Lees meer over Log Analytics-ELK Stack op ISE

Downloadopties

  • PDF     (1.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (958.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 september 2023
Document-id:220863

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de elk Stack-componenten die zijn ingebouwd in Cisco Identity Services Engine (ISE) 3.3 via System 360 Log Analytics.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco ISE-software
    • ELK Stack

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco ISE 3.3.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    System 360 omvat bewaking en loganalyses.

    Met de bewakingsfunctie kunt u een brede reeks toepassings- en systeemstatistieken en de belangrijkste prestatie-indicatoren (KPI) van alle knooppunten in een implementatie vanuit een gecentraliseerde console bewaken. KPI’s zijn nuttig om inzicht te krijgen in de algehele gezondheid van de knoopomgeving. Statistieken bieden een vereenvoudigde weergave van de systeemconfiguraties en gebruiksspecifieke gegevens.

    Log Analytics biedt een flexibel analysesysteem voor diepgaande analyse van endpointverificatie, autorisatie en accounting (AAA) en profilering van syslog-gegevens. U kunt ook de gezondheidssamenvatting en de processtatus van Cisco ISE analyseren. U kunt rapporten genereren die vergelijkbaar zijn met het Cisco ISE-tellers en het rapport met gezondheidsoverzichten.

    ELK Stack

    De ELK Stack is een populaire opensourcesoftware die wordt gebruikt voor het verzamelen, verwerken en visualiseren van grote hoeveelheden gegevens. Het staat voor Elasticsearch, Logstash en Kibana.

    • Elasticsearch: Elasticsearch is een gedistribueerde zoek- en analytics-engine. Het is ontworpen om grote hoeveelheden gegevens snel en in bijna realtime op te slaan, te zoeken en te analyseren. Het maakt gebruik van een op JSON gebaseerde query taal en is zeer schaalbaar.

    • Logstash: Logstash is een dataverwerkingspijplijn die gegevens uit meerdere bronnen opneemt, verwerkt en transformeert. Het kan gegevens ontleden en verrijken, waardoor het meer gestructureerd en geschikt voor analyse. Logstash ondersteunt een breed scala aan invoerbronnen en uitvoerbestemmingen.

    • Kibana: Kibana is een datavisualisatieplatform dat werkt met Elasticsearch. Het stelt gebruikers in staat om interactieve dashboards, grafieken, grafieken en visualisaties te maken om gegevens te verkennen en te begrijpen die zijn opgeslagen in Elasticsearch. De interface van Kibana maakt het gemakkelijk om gegevens te vragen en te visualiseren.

    In combinatie vormen deze componenten een krachtige stack voor het beheer en de analyse van verschillende soorten gegevens, van logbestanden tot metriek en meer, terwijl ze visualisatiemogelijkheden bieden om de informatie te begrijpen.

    ELK Stack flowELK Stack flow

    ELK Stack als log analyse

    • Een afzonderlijk geval van ElasticSearch+LogStash+Kibana stack wordt uitgevoerd op alleen MnT knooppunten.
      • Dit heeft geen correlatie met de Elasticsearch of Context-Visibility.
      • Operatie ELK 7,17
    • Primaire en secundaire MNT's hebben hun eigen afzonderlijke voorbeelden van ELK.
      • Kibana is alleen ingeschakeld op secundaire MNT als het beschikbaar is, waarbij alleen gegevens van dit knooppunt worden weergegeven.
    • Log Analytics is standaard uitgeschakeld.
    • Verbruikt Oracle-bronnen.
    • Slaat maximaal 7 dagen gegevens op.
    • De totale omvang van de door Log Analytics verbruikte gegevens is beperkt tot 10GB.
      • Wanneer een van de limieten is bereikt, worden de gegevens door ElasticSearch gewist.

    ELK flow as Log AnalyticsELK-stroom als loganalyse

    Flowchart of ELK in ISEStroomschema van ELK in ISE

    Loganalyses inschakelen

    Log analytics is standaard uitgeschakeld op ISE. Om dit in te schakelen, navigeert u naar  Operations > System 360 > Settings  zoals in de afbeelding.

    Enable log analyticsLoganalyse inschakelen

    ISE duurt ongeveer een minuut om de elk stack te initialiseren, u kunt de status controleren met  show app stat ise.

    Daarnaast kunt u de containerstatus controleren vanaf de root.

    admin#show application status ise

    ISE PROCESS NAME STATE PROCESS ID 
    --------------------------------------------------------------------
    Database Listener running 7708 
    Database Server running 132 PROCESSES
    Application Server running 551493 
    Profiler Database running 14281 
    ISE Indexing Engine running 553168 
    AD Connector running 41413 
    M&T Session Database running 26017 
    M&T Log Processor running 33547 
    Certificate Authority Service running 41230 
    EST Service running 659568 
    SXP Engine Service disabled 
    TC-NAC Service disabled 
    PassiveID WMI Service disabled 
    PassiveID Syslog Service disabled 
    PassiveID API Service disabled 
    PassiveID Agent Service disabled 
    PassiveID Endpoint Service disabled 
    PassiveID SPAN Service disabled 
    DHCP Server (dhcpd) disabled 
    DNS Server (named) disabled 
    ISE Messaging Service running 10937 
    ISE API Gateway Database Service running 13294 
    ISE API Gateway Service running 586762 
    ISE pxGrid Direct Service running 637606 
    Segmentation Policy Service disabled 
    REST Auth Service disabled 
    SSE Connector disabled 
    Hermes (pxGrid Cloud Agent) disabled 
    McTrust (Meraki Sync Service) disabled 
    ISE Node Exporter running 44422 
    ISE Prometheus Service running 47890 
    ISE Grafana Service running 51094 
    ISE MNT LogAnalytics Elasticsearch running 611684 
    ISE Logstash Service running 614339 
    ISE Kibana Service running 616064 
    ISE Native IPSec Service running 75883 
    MFC Profiler running 651910

    Menu Navigatie

    Zodra ELK services starten, hebt u toegang tot het Elastic navigatie menu.

    Navigation menuNavigation menu

    Ingebouwde Dashboards

    • ISE heeft standaard ingebouwde dashboards met gegevens van Radius, TACACS, systeemprestaties en ISE-waarneembaarheid.
    • Deze dashboards zijn toegankelijk via navigatie  Operations > Log Analytics .
      • Wanneer de elastische gebruikersinterface is geopend, klikt u op  Sandwich Menu > Analytics > Dashboards .

    Built-in dashboardsIngebouwde dashboards

    • Beschikbare dashboards op ISE 3.3.

    ISE 3.3 log analytics dashboardsISE 3.3 log analytics dashboards

    Nieuwe Dashboards maken

    Stap 1. Indexpatronen maken (gegevensbron)

    In Kibana zijn "indexpatronen" configuraties waarmee u kunt definiëren hoe Kibana interageert met een of meer Elasticsearch-indices.

    Naar navigeren  Management > Stack Management > Kibana > Index Patternsen klik op Create Index Pattern zoals in de afbeelding.

    Create index patternIndexpatroon maken

    Het volgende venster toont een lijst van alle beschikbare indexen op ISE.

    • Typ de naam van de index waarin u geïnteresseerd bent, het kan een exacte match of wildcard met *.
    • Selecteer het veld Tijdstempel, log_at, log_at_timezone of "Ik wil geen tijdfilter gebruiken".
    • Klik vervolgens op  Create index pattern.

    Select indexIndex selecteren

    Eenmaal gemaakt, geeft de index een lijst van alle variabelen die later gebruikt kunnen worden om visualisaties aan te maken.

    Index variablesIndexvariabelen

    Stap 2. Visualisaties maken

    In Kibana zijn "visualisaties" grafische voorstellingen van je gegevens. Ze stellen u in staat om de gegevens die zijn opgeslagen in Elasticsearch te gebruiken en om te zetten in zinvolle grafieken, grafieken en diagrammen voor een beter begrip en analyse. Dit zijn een aantal veelvoorkomende visualisaties die u kunt maken:

    • Lens: Creëert visualisatie met een drag-and-drop editor. Aanbevolen.
    • Grafieken: Deze tonen gegevens in verticale balken, waardoor het gemakkelijk is om waarden over categorieën of tijdintervallen te vergelijken.
    • Lijnkaarten: Lijnkaarten geven gegevens weer als een reeks gegevenspunten verbonden door lijnen. Ze zijn handig om trends door de tijd heen te visualiseren.
    • Taartgrafieken: Taartgrafieken vertegenwoordigen gegevens in een cirkelvormige grafiek, waarbij elk segment van de taart een categorie en de grootte van het segment vertegenwoordigt en de verhouding aangeeft.
    • Gebiedskaarten: Net als lijnkaarten, tonen gebiedskaarten ook trends in de tijd, maar ze vullen het gebied onder de lijnen, waardoor het gemakkelijker wordt om de omvang van veranderingen te zien.
    • Warmtekaarten: Warmtekaarten gebruiken kleuren om gegevenswaarden in een matrix of raster weer te geven. Zij zijn nuttig om concentraties of variaties in gegevens te tonen.
    • Metrische visualisaties: Deze geven enkele numerieke waarden weer, zoals tellingen of gemiddelden. Zij worden vaak gebruikt om essentiële prestatie-indicatoren (KPI's) te tonen.
    • Datatabellen: Datatabellen presenteren ruwe gegevens in tabelvorm, zodat u gedetailleerde informatie kunt zien en de gegevens kunt sorteren of filteren.
    • Histogrammen: Histogrammen verdelen gegevens in bins of intervallen en tonen de frequentie of de telling van gegevenspunten in elke bak. Zij zijn nuttig om gegevensdistributies te begrijpen.
    • Coördinaat Kaarten: Deze visualiseren georuimtelijke gegevens, zodat u gegevens op een kaart kunt weergeven en verschillende markeringen, kleuren of groottes kunt gebruiken om datakenmerken weer te geven.
    • Tag Clouds: Tag clouds tonen woordfrequenties, waarbij de grootte van elk woord het belang of de frequentie van elk woord aangeeft in een dataset.

    Naar navigeren  Analytics > Visualize Library klikt u op  Create Visualization zoals in de afbeelding.

    Create visualizationCreëer visualisatie

    Selecteer de visualisatie van uw voorkeur, op dit voorbeeld Lens is de voorkeur voor praktische uitvoerbaarheid.

    Select visualization typeSelecteer het type visualisatie

    Kibana Lens, navigatie items bestaan uit:

    • Selectie van gegevensbronnen: In het linker paneel kunt u de gegevensbron of het indexpatroon van Elasticsearch selecteren dat u voor uw visualisatie wilt gebruiken.
    • Visualisatiekantoor: Het centrale gebied is waar u uw visualisatie opbouwt door velden te slepen en te laten vallen, grafiektypes te selecteren en grafiekinstellingen te configureren.
    • Visualisatie Werkbalk: bovenop het canvas vindt u een werkbalk waarmee u uw visualisatie kunt aanpassen, inclusief opties voor het wijzigen van grafiektypen, het toevoegen van filters en het configureren van grafiekinstellingen.

    • Datapaneel: Aan de rechterkant hebt u toegang tot het 'Data'-paneel, waarmee u uw gegevenstransformatie, aggregatie en veldinstellingen kunt beheren.

    • Layer Management: Afhankelijk van het type visualisatie dat u maakt (bijvoorbeeld gelaagde diagrammen), kunt u een Layer Management Area hebben voor het configureren van meerdere lagen in uw visualisatie.

    • Voorbeeld: als u wijzigingen in uw visualisatie aanbrengt, wordt er meestal een realtime voorbeeld gegeven, zodat u kunt zien hoe uw tabel er uitziet met de huidige instellingen.

    • Visualisatie-instellingen: Afhankelijk van het geselecteerde kaarttype kunt u specifieke instellingen voor dat visualisatietype openen, zoals asconfiguratie, kleurenschema's en labels.

    • Interactiviteit-instellingen: U kunt interacties en acties toevoegen aan uw visualisatie, zodat gebruikers gegevens kunnen filteren of naar andere delen van uw Kibana-dashboards kunnen navigeren.

    • Opslaan en delen: Bovenaan de Lens-interface staan meestal opties om uw visualisatie op te slaan, toe te voegen aan een dashboard of het met anderen te delen.

    Lens visualizationLensvisualisatie

    Vanwege Cisco-bug-id CSCwh48057 worden in het linkerpaneel geen beschikbare velden voor gebruik weergegeven. U kunt echter aan de rechterkant de gewenste velden en de stijl van het diagram selecteren. In dit voorbeeld, aangezien auth latency een onderwerp van gemeenschappelijk belang is wordt de grafiek gebouwd om authentificatielasten versus endpoint ID te visualiseren.

    Endpoint ID vs latencyEndpoint ID vs latency

    Klik op de knop  Save knop in de rechterhoek zoals in de afbeelding.

    Save visualizationVisualisatie opslaan

    Stap 3. Een Dashboard maken

    Het voegt automatisch de nieuwe visualisatie toe aan een nieuw Dashboard. Houd in gedachten dat Kibana Dashboards gebruikers in staat stellen om interactieve visualisaties en rapporten te maken, aan te passen en te delen op basis van gegevens die zijn opgeslagen in Elasticsearch indices.

    New DashboardNieuw Dashboard

    Probleemoplossing

    • Controleer of de ELK stack services op de MNT draaien.
    • Aangezien Kibana, Logstash en Elasticsearch op containers lopen, zijn de logboeken te vinden op:
    admin#show logging application ise-kibana/kibana.log
    admin#show logging application ise-logstash/logstash.log
    admin#show logging application mnt-la-elasticsearch/mnt-la-elasticsearch.log

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    05-Sep-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jonathan Casillas
      Security technische leider

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten