状態を通知するようにアラーム通知動作を設定できます。 特定のアラームに対して、過剰な失敗試行アラームの最大失敗試行数、または高ディスク使用量アラームの最大ディスク使用量などのしきい値を設定できます。
注 |
アラームルールレベルで指定された受信者の電子メールアドレスは、グローバルの受信者の電子メールアドレスより優先されます。 |
アラームの有効化および設定
手順
| ステップ 1 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [アラーム設定(Alarm Settings)] を選択します。 |
| ステップ 2 |
デフォルトアラームのリストからアラームを選択して [編集(Edit)] をクリックします。 |
| ステップ 3 |
[有効(Enable)] または [無効(Disable)] を選択します。 |
| ステップ 4 |
アラームしきい値を必要に応じて設定します。 |
| ステップ 5 |
[送信(Submit)] をクリックします。 |
モニタリング用の Cisco ISE アラーム
Cisco ISE は、重大なシステム状態が発生するたびに通知するシステム アラームを提供します。Cisco ISE によって生成されたアラームは [アラーム(Alarm)] ダッシュレットに表示されます。 これらの通知は、自動的にアラーム ダッシュレットに表示されます。
アラーム ダッシュレットには最近のアラームのリストが表示され、ここから選択してアラームの詳細を表示できます。電子メールおよび syslog メッセージを介してアラームの通知を受信することもできます。
モニタリング アラームの表示
手順
| ステップ 1 |
Cisco ISE ダッシュボードに進みます。 |
||
| ステップ 2 |
[アラーム(Alarm)] ダッシュレットでアラームをクリックします。アラームの詳細および推奨アクションが表示された新しいウィンドウが開きます。 |
||
| ステップ 3 |
アラームをリフレッシュするには、[リフレッシュ(Refresh)] をクリックします。 |
||
| ステップ 4 |
選択したアラームを確認するには、[確認(Acknowledge)] をクリックします。タイムスタンプの前で使用可能なチェックボックスをクリックしてアラームを選択できます。 これにより、読み取りとマークされているときに、アラームカウンタ(アラームが発生した回数)が減少します。 |
||
| ステップ 5 |
選択したアラームに対応する [詳細(Details)] リンクをクリックします。 選択したアラームに対応する詳細が表示された新しいウィンドウが開きます。
|
ログ収集
モニタリングサービスはログと設定データを収集し、そのデータを保存してから、レポートおよびアラームを生成するために処理します。 展開内の任意のサーバから収集されたログの詳細を表示できます。
アラーム syslog 収集場所
システムアラーム通知を syslog メッセージとして送信するようにモニタリング機能を設定した場合は、通知を受信する syslog ターゲットが必要です。 アラーム syslog ターゲットは、アラーム syslog メッセージが送信される宛先です。
syslog メッセージを受信するには、syslog サーバとして設定されたシステムも必要です。 アラーム syslog ターゲットを作成、編集、および削除できます。
注 |
Cisco ISE モニタリングでは、logging-source interface の設定にネットワークアクセスサーバ(NAS)の IP アドレスを使う必要があります。 Cisco ISE モニタリング用のスイッチを設定する必要があります。 |
RADIUS ライブ ログ
次の表では、最近の RADIUS 認証を表示する [RADIUS ライブ ログ(RADIUS Live Logs)] ページのフィールドについて説明します。この ページへのナビゲーションパスは、[操作(Operations)]です。RADIUS ライブ ログはプライマリ PAN だけで表示されます。
|
オプション |
使用上のガイドライン |
||
|---|---|---|---|
|
時刻(Time) |
モニタリングおよび収集エージェントがログ を受信した時刻を表示します。この カラムは必須です。選択解除することはできません。 |
||
|
ステータス |
認証が 成功したか失敗したかを示します。このカラムは必須です。選択解除することはできません。 緑色は認証が成功したことを示します。赤色は認証が 失敗したことを示します。 |
||
|
詳細(Details) |
[詳細(Details)] 列の下にあるアイコンをクリックすると、新しいブラウザウィンドウに [認証詳細レポート(Authentication Detail Report)] が表示されます。このレポートには、認証と関連属性のほか、認証フローに関する情報が記載されています。 [認証の詳細(Authentications Details)] ボックスの [応答時間(Response Time)] には、Cisco ISE で認証フローを処理するのにかかった合計時間が示されます。たとえば、認証が 3 つの ラウンドトリップメッセージで構成されている場合(最初のメッセージには 300 ミリ秒、次のメッセージには 150 ミリ秒、最後のメッセージには 100 ミリ秒かかる)、応答 時間は、300 + 150 + 100 = 550 750 ミリ秒になります。
|
||
|
繰り返し回数(Repeat Count) |
ID、ネットワークデバイス、 および許可のコンテキストで変更がなく、 直近の 24 時間で認証要求が繰り返された回数を表示します。 |
||
|
ID(Identity) |
ログイン済みの認証に関連付けられているユーザ名を示します。 ユーザ名が ID ストアに存在しない場合は、無効と表示されます。その他の原因で認証に失敗した場合は、 ユーザ名と表示されます。デバッグをサポートするために、無効なユーザ名の開示(表示)を ISE に強制できます。 [管理(Administration)]で [無効なユーザ名を開示する(Disclose invalid usernames)] チェックボックスをオンにします。また、無効なユーザ名のタイムアウトを設定することもできます。これはオフにする必要がありません。 |
||
|
エンドポイント ID(Endpoint ID) |
エンドポイントの一意の識別子 を表示します。通常は MAC または IP アドレスです。 |
||
|
エンドポイント プロファイル(Endpoint Profile) |
プロファイリング されるエンドポイントのタイプを示します(たとえば、iPhone、 Android、MacBook、Xbox になるようにプロファイリングされます)。 |
||
|
認証ポリシー(Authentication policy) |
特定の認証に 選択されているポリシーの名前を表示します。 |
||
|
許可ポリシー |
特定の許可に 選択されているポリシーの名前を表示します。 |
||
|
認証プロファイル |
認証に使用された 許可プロファイルを表示します。 |
||
|
[IPアドレス(IP Address)] |
エンドポイントデバイスの IP アドレスを表示します。 |
||
|
ネットワーク デバイス(Network Device) |
ネットワーク アクセス デバイスの IP アドレスを表示します。 |
||
|
デバイス ポート(Device Port) |
エンドポイントが接続されている ポート番号を表示します。 |
||
|
ID グループ |
ログの生成対象となる ユーザまたはエンドポイントに割り当てられる ID グループを表示します。 |
||
|
ポスチャ ステータス(Posture Status) |
ポスチャ検証の ステータスと認証の詳細を表示します。 |
||
|
サーバ |
ログの 生成元になったポリシーサービスが示されます。 |
||
|
MDMサーバ名(MDM Server Name ) |
MDM サーバ の名前を表示します。 |
||
|
イベント |
イベント ステータスを表示します。 |
||
|
失敗の理由(Failure Reason) |
認証が失敗した場合、 その失敗の詳細な理由を表示します。 |
||
|
認証方式(Auth Method) |
Microsoft チャレンジハンドシェイク 認証プロトコルバージョン 2(MS-CHAPv2)、IEE 802.1x、dot1x など、 RADIUS プロトコルによって使用される認証方式を 表示します。 |
||
|
認証プロトコル(Authentication Protocol) |
Protected Extensible Authentication Protocol(PEAP)や 拡張認証プロトコル(EAP)など、 使用される認証プロトコルを表示します。 |
||
|
セキュリティ グループ(Security Group) |
認証ログによって 識別されるグループを表示します。 |
||
|
セッション ID |
セッション ID を表示します。 |
注 |
[RADIUS ライブログ(RADIUS Live Logs)] と [TACACS+ ライブログ(TACACS+ Live Logs)] 詳細ペインでは、各ポリシー許可ルールの 1 番目の属性として [照会済み PIP(Queried PIP)] が表示 されます。許可ルール内のすべての属性が、以前のルールについてすでに照会されている ディクショナリに関連している場合、これ以外に [照会済み PIP(Queried PIP)] エントリは表示されません。 |
[RADIUS ライブログ(RADIUS Live Logs)] ページ で、次を実行できます。
-
データを csv または pdf ファイル形式でエクスポートします。
-
要件に基づいて 列を表示または非表示にします。
-
簡易または カスタムフィルタを使用してデータをフィルタリングします。後で使用するためにフィルタを保存することも できます。
-
列の順序を変更したり、 列の幅を調整します。
-
列の 値をソートします。
注 |
すべてのユーザのカスタマイズは、ユーザ設定として保存されます。 |
ライブ認証
[ライブ認証(Live Authentications)] ページから、発生した最近の RADIUS 認証をモニタできます。 このページには、直近の 24 時間での上位 10 件の RADIUS 認証が表示されます。 この項では、[ライブ認証(Live Authentications)] ページの機能について説明します。
[ライブ認証(Live Authentications)] ページには、認証イベントの発生時に、その認証イベントに対応するライブ認証エントリが表示されます。 認証エントリに加えて、このページには、そのイベントに対応するライブセッションエントリも表示されます。 また、目的のセッションをドリルダウンして、そのセッションに対応する詳細レポートを表示することもできます。
[ライブ認証(Live Authentications)] ページには、最近の RADIUS 認証が発生順に表形式で表示されます。 [ライブ認証(Live Authentications)] ページの下部に表示される最終更新には、サーバ日付、時刻、およびタイムゾーンが示されます。
注 |
アクセス要求パケット内のパスワード属性が空の場合は、エラーメッセージがトリガーされ、アクセス要求は失敗します。 |
1 つのエンドポイントが正常に認証されると、2 つのエントリが [ライブ認証(Live Authentications)] ページに表示されます。1 つは認証レコードに対応し、もう 1 つは(セッションライブビューからプルされた)セッションレコードに対応しています。 その後、デバイスで別の認証が正常に実行されると、セッションレコードに対応する繰り返しカウンタの数が増えます。 [ライブ認証(Live Authentications)] ページに表示される繰り返しカウンタには、抑制されている重複した RADIUS 認証成功メッセージの数が示されます。
「最近の RADIUS 認証」の項で説明されているデフォルトで表示されるライブ認証データカテゴリを参照してください。
すべてのカラムを表示するか、選択したデータカラムのみを表示するように選択できます。 表示するカラムを選択した後で、選択を保存できます。
ライブ認証のモニタ
手順
| ステップ 1 |
[操作(Operations)] の順に選択します。 |
| ステップ 2 |
データリフレッシュレートを変更するには、[更新(Refresh)] ドロップダウンリストから時間間隔を選択します。 |
| ステップ 3 |
データを手動で更新するには、[更新(Refresh)] アイコンをクリックします。 |
| ステップ 4 |
表示されるレコードの数を変更するには、[表示(Show)] ドロップダウンリストからオプションを選択します。 |
| ステップ 5 |
時間間隔を指定するには、[次の範囲内(Within)] ドロップダウンリストからオプションを選択します。 |
| ステップ 6 |
表示されるカラムを変更するには、[カラムの追加または削除(Add or Remove Columns)] をクリックし、ドロップダウンリストからオプションを選択します。 |
| ステップ 7 |
ドロップダウンリストの下部にある [保存(Save)] をクリックして、変更を保存します。 |
| ステップ 8 |
ライブ RADIUS セッションを表示するには、[ライブ セッションの表示(Show Live Sessions)] をクリックします。 アクティブな RADIUS セッションを動的に制御できるライブセッションの動的な許可変更(CoA)機能を使用できます。 ネットワーク アクセス デバイス(NAD)に再認証または接続解除要求を送信できます。 |
[ライブ認証(Live Authentications)] ページでのデータのフィルタリング
[ライブ認証(Live Authentications)] ページのフィルタを使用して、必要な情報をフィルタリングし、ネットワーク認証の問題を迅速にトラブルシューティングできます。 [認証(ライブログ)(Authentication (live logs))] ページのレコードをフィルタして、目的のレコードのみを表示できます。認証ログには多数の詳細が含まれており、特定のユーザまたはロケーションから認証をフィルタリングすると、データをすばやくスキャンするために役立ちます。 [ライブ認証(Live Authentications)] ページの各種フィールドで使用できる複数の演算子を使用して、検索基準に基づいてレコードをフィルタリングできます。
-
「abc」:「abc」を含む
-
「!abc」:「abc」を含まない
-
「{}」:空
-
「!{}」:空でない
-
「abc*」:「abc」で開始する
-
「*abc」:「abc」で終了する
-
「\!」、「\*」、「\{」、「\\」:エスケープ
エスケープオプションを使用すると、特殊文字を含むテキストをフィルタリングできます(フィルタとして使用される特殊文字を含む)。 特殊文字の前にバックスラッシュ(\)を付ける必要があります。 たとえば、「Employee!」という ID を持つユーザの認証レコードを確認する場合は、ID フィルタテキストボックスに "Employee\!" と入力します。 この例では、Cisco ISE は感嘆符(!)を特殊文字ではなくリテラル文字と見なします。
また、[ステータス(Status)] フィールドでは、成功した認証レコード、失敗した認証、ライブセッションなどのみをフィルタリングできます。 緑色のチェックマークは以前発生したすべての成功した認証をフィルタリングします。 赤い十字マークはすべての失敗した認証をフィルタリングします。 青い [i] アイコンはすべてのライブ セッションをフィルタリングします。 これらのオプションの組み合わせを表示することも選択できます。
手順
| ステップ 1 |
[操作(Operations)] の順に選択します。 |
| ステップ 2 |
[ライブ認証の表示(Show Live Authentications)] ページのいずれかのフィールドに基づいてデータをフィルタリングします。 成功または失敗した認証、あるいはライブセッションに基づいて結果をフィルタリングできます。 |
RADIUS ライブセッション
次の表では、ライブ認証が表示される [RADIUS ライブセッション(RADIUS Live Sessions)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[操作(Operations)]です。RADIUS ライブ セッションはプライマリ PAN だけで表示されます。
|
フィールド |
説明 |
||
|---|---|---|---|
|
開始(Initiated) |
セッション開始時のタイムスタンプを表示します。 |
||
|
更新しました |
何らかの変更のためにセッションが最後に更新された時点のタイム スタンプを表示します。 |
||
|
アカウント セッション時間(Account Session Time) |
ユーザ セッションの期間(秒単位)を表示します。 |
||
|
セッション ステータス(Session Status) |
エンドポイント デバイスの現在のステータスを表示します。 |
||
|
操作 |
アクティブな RADIUS セッションを再認証するか、またはアクティブな RADIUS セッションを切断するには、[アクション(Actions)] アイコンをクリックします。 |
||
|
繰り返し回数(Repeat Count) |
ユーザまたはエンドポイントの再認証回数を示します。 |
||
|
エンドポイント ID(Endpoint ID) |
エンドポイントの一意の識別子を表示します。通常は MAC または IP アドレスです。 |
||
|
ID(Identity) |
エンドポイント デバイスのユーザ名を表示します。 |
||
|
[IPアドレス(IP Address)] |
エンドポイント デバイスの IP アドレスを表示します。 |
||
|
監査セッション ID(Audit Session ID) |
固有のセッション ID を表示します。 |
||
|
アカウント セッション ID(Account Session ID) |
ネットワーク デバイスから提供された固有 ID を表示します。 |
||
|
エンドポイント プロファイル(Endpoint Profile) |
デバイスのエンドポイント プロファイルを表示します。 |
||
|
ポスチャ ステータス(Posture Status) |
ポスチャ検証のステータスと認証の詳細を表示します。 |
||
|
セキュリティ グループ(Security Group) |
認証ログによって識別されるグループを表示します。 |
||
|
サーバ |
ログを生成したポリシーサービスノードを示します。 |
||
|
認証方式(Auth Method) |
パスワード認証プロトコル(PAP)、チャレンジハンドシェイク認証プロトコル(CHAP)、 IEE 802.1x、dot1x など、RADIUS プロトコルによって使用される認証方式を表示します。 |
||
|
認証プロトコル(Authentication Protocol) |
Protected Extensible Authentication Protocol(PEAP)や拡張認証 プロトコル(EAP)など、使用される認証プロトコルを表示します。 |
||
|
認証ポリシー(Authentication policy) |
特定の認証に選択されているポリシーの名前を表示します。 |
||
|
許可ポリシー |
特定の許可に選択されているポリシーの名前を表示します。 |
||
|
認証プロファイル |
認証に使用された許可プロファイルを表示します。 |
||
|
NAS IP アドレス |
ネットワーク デバイスの IP アドレスを表示します。 |
||
|
デバイス ポート(Device Port) |
ネットワーク デバイスに接続されたポートを表示します。 |
||
|
PRA アクション(PRA Action) |
ネットワークでのコンプライアンスのためにクライアントが正常にポスチャされた後、そのクライアントで実行される定期的な再評価アクションを表示します。 |
||
|
ANCステータス(ANC Status) |
[隔離(Quarantine)]、[隔離解除(Unquarantine)]、または [シャットダウン(Shutdown)] としてデバイスの適応型ネットワーク制御のステータスを表示します。 |
||
|
WLC ローミング(WLC Roam) |
エンドポイントがローミング中に WLC 間でハンドオフされたことを追跡するために使用されるブール値(Y/N)を表示します。 cisco-av-pair=nas-update の値は Y または N です。
|
||
|
パケット入力 |
受信したパケットの数を表示します。 |
||
|
パケット出力 |
送信したパケットの数を表示します。 |
||
|
受信バイト数(Bytes In) |
受信したバイト数を表示します。 |
||
|
送信バイト数(Bytes Out) |
送信したバイト数を表示します。 |
||
|
セッション送信元(Session Source) |
RADIUS セッションまたは PassiveID セッションのいずれであるかを示します。 |
||
|
ユーザドメイン名(User Domain Name) |
ユーザの登録済み DNS 名を示します。 |
||
|
ホストドメイン名(Host Domain Name) |
ホストの登録済み DNS 名を示します。 |
||
|
ユーザNetBIOS名(User NetBIOS Name) |
ユーザの NetBIOS 名を示します。 |
||
|
ホストNetBIOS名(Host NetBIOS Name) |
ホストの NetBIOS 名を示します。 |
||
|
ライセンスのタイプ(License Type) |
使用されているライセンスのタイプ(Base、Plus、Apex、または Plus and Apex)を表示します。 |
||
|
ライセンスの詳細(License Details) |
ライセンスの詳細を表示します。 |
||
|
プロバイダー |
エンドポイント イベントはさまざまな syslog ソースから学習されます。これらの syslog ソースはプロバイダーと呼ばれます。
異なるプロバイダーからの 2 つのイベントがエンドポイントセッションから学習されると、ライブセッションページにこれらのプロバイダーがカンマ区切り 値として表示されます。 |
||
|
MAC アドレス |
クライアントの MAC アドレスを表示します。 |
||
|
[エンドポイント チェック時刻(Endpoint Check Time)] |
エンドポイント プローブによってエンドポイントが最後にチェックされた時刻を表示します。 |
||
|
[エンドポイント チェック結果(Endpoint Check Result)] |
エンドポイント プローブの結果が表示されます。設定可能な値は次のとおりです。
|
||
|
[送信元ポートの開始(Source Port Start)] |
(REST プロバイダーの場合にのみ値が表示されます。)ポート範囲の最初のポートの番号を示します。 |
||
|
[送信元ポートの終了(Source Port End)] |
(REST プロバイダーの場合にのみ値が表示されます。)ポート範囲の最後のポート番号を示します。 |
||
|
[最初の送信元ポート(Source First Port)] |
(REST プロバイダーの場合にのみ値が表示されます。)ターミナル サーバ(TS)エージェントにより割り当てられた最初のポートを示します。 ターミナルサーバ(TS)は、複数のエンドポイントがモデムまたはネットワーク インターフェイスなしで接続でき、 複数エンドポイントが LAN ネットワークに接続できるようにするサーバまたはネットワークデバイスです。複数のエンドポイントに 同一 IP アドレスが割り当てられている場合は、特定ユーザの IP アドレスを識別することが困難になります。このため、 特定ユーザを識別する目的で TS エージェントがサーバにインストールされ、各ユーザにポート範囲が割り当てられます。これにより、 IP アドレス - ポート - ユーザのマッピングが作成されます。 |
||
|
[TS エージェント ID(TS Agent ID)] |
(REST プロバイダーの場合にのみ値が表示されます。)エンドポイントにインストールされているターミナルサーバ(TS)エージェントの 一意の ID を表示します。 |
||
|
[AD ユーザ解決 ID(AD User Resolved Identities)] |
(AD ユーザの場合にのみ値が表示されます。)一致したアカウントの候補が表示されます。 |
||
|
[AD ユーザ解決 DN(AD User Resolved DNs)] |
(AD ユーザの場合にのみ値が表示されます。)AD ユーザの識別名(例:CN=chris,CN=Users,DC=R1,DC=com)を表示します。 |
認証概要レポート
認証要求に関連する属性に基づいて、特定のユーザ、デバイス、または検索条件についてネットワークアクセスをトラブルシューティングできます。 このことは、認証概要レポートを実行して行います。
ネットワーク アクセスの問題のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [レポート(Reports)] > [認証概要レポート(Authentication Summary Report)] を選択します。 |
||
| ステップ 2 |
失敗の理由でレポートをフィルタリングします。 |
||
| ステップ 3 |
レポートの [失敗の理由別の認証(Authentication by Failure Reasons)] セクションのデータを確認し、ネットワークアクセスの問題をトラブルシューティングします。
|
展開およびサポート情報のための Cisco Support Diagnostics
概要
Cisco Support Diagnostics Connector は、Cisco Technical Assistance Center(TAC)とシスコサポートエンジニアがプライマリ管理ノードから展開の情報を取得するのに役立つ新機能です。 TAC は、展開内の特定のノードのサポート情報を取得するのにコネクタを使用します。 このデータにより、より迅速でより多くの情報を得たうえでのトラブルシューティングが可能になります。
Cisco Support Diagnostics Connector は、Cisco ISE 管理ポータルを使用して有効化します。この機能を使用すると、セキュリティサービス交換(SSE)のクラウドポータルを活用して、展開内のプライマリポリシー管理ノードと Cisco Support Diagnostics の間の双方向接続が可能になります。
前提条件
-
Cisco Support Diagnostics を有効または無効にするには、Super Admin または System Admin ロールが必要です。
Cisco Support Diagnostics Connector の設定
Cisco Support Diagnostics 機能を有効にするには、次の手順を実行します。
-
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [Network Success Diagnostics][Cisco Support Diagnostics] > [Cisco Support Diagnostics設定(Cisco Support Diagnostics Setting)] に移動します。
-
[Cisco Support Diagnosticsの有効化(Enable Cisco Support Diagnostics)] チェックボックスをオンにして、Cisco Support Diagnostics を有効にします。この機能は、デフォルトではディセーブルになっています。
Cisco Support Diagnostics の双方向接続の確認
Cisco ISE が Cisco Support Diagnostics に正常に登録されていることと、双方向接続がセキュリティサービス交換ポータルを介して確立されていることを確認するには、次の手順を実行します。
-
[操作(Operations)] > [レポート(Reports)] > [監査(Audit)] > [設定変更の監査(Change Configuration Audit)] に移動します。
-
次のイベント レポートを探します。
1. Cisco Support Diagnostics が有効化されています。
2. ISE サーバは Cisco Support Diagnostics に登録されています。
3. ISE SSE サービスが Cisco Support Diagnostics に登録されました。
4. Cisco Support Diagnostics の双方向接続は有効になっています。
-
サービスが有効化されているか無効化されているか、登録されているかされていないか、Cisco Support Diagnostics の一部として登録されているかされていないかの詳細については、[操作監査(Operations Audit)] ウィンドウ([操作(Operations)] > [レポート(Reports)] > [監査(Audit)] > [操作監査(Operations Audit)])でも確認できます。
トラブルシューティング情報
Cisco Support Diagnostics の双方向接続が切断されていると考えられる場合は、次のことを確認します。
-
スマートライセンス:スマートライセンスを無効にすると、Cisco Support Diagnostics は自動的に無効になります。スマートライセンスを再度有効にしてコネクタを有効にします。
-
セキュリティサービス交換クラウドへの接続:Cisco Support Diagnostics が有効になっている場合、Cisco ISE はセキュリティサービス交換ポータルとの間で確立された永続的な接続を継続的にチェックします。 この接続が切断されていることが判明した場合は、重大なアラーム「アラーム:Cisco Support Diagnostics の双方向接続が切断されています(Alarms: The Cisco Support Diagnostics bi-directional connectivity is broken)」がトリガーされます。 上記の設定手順を使用して、機能を再度有効にします。
関連情報
管理者は、これらの特定のタスクを実行するために、ERS API を使用できます。
-
特定のノードのサポート情報をトリガーします。
-
トリガーされたサポート バンドルのステータスを取得します。
-
サポート バンドルをダウンロードします。
-
展開の情報を取得します。
使用方法やその他の情報については、ERS SDK のページを参照してください。
診断トラブルシューティング ツール
診断ツールは、Cisco ISE ネットワークの問題の診断およびトラブルシューティングに役立ち、問題解決方法の詳細な手順を提供します。 これらのツールを使用して、認証をトラブルシューティングし、TrustSec デバイスなどのネットワーク上のネットワークデバイスの設定を評価できます。
RADIUS 認証のトラブルシューティング ツール
このツールを使用すると、予期せぬ認証結果がある場合に、RADIUS 認証または RADIUS 認証に関連する Active Directory を検索および選択して、トラブルシューティングを実行することができます。 認証が成功すると予想していたのに失敗した場合、またはユーザやマシンが特定の特権レベルを持っていると予想したのにユーザやマシンがこれらの特権を持っていなかった場合は、このツールを使用できます。
-
トラブルシューティングのために、ユーザ名、エンドポイント ID、ネットワーク アクセス サービス(NAS)の IP アドレス、および認証失敗理由に基づいて RADIUS 認証を検索すると、Cisco ISE はシステム(現在)の日付の認証だけを表示します。
-
トラブルシューティングのために NAS ポートに基づいて RADIUS 認証を検索すると、Cisco ISE は前月の初めから現在までのすべての NAS ポート値を表示します。
注
NAS IP アドレスおよび [エンドポイント ID(Endpoint ID)] フィールドに基づいて RADIUS 認証を検索する場合、検索はまず運用データベースで実行され、その後設定データベースで実行されます。
予期せぬ RADIUS 認証結果のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)][RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] を選択します。 |
| ステップ 2 |
必要に応じてフィールドに検索基準を指定します。 |
| ステップ 3 |
[検索(Search)] をクリックして、検索条件に一致する RADIUS 認証を表示します。 AD 関連の認証を検索する際に、展開に Active Directory サーバが設定されていない場合は、「AD が設定されていない」ことを示すメッセージが表示されます。
|
| ステップ 4 |
テーブルから RADIUS 認証レコードを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。 AD 関連の認証をトラブルシューティングする必要がある場合は、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] > [AD ノード(AD node)] で、診断ツールに移動します。
|
| ステップ 5 |
[ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。 |
| ステップ 6 |
[完了(Done)] をクリックします。 |
| ステップ 7 |
トラブルシューティングが完了したら、[結果概要の表示(Show Results Summary)] をクリックします。 |
| ステップ 8 |
診断、問題を解決するための手順、およびトラブルシューティング概要を表示するには、[完了(Done)] をクリックします。 |
Execute Network Device Command 診断ツール
Execute Network Device Command 診断ツールを使用すると、ネットワーク デバイスに対して show コマンドを実行することができます。結果は、コンソールに表示される場合とまったく同じ形式であり、デバイスの設定における問題を特定するために使用できます。 設定が間違っていると思われる場合や、設定を検証したい場合、または単にどのように設定されているか関心がある場合に、使用することができます。
設定を確認する IOS show コマンドの実行
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ネットワーク デバイス コマンドの実行(Execute Network Device Command)] を選択します。 |
| ステップ 2 |
該当するフィールドに情報を入力します。 |
| ステップ 3 |
[実行(Run)] をクリックして、指定したネットワークデバイスでコマンドを実行します。 |
| ステップ 4 |
[ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。 |
| ステップ 5 |
[送信(Submit)] をクリックして、ネットワークデバイス上でコマンドを実行し、出力を表示します。 |
設定バリデータ ツールの評価
この診断ツールを使用して、ネットワーク デバイスの設定を評価し、設定の問題を特定できます。 Expert Troubleshooter によって、デバイスの設定が標準設定と比較されます。
ネットワーク デバイス設定の問題のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [設定バリデータの評価(Evaluate Configuration Validator)] を選択します。 |
| ステップ 2 |
設定を評価するデバイスのネットワークデバイス IP アドレスを入力し、必要に応じて他のフィールドを指定します。 |
| ステップ 3 |
推奨テンプレートと比較する設定オプションを選択します。 |
| ステップ 4 |
[実行(Run)] をクリックします。 |
| ステップ 5 |
[ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。 |
| ステップ 6 |
分析するインターフェイスの隣のチェックボックスをオンにして、[送信(Submit)] をクリックします。 |
| ステップ 7 |
[結果概要の表示(Show Results Summary)] をクリックします。 |
エンドポイント ポスチャの障害のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)] を選択します。 |
| ステップ 2 |
該当するフィールドに情報を入力します。 |
| ステップ 3 |
[検索(Search)] をクリックします。 |
| ステップ 4 |
説明を見つけ、イベントの解決策を決定するには、リストでイベントを選択し、[トラブルシューティング(Troubleshoot)] をクリックします。 |
セッション トレース テスト ケース
このツールでは、予測できる方法でポリシーフローをテストし、実際のトラフィックを実際のデバイスから発信することなく、ポリシーの設定方法を確認、検証できます。
テストケースで使用する属性と値のリストを設定できます。 この詳細情報を使用して、ポリシーシステムとのやりとりが行われ、実行時のポリシー呼び出しがシミュレートされます。
属性はディクショナリを使用して設定できます。 [属性(Attributes)] フィールドに、単純な RADIUS 認証で使用可能なディクショナリがすべて示されます。
注 |
単純な RADIUS 認証のテストケースのみを設定できます。 |
セッション トレース テスト ケースの設定
はじめる前に
次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [セッション トレース テスト ケース(Session Trace Test Cases)] を選択します。 |
| ステップ 2 |
[追加(Add)] をクリックします。 |
| ステップ 3 |
[テストの詳細(Test Details)] タブで、テストケースの名前と説明を入力します。 |
| ステップ 4 |
事前定義テストケースを 1 つ選択するか、または必須属性とその値を設定します。 使用可能な事前定義テスト ケースを次に示します。
事前定義テストケースを選択すると、Cisco ISE によりそのテストケースの関連する属性に自動的に値が取り込まれます。 これらの属性のデフォルト値を使用するか、または表示されるオプションから目的の値を選択できます。 また、テストケースにカスタム属性を追加することもできます。 テストケースに追加する属性と値は、([カスタム属性(Custom Attributes)] フィールドの下の)[テキスト(Text)] フィールドに示されます。 [テキスト(Text)] フィールドの内容を編集すると、Cisco ISE により更新後の内容の有効性と構文がチェックされます。 [テストの詳細(Test Details)] ページの下部に、すべての属性の概要が表示されます。 |
| ステップ 5 |
[送信(Submit)] をクリックして、テストケースを作成します。 Cisco ISE はテストの詳細を保存する前に、属性とその値を検証してエラーがある場合はエラーを表示します。 |
| ステップ 6 |
[テストビジュアライザ(Test Visualizer)] タブで、このテストケースを実行するノードを選択します。 [ISE ノード(ISE Node)] ドロップダウンリストには、ポリシーサービスペルソナを担当するノードだけが表示されます。 [ユーザグループ/属性(User Groups/Attributes)] をクリックして、外部 ID ストアからユーザのグループと属性を取得します。 |
| ステップ 7 |
[実行(Execute)] をクリックします。 Cisco ISE はテストケースを実行し、テストケースのステップごとの結果を表形式で表示します。 ポリシーステージ、一致ルール、結果オブジェクトが表示されます。 緑色のアイコンをクリックして各ステップの詳細を表示します。 |
| ステップ 8 |
[以前のテスト実行(Previous Test Executions)] タブをクリックし、以前のテスト実行結果を表示します。 また、2 つのテスト ケースを選択して比較することもできます。Cisco ISE では、各テストケースの属性の比較ビューが表形式で表示されます。 |
高度なトラブルシューティングのテクニカルサポートの トンネル
Cisco ISE は、Cisco IronPort トンネルインフラストラクチャを使用して、ISE サーバに接続してシステムの問題をトラブルシューティングするための、シスコ テクニカル サポート エンジニア用のセキュアトンネルを作成します。 Cisco ISE は SSH を使用して、トンネル経由のセキュアな接続を作成します。
管理者として、トンネルアクセスを制御できます。サポートエンジニアにアクセス権を付与する時期と期間を選択できます。 シスコカスタマーサポートは、ユーザの介入なしにトンネルを確立できません。 サービスログインに関する通知を受信します。 任意の時点でトンネル接続をディセーブルにできます。 デフォルトでは、テクニカルサポートトンネルは 72 時間開いたままになりますが、すべてのトラブルシューティング作業が完了したら、ご自身またはサポートエンジニアがトンネルを閉じることを推奨します。 必要に応じて、72 時間を超えてトンネルを延長することもできます。
tech support-tunnel enable コマンドを使用して、トンネル接続を開始できます。
tech support-tunnel status コマンドでは、接続のステータスが表示されます。 このコマンドでは、接続が確立されたかどうか、または認証エラーがあるかどうか、あるいはサーバが到達不能であるかどうかに関する情報が提示されます。 トンネルサーバは到達可能であるが ISE が認証できない場合、ISE は 30 分にわたり 5 分ごとに再認証を試行し、その後トンネルは無効になります。
tech support-tunnel disable コマンドを使用してトンネル接続を無効にできます。このコマンドでは、サポートエンジニアが現在ログインしている場合も既存のトンネルが切断されます。
ISE サーバからのトンネル接続をすでに確立している場合は、生成される SSH キーを ISE サーバで使用できます。 後でサポートトンネルをイネーブルにしようとすると、システムによって、以前に生成された SSH キーを再使用するよう指示されます。 同じキーを使用するか、または新しいキーを生成するかを選択できます。 また、 tech support-tunnel resetkey コマンドを使用してキーを手動でリセットすることもできます。 トンネル接続が有効な場合にこのコマンドを実行すると、先に接続をディセーブルにするよう求めるプロンプトが表示されます。 既存の接続を続け、無効にしないことを選択した場合、キーは既存の接続が無効になった後でリセットされます。 接続を無効にすることを選択した場合、トンネル接続はドロップされ、キーは即座にリセットされます。
トンネル接続の確立後に、 tech support-tunnel extend コマンドを使用して拡張することができます。
tech support-tunnel コマンドの使用上の ガイドラインについては、『Cisco Identity Services Engine CLI Reference Guide』を参照してください。
テクニカルサポートトンネルの確立
Cisco ISE コマンドライン インターフェイス(CLI)からセキュアトンネルを確立できます。
手順
| ステップ 1 |
Cisco ISE CLI から、次のコマンドを入力します。 tech support-tunnel enable トンネルのパスワードとニックネームの入力が求められます。 |
| ステップ 2 |
パスワードを入力します。 |
| ステップ 3 |
(任意)トンネルのニックネームを入力します。 システムによって SSH キーが生成され、パスワード、デバイスのシリアル番号および SSH キーが表示されます。 サポートエンジニアがシステムに接続できるように、この情報をシスコカスタマーサポートに渡す必要があります。 |
| ステップ 4 |
パスワード、デバイスのシリアル番号および SSH キーをコピーし、シスコカスタマーサポートに送信します。 これで、サポート エンジニアが ISE サーバに安全に接続できるようになります。 サービス ログに関する定期的な通知を受信します。 |
着信トラフィックを検証する TCP ダンプ ユーティリティ
これは、予想されたパケットが実際にノードに到達したことを調査する場合に、パケットをスニッフィングするツールです。 たとえば、レポートに示されている着信認証またはログがない場合、着信トラフィックがないのではないか、または着信トラフィックが Cisco ISE に到達できないのではないかと疑われる場合があります。 このような場合、検証するためにこのツールを実行できます。
TCP ダンプオプションを設定し、ネットワークトラフィックからデータを収集して、ネットワークの問題をトラブルシューティングすることができます。
 注意 |
TCP ダンプを起動すると、以前のダンプファイルは自動的に削除されます。 以前のダンプファイルを保存するには、新しい TCP ダンプセッションを開始する前に、「TCP ダンプファイルの保存」の項の説明に従ってタスクを実行します。 |
ネットワーク トラフィックのモニタリングでの TCP ダンプの使用
はじめる前に
-
[TCP ダンプ(TCP Dump)] ページの [ネットワークインターフェイス(Network Interface)] ドロップダウンリストには、IPv4 または IPv6 アドレスが設定されているネットワーク インターフェイス カード(NIC)のみが表示されます。 デフォルトでは、すべての NIC は VMware に接続されるため、NIC は、IPv6 アドレスを使用して設定され、[ネットワークインターフェイス(Network Interface)] ドロップダウンリストに表示されます。
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] を選択します。 |
| ステップ 2 |
TCP ダンプユーティリティのソースとして [ホスト名(Host Name)] を選択します。 |
| ステップ 3 |
モニタする [ネットワークインターフェイス(Network Interface)] をドロップダウンリストから選択します。 |
| ステップ 4 |
オプションボタンをクリックして、オンかオフにして、無差別モードを設定します。 デフォルトは [オン(On)] です。 無差別モードは、ネットワークインターフェイスがシステムの CPU にすべてのトラフィックを渡すデフォルト パケット スニッフィング モードです。 [オン(On)] のままにしておくことを推奨します。 |
| ステップ 5 |
[フィルタ(Filter)] テキストボックスに、フィルタリングのもとになるブール演算式を入力します。 サポートされている標準 tcpdump フィルタ式: ip host 10.77.122.123 ip host 10.77.122.123 and not 10.77.122.119 ip host ISE123 |
| ステップ 6 |
[開始(Start)] をクリックして、ネットワークのモニタリングを開始します。 |
| ステップ 7 |
十分な量のデータが収集された時点で [停止(Stop)] をクリックするか、最大パケット数(500,000)が累積されてプロセスが自動的に終了するまで待機します。 |
注 |
Cisco ISE は、1500 より大きいフレーム(ジャンボフレーム)の MTU をサポートしません。 |
TCP ダンプ ファイルの保存
はじめる前に
「ネットワークトラフィックのモニタリングでの TCP ダンプの使用」の項の説明に従って、タスクを完了しておく必要があります。
注 |
Cisco ISE CLI を使用して TCPdump にアクセスすることもできます。 詳細については、『 Cisco Identity Services Engine CLI Reference Guide』を参照してください。 |
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [TCP ダンプ(TCP Dump)] を選択します。 |
| ステップ 2 |
[形式(Format)] をドロップダウンリストから選択します。 [可読(Human Readable)] がデフォルトです。 |
| ステップ 3 |
[ダウンロード(Download)] をクリックし、必要な場所に移動して、[保存(Save)] をクリックします。 |
| ステップ 4 |
最初に以前のダンプファイルを保存しないで除去するには、[削除(Delete)] をクリックします。 |
エンドポイントまたはユーザの予期しない SGACL の比較
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)][TrustSec ツール(Trustsec Tools)] > [出力(SGACL)ポリシー(Egress (SGACL) Policy)] を選択します。 |
| ステップ 2 |
SGACL ポリシーを比較する TrustSec デバイスのネットワークデバイス IP アドレスを入力します。 |
| ステップ 3 |
[実行(Run)] をクリックします。 |
| ステップ 4 |
[ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更します。 |
| ステップ 5 |
[送信(Submit)] をクリックします。 |
| ステップ 6 |
[結果概要の表示(Show Results Summary)] をクリックして、診断および推奨される解決手順を表示します。 |
出力ポリシー診断フロー
出力ポリシー診断ツールでは、次の表に示すプロセスを使用して比較が行われます。
|
プロセス ステージ |
説明 |
|---|---|
|
1 |
指定した IP アドレスを使用してデバイスに接続し、送信元 SGT と宛先 SGT の各ペアに対するアクセスコントロールリスト(ACL)を取得します。 |
|
2 |
Cisco ISE に設定された出力ポリシーをチェックし、送信元 SGT と宛先 SGT の各ペアに対する ACL を取得します。 |
|
3 |
ネットワーク デバイスから取得された SGACL ポリシーと、Cisco ISE から取得された SGACL ポリシーを比較します。 |
|
4 |
ポリシーが一致しない送信元 SGT と宛先 SGT のペアを表示します。また、追加情報として、一致するエントリも表示します。 |
SXP-IP マッピングを持つ TrustSec 対応ネットワーク の接続問題のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [SXP-IP マッピング(SXP-IP Mappings)] を選択します。 |
| ステップ 2 |
ネットワークデバイスのネットワークデバイス IP アドレスを入力し、[選択(Select)] をクリックします。 |
| ステップ 3 |
[実行(Run)] をクリックし、[ユーザ入力必須(User Input Required)] をクリックして、必要なフィールドを変更します。 Expert Troubleshooter によって、ネットワークデバイスから TrustSec SXP 接続が取得されて、ピア SXP デバイスを選択するように再度要求するプロンプトが表示されます。 |
| ステップ 4 |
[ユーザ入力必須(User Input Required)] をクリックし、必要な情報を入力します。 |
| ステップ 5 |
SXP マッピングを比較するピア SXP デバイスのチェックボックスをオンにして、共通接続パラメータを入力します。 |
| ステップ 6 |
[送信(Submit)] をクリックします。 |
| ステップ 7 |
[結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。 |
IP-SGT マッピングを持つ TrustSec 対応ネットワーク の接続問題のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)][TrustSec ツール(Trustsec Tools)] > [IP ユーザ SGT(IP User SGT)] を選択します。 |
| ステップ 2 |
必要に応じてフィールドに情報を入力します。 |
| ステップ 3 |
[実行(Run)] をクリックします。 追加入力が要求されます。 |
| ステップ 4 |
[ユーザ入力必須(User Input Required)] をクリックし、必要に応じてフィールドを変更して、[送信(Submit)] をクリックします。 |
| ステップ 5 |
[結果概要の表示(Show Results Summary)] をクリックして、診断および解決手順を表示します。 |
デバイス SGT ツール
TrustSec ソリューションが有効なデバイスの場合、RADIUS 認証によって各ネットワークデバイスに SGT 値が割り当てられます。 デバイス SGT 診断ツールは、(提供された IP アドレスを使用して)ネットワークデバイスに接続し、ネットワークデバイス SGT 値を取得します。 次に RADIUS 認証レコードをチェックして、割り当てられた最新の SGT 値を特定します。 最後に、デバイス SGT ペアを表形式で表示して、SGT 値が同じであるかどうかを特定します。
デバイス SGT マッピングの比較による TrustSec 対応ネットワーク の接続問題のトラブルシューティング
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [TrustSec ツール(Trustsec Tools)] > [デバイス SGT(Device SGT)] を選択します。 |
| ステップ 2 |
必要に応じてフィールドに情報を入力します。 デフォルトのポート番号は、Telnet は 23、SSH は 22 です。 |
| ステップ 3 |
[実行(Run)] をクリックします。 |
| ステップ 4 |
[結果概要の表示(Show Results Summary)] をクリックして、デバイス SGT 比較の結果を表示します。 |
その他のトラブルシューティング情報の入手
Cisco ISE を使用すると、管理者ポータルから、サポートおよびトラブルシューティング情報をダウンロードできます。サポートバンドルを使用して、Cisco Technical Assistance Center(TAC)が Cisco ISE の問題をトラブルシューティングするための診断情報を準備できます。
注 |
サポート バンドルおよびデバッグ ログにより、高度なトラブルシューティング情報が TAC に提供されます。サポート バンドルおよびデバッグ ログは解釈が困難です。Cisco ISE で提供されるさまざまなレポートおよびトラブルシューティングツールを使用して、ネットワークで直面している問題を診断およびトラブルシューティングできます。 |
Cisco ISE のサポートバンドル
サポートバンドルに含めるログを設定できます。 たとえば、特定のサービスのログをデバッグログに含めるように設定できます。 また、日付に基づいてログをフィルタリングできます。
ダウンロードできるログは、次のように分類されます。
-
完全な設定データベース:Cisco ISE 設定データベースは、人間が読み取れる XML 形式でダウンロードされます。問題をトラブルシューティングしようとするときに、このデータベース設定を別の Cisco ISE ノードにインポートして、シナリオを再現できます。
-
デバッグログ:ブートストラップ、アプリケーション設定、ランタイム、展開、公開キーインフラストラクチャ(PKI)情報、およびモニタリングとレポートが取得されます。
デバッグ ログによって、特定の Cisco ISE コンポーネントのトラブルシューティング情報が提供されます。デバッグ ログを有効にするには、第 11 章「ログ」を参照してください。 デバッグ ログを有効にしない場合、情報メッセージ(INFO)はすべてサポート バンドルに含まれます。詳細 については、「Cisco ISE デバッグログ」を参照してください。
-
ローカルログ:Cisco ISE で実行されるさまざまなプロセスからの syslog メッセージが含まれています。
-
コアファイル:クラッシュの原因の特定に役立つ重要な情報が含まれています。 これらのログは、アプリケーションがクラッシュし、アプリケーションにヒープダンプが含まれている場合に作成されます。
-
モニタリングおよびレポートログ:アラートおよびレポートに関する情報が含まれています。
-
システムログ:Cisco Application Deployment Engine(ADE)関連の情報が含まれています。
-
ポリシー設定:Cisco ISE で設定されたポリシーが人間が読み取れる形式で含まれます。
これらのログは、Cisco ISE CLI から backup-logs コマンドを使用してダウンロードできます。 詳細については、『 Cisco Identity Services Engine CLI Reference Guide』を参照してください。
注 |
インライン ポスチャ ノードの場合、管理者ポータルからサポート バンドルをダウンロードできません。Cisco ISE CLI から backup-logs コマンドを使用して、インライン ポスチャ ノードのログをダウンロードする必要があります。 |
これらのログを管理者ポータルからダウンロードすることを選択した場合、次の操作を実行できます。
-
デバッグログやシステムログなどのログタイプに基づいて、ログのサブセットのみをダウンロードします。
-
選択したログ タイプの最新の「n」個のファイルのみをダウンロードします。このオプションによって、サポートバンドルのサイズとダウンロードにかかる時間を制御できます。
モニタリング ログによって、モニタリング、レポート、およびトラブルシューティング機能に関する情報が提供されます。 ログのダウンロードの詳細については、「Cisco ISE ログファイルのダウンロード」を参照してください。
サポート バンドル
サポート バンドルは、単純な tar.gpg ファイルとしてローカル コンピュータにダウンロードできます。サポートバンドルは、日付とタイムスタンプを使用して、ise-support-bundle_ise-support-bundle-mm-dd-yyyy--hh-mm.tar..gpg という形式で名前が付けられます。 ブラウザに、適切な場所にサポートバンドルを保存するように要求するプロンプトが表示されます。 サポートバンドルの内容を抽出し、README.TXT ファイルを表示できます。このファイルには、サポートバンドルの内容と、ISE データベースがサポートバンドルに含まれている場合はその内容をインポートする方法が示されています。
Cisco ISE ログファイルのダウンロード
ネットワークでの問題のトラブルシューティング時に、Cisco ISE ログファイルをダウンロードして、詳細情報を確認できます。
インストールとアップグレードに関する問題のトラブルシューティングを行うには、ADE-OS および他のログファイルを含む、システムログをダウンロードすることもできます。
サポートバンドルをダウンロードする際には、暗号化キーを手動で入力する代わりに、暗号化用の公開キーを使用するように選択できるようになりました。 このオプションを選択すると、Cisco PKI はサポート バンドルの暗号化および復号化に使用されます。Cisco TAC は、公開キーと秘密キーを保持します。 Cisco ISE はサポート バンドルの暗号化に公開キーを使用します。Cisco TAC は、秘密キーを使用してサポートバンドルを復号化できます。 このオプションは、トラブルシューティング用に Cisco TAC にサポート バンドルを提供する場合に使用します。 オンプレミスの問題をトラブルシューティングしている場合、共有キー暗号化を使用します。
はじめる前に
-
次のタスクを実行するには、スーパー管理者またはシステム管理者の権限が必要です。
-
デバッグログとデバッグログレベルを設定します。
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンスノードリスト(Appliance node list)] を選択します。 |
| ステップ 2 |
サポートバンドルをダウンロードするノードをクリックします。 |
| ステップ 3 |
[サポートバンドル(Support Bundle)] タブでは、サポートバンドルに入力するパラメータを選択します。 すべてのログを含めると、サポートバンドルが大きくなりすぎて、ダウンロードに時間がかかります。 ダウンロードプロセスを最適化するには、最新の n ファイルのみをダウンロードするように選択します。 |
| ステップ 4 |
サポートバンドルを生成する開始日と終了日を入力します。 |
| ステップ 5 |
次のいずれか を実行します。
|
| ステップ 6 |
サポート バンドルの暗号キーを入力し、再入力します。 |
| ステップ 7 |
[サポートバンドルの作成(Create Support Bundle)] をクリックします。 |
| ステップ 8 |
[ダウンロード(Download)] をクリックして、新しく作成されたサポートバンドルをダウンロードします。 サポートバンドルは、アプリケーションブラウザを実行しているクライアントシステムにダウンロードされる tar.gpg ファイルです。 |
次の作業
特定のコンポーネントのデバッグログをダウンロードします。
Cisco ISE デバッグログ
デバッグログには、さまざまな Cisco ISE コンポーネントのトラブルシューティング情報が含まれています。デバッグログには、過去 30 日間に生成された重大な警告アラームと、過去 7 日間に生成された情報アラームが含まれています。 問題を報告しているときに、これらのデバッグログを有効にして、問題の診断と解決のためにこれらのログを送信するよう求められる場合があります。
デバッグ ログの入手
手順
| ステップ 1 |
[デバッグログの設定(Debug Log Configuration)] ページで、デバッグログを取得するコンポーネントを設定します。 |
| ステップ 2 |
デバッグ ログをダウンロードします。 |
Cisco ISE コンポーネントおよび対応するデバッグログ
| コンポーネント | デバッグ ログ |
|---|---|
| Active Directory | ad_agent.log |
| Cache Tracker | tracking.log |
| Entity Definition Framework (EDF) | edf.log |
| JMS | ise-psc.log |
| ライセンス | ise-psc.log |
| Notification Tracker | tracking.log |
| Replication-Deployment | replication.log |
| Replication-JGroup | replication.log |
| Replication Tracker | tracking.log |
| RuleEngine-Attributes | ise-psc.log |
| RuleEngine-Policy-IDGroups | ise-psc.log |
| accessfilter | ise-psc.log |
| admin-infra | ise-psc.log |
| boot-strap wizard | ise-psc.log |
| cisco-mnt | ise-psc.log |
| クライアント | ise-psc.log |
| cpm-clustering | ise-psc.log |
| cpm-mnt | ise-psc.log |
| epm-pdp | ise-psc.log |
| epm-pip | ise-psc.log |
| anc | ise-psc.log |
|
anc |
ise-psc.log |
| ers | ise-psc.log |
| guest | ise-psc.log |
|
ゲスト アクセス管理 |
guest.log |
|
ゲスト アクセス |
guest.log |
|
MyDevices |
guest.log |
|
ポータル(Portal) |
guest.log |
|
ポータル セッション マネージャ |
guest.log |
|
ポータル Web アクション |
guest.log |
| guestauth | ise-psc.log |
| guestportal | ise-psc.log |
| identitystore-AD | ise-psc.log |
| infrastructure | ise-psc.log |
| mdm | ise-psc.log |
| mdm-pip | ise-psc.log |
| mnt-report | reports.log |
| mydevices | ise-psc.log |
| nsf | ise-psc.log |
| nsf-session | ise-psc.log |
| org-apache | ise-psc.log |
| org-apache-cxf | ise-psc.log |
| org-apache-digester | ise-psc.log |
| ポスチャ | ise-psc.log |
| profiler | profiler.log |
| provisioning | ise-psc.log |
| prrt-JNI | prrt-management.log |
| runtime-AAA | prrt-management.log |
| runtime-config | prrt-management.log |
| runtime-logging | prrt-management.log |
| sponsorportal | ise-psc.log |
| swiss | ise-psc.log |
デバッグ ログのダウンロード
はじめる前に
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
手順
| ステップ 1 |
[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(Download Logs)] > [アプライアンスノードリスト(Appliance node list)] を選択します。 |
| ステップ 2 |
[アプライアンス ノード リスト(Appliance node list)] で、デバッグ ログをダウンロードするノードをクリックします。 |
| ステップ 3 |
[デバッグ ログ(Debug Logs)] タブをクリックします。 デバッグログタイプとデバッグログのリストが表示されます。 このリストは、デバッグ ログの設定に基づいています。 |
| ステップ 4 |
ダウンロードするログファイルをクリックし、クライアントブラウザを実行しているシステムに保存します。 必要に応じて、このプロセスを繰り返して他のログファイルをダウンロードできます。 次に示すのは、[デバッグログ(Debug Logs)] ページからダウンロードできるその他のデバッグログです。
|
フィードバック