Configurar a integração de conexão de dados do ISE 3.2 com o Splunk

Opções de download

  • PDF     (944.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de setembro de 2022
ID do documento:218190

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar a integração do Cisco Identity Services Engine (ISE) 3.2 com o Splunk over Data Connect para recuperar dados de relatório diretamente do banco de dados do ISE. Você pode criar suas próprias consultas e criar seus próprios relatórios graças a ela.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    1. Cisco ISE 3.2
    2. Conhecimento básico sobre consultas Oracle
    3. Splunk

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    1. Cisco ISE 3.2
    2. Splunk 9.0.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Configurações

    Etapa 1. Configurar as definições de conexão de dados do ISE

    1. Habilitar Conexão de Dados

    No ISE, navegue até Administration > System > Settings > Data Connecte alternar o botão contra Data Connect. Digite a senha e clique em Save .

    Data Connect Configuration

    Anote as configurações de conexão de dados, que incluem User Name, Hostname, Port, and Service Name .Por padrão, a Conexão de dados está habilitada no MNT secundário em uma implantação distribuída. Mais informações sobre cenários de failover podem ser encontradas no Guia do Administrador.

    Data Connect Node settings

    2. Exportar Certificado de Conexão de Dados

    Operação em Step 1.disparou a criação do Certificado de Conexão de Dados. Ele precisa ser confiável para os clientes que consultam o ISE sobre o Data Connect.

    Para exportar o certificado, navegue até Administration > System > Settings > Cetificate Management > Trusted Certificates,selecionar certificado com Data Connect Certificate Nome amigável e clique em Export .

    Trusted Certificates

    O certificado é exportado no formato PEM.

    DataConnect Certificate

    Etapa 2. Configurar o Splunk

    Note: A instalação do Splunk está fora do escopo deste documento.

    1. Instalar Aplicativo Splunk DB Connect

    Clique em + Find More Apps no menu principal.

    Splunk. Menu

    Enter Splunk DB Connect no menu pesquisar e clique em Installcontra Splunk DB Connect Aplicativo conforme mostrado na imagem.

    Splunk. Settings

    Insira as credenciais do Splunk para instalar o aplicativo. Clique em Agree and Install conforme mostrado na imagem.

    Splunk. Password Settings

    A instalação do aplicativo requer a reinicialização, clique em Restart Now.

    Splunk. DB Installation

    2. Instalar Drivers Oracle

    De acordo com a documentação do Splunk, os drivers JDBC devem ser instalados. Instale o driver Oracle por meio dos complementos Splunk para DB Connect. Clique em Login to Download conforme mostrado na imagem.

    Splunk. DBX Add-on 1

    Clique em Download.

    Splunk. DBX Add-on 2

    No menu Home, clique no ícone Gear ao lado de Apps conforme mostrado na imagem.

    Splunk. Settings

    Clique em Install App from File.

    Splunk. App installation 1

    Selecione Arquivo baixado anteriormente e clique em Uploadconforme mostrado na imagem.

    Splunk. App installation 2

    Navegue até Apps > Splunk DB Connect > Configuration > Settings > Driversclicar em Reload.Oracle driver deve aparecer como Installed.

    Splunk. App installation 3

    3. Configurar Identidade do Aplicativo Splunk DB Connect

    Note: Para que o aplicativo Splunk DB Connect funcione, o Java (SE) deve estar instalado. Para os fins deste App Java (SE), o 11 está instalado.

    C:\Users\Administrator>java --version
    java 11.0.15.1 2022-04-22 LTS
    Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
    Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

    C:\Users\Administrator>

    Navegue até Apps > Splunk DB Connect > Configuration > Databases > Identities e clicar em New Identity.

    Splunk. Identity 1

    Configurar o Identity Name (valor arbitrário), Username (dataconnect) e Password de Step 1. e clicar em Save.

    Splunk. Identity 2

    4. Configurar Conexão do Aplicativo Splunk DB Connect

    Navegue até Apps > Splunk DB Connect > Configuration > Databases > Connections e depois clicar em New Connection.

    Splunk. Connection 1

    Configurar o Connection Name (valor arbitrário). Selecionar Identity de Configure Splunk DB Connect App Identityetapa. Selecionar Connection Type como Oracle. Marque a caixa de seleção em relação à Edit JDBC URL e cole o valor:

    jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

    O HOST deve ser substituído pelo endereço IP do nó MNT a partir da etapa Enable Data Connect conforme mostrado na imagem.

    Splunk. Connection 2

    Role para baixo até a seção Certificado e cole o conteúdo de DataConnectCertificate.pem arquivo de certificado e clique em Save conforme mostrado na imagem.

    Splunk. Connection 3

    5. Configurar Entradas do Splunk DB Connect

    Navegue até Apps > Splunk DB Connect > Data Lab > Inputs  andclicar New Input.

    Splunk. Input 1

    Selecione Connection configurado na etapa Configure Splunk DB Connect App Connection .Insira a consulta que você deseja usar para a pesquisa, neste exemplo, a consulta Autenticação por nó do ISE é usada:

    select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

    Clique em Execute SQL para garantir que a consulta funcione, ela também deve prosseguir. Clique em Next conforme mostrado na imagem.

    Splunk. Input 2

    Configurar a entrada Name(valor arbitrário). Selecionar Application como Splunk DB Connect. Defina o Execution Frequency (a frequência com que a consulta é enviada para o ISE).

    Splunk. Input 3

    Configurar o Source Type e Input.

    Splunk. Input 4

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Para verificar e visualizar os dados das respostas, navegue até Apps > Splunk DB Connect > Data Lab > Inputs. Clique em Find Events.

    Splunk. Events 1

    Nos Events é possível navegar até Visualization.

    Splunk. Events 2

    Você pode ajustar o menu Pesquisar e selecionar a Visualização de sua escolha. A consulta no exemplo usa o gráfico de tempo e cria o gráfico com base no máximo de tentativas de autenticação aprovadas.

    index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

    Splunk. Events 3

    Troubleshoot

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    23-Sep-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Eugene Korneychuk
      Líder técnico do TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos