Splunk와 ISE 3.2 Data Connect 통합 구성

다운로드 옵션

PDF (969.1 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (2.1 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.6 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2022년 9월 22일

문서 ID:218190

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ISE(Identity Services Engine) 3.2 통합을 Splunk over Data Connect와 구성하여 ISE 데이터베이스에서 보고 데이터를 직접 검색하는 방법에 대해 설명합니다. 자신의 쿼리를 만들고 그 덕분에 자신의 보고서를 만들 수 있습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Cisco ISE 3.2
Oracle 쿼리에 대한 기본 지식
스플렁크

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco ISE 3.2
Splunk 9.0.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

설정

1단계. ISE 데이터 연결 설정 구성

1. 데이터 연결 사용

ISE에서 Administration > System > Settings > Data Connect버튼을 Data Connect. 비밀번호를 입력하고 Save .

Data Connect Configuration

다음을 포함하는 Data Connect 설정을 기록합니다. User Name, Hostname, Port, and Service Name .분산형 구축의 보조 MNT에서는 기본적으로 데이터 연결이 활성화되어 있습니다. 장애 조치 시나리오에 대한 자세한 내용은 관리자 설명서를 참조하십시오.

Data Connect Node settings

2. 데이터 연결 인증서 내보내기

운영 Step 1.데이터 연결 인증서 생성을 트리거했습니다. Data Connect를 통해 ISE를 쿼리하는 클라이언트에서 이를 신뢰해야 합니다.

인증서를 내보내려면 Administration > System > Settings > Cetificate Management > Trusted Certificates, 인증서 선택 Data Connect Certificate Friendly Name(친숙한 이름)을 클릭하고 Export .

인증서는 PEM 형식으로 내보냅니다.

DataConnect Certificate

2단계. Splunk 구성

참고: Splunk 설치는 이 문서의 범위를 벗어납니다.

1. Splunk DB Connect 앱 설치

클릭 + Find More Apps 기본 메뉴에서 선택합니다.

Splunk. Menu

입력 사항 Splunk DB Connect 검색 메뉴에서 Install에 대하여 Splunk DB Connect 이미지에 표시된 앱입니다.

Splunk. Settings

앱을 설치하려면 Splunk 자격 증명을 입력하십시오. 클릭 Agree and Install 그림에 표시된 것과 같습니다.

Splunk. Password Settings

앱을 설치하려면 다시 시작해야 합니다. Restart Now.

Splunk. DB Installation

2. Oracle 드라이버 설치

Splunk Documentation에 따라 JDBC 드라이버를 설치해야 합니다. DB Connect용 Splunk 추가 기능을 통해 Oracle 드라이버를 설치합니다. 클릭 Login to Download 그림에 표시된 것과 같습니다.

Splunk. DBX Add-on 1

클릭 Download.

홈 메뉴에서 옆에 있는 기어 아이콘을 클릭합니다. Apps 그림에 표시된 것과 같습니다.

Splunk. Settings

클릭 Install App from File.

Splunk. App installation 1

이전에 다운로드한 파일을 선택하고 Upload그림에 표시된 것과 같습니다.

Splunk. App installation 2

탐색 Apps > Splunk DB Connect > Configuration > Settings > Drivers클릭 Reload.Oracle 드라이버는 다음과 같이 표시되어야 합니다. Installed.

Splunk. App installation 3

3. Splunk DB Connect 앱 ID 구성

참고: Splunk DB Connect App이 Java(SE)에서 작동하려면 Java를 설치해야 합니다. 이 App Java(SE)의 목적을 위해 11이 설치됩니다.

C:\Users\Administrator>java --version
java 11.0.15.1 2022-04-22 LTS
Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

C:\Users\Administrator>

탐색 Apps > Splunk DB Connect > Configuration > Databases > Identities 클릭하여 New Identity.

구성 Identity Name (임의의 값), Username (dataconnect) 및 Password 발신 Step 1. 클릭하여 Save.

Splunk. Identity 2

4. Splunk DB Connect 앱 연결 구성

탐색 Apps > Splunk DB Connect > Configuration > Databases > Connections 클릭하여 New Connection.

Splunk. Connection 1

구성 Connection Name (임의의 값). 선택 Identity 발신 Configure Splunk DB Connect App Identity단계. 선택 Connection Type 다음으로 Oracle. 해당 확인란을 Edit JDBC URL 값을 붙여 넣습니다.

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

이 단계에서 호스트를 MNT 노드의 IP 주소로 교체해야 합니다 Enable Data Connect 그림에 표시된 것과 같습니다.

Splunk. Connection 2

Certificate(인증서) 섹션까지 아래로 스크롤하여 DataConnectCertificate.pem 인증서 파일을 클릭하고 Save 그림에 표시된 것과 같습니다.

Splunk. Connection 3

5. Splunk DB Connect 입력 구성

탐색 Apps > Splunk DB Connect > Data Lab > Inputs and클릭 New Input.

Splunk. Input 1

단계에서 구성된 연결 선택 Configure Splunk DB Connect App Connection .폴링에 사용할 쿼리를 입력합니다. 이 예에서는 ISE 노드별 인증 쿼리가 사용됩니다.

select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

클릭 Execute SQL 쿼리가 작동하도록 하려면 추가 작업을 진행해야 합니다. 클릭 Next 그림에 표시된 것과 같습니다.

Splunk. Input 2

입력 구성 Name(임의의 값). 선택 Application 다음으로 Splunk DB Connect. 설정 Execution Frequency (ISE로 쿼리가 전송되는 빈도)

Splunk. Input 3

구성 Source Type 및 Input.

Splunk. Input 4

다음을 확인합니다.

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

응답의 데이터를 확인하고 시각화하려면 Apps > Splunk DB Connect > Data Lab > Inputs. 클릭 Find Events.

Splunk. Events 1

에서 Events 메뉴, Visualization.

Splunk. Events 2

Search(검색) 메뉴를 조정하고 원하는 Visualization(시각화)을 선택할 수 있습니다. 이 예제의 쿼리는 시간 차트를 사용하고 통과한 최대 인증 시도를 기반으로 그래프를 작성합니다.

index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

Splunk. Events 3

문제 해결

현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

개정 이력

개정	게시 날짜	의견
1.0	23-Sep-2022	최초 릴리스

Cisco 엔지니어가 작성

Eugene Korneychuk
TAC 기술 리더