在ISE上排除故障并启用调试

简介

本文档介绍在身份服务引擎(ISE)上发生特定问题时如何进行故障排除和调试以启用。

调试日志配置

ISE根据为不同类型的功能设置的日志级别配置生成日志。使用以下说明更改这些设置，以将日志设置为调试级别。 

1. 对于ISE 2.x版本，请导航至 Administration > System > Logging > Debug log configuration:
   
   
   对于ISE版本3.x，导航至 Operations > Troubleshoot > Debug Wizard > Debug Log Configuration:
   
   

2.选择受影响或导致问题的节点，然后单击Edit.

3.将显示各种日志属性的列表，如图所示。

上图中的列表不完整，但此处可以启用某些服务的日志级别。

此处介绍的任何功能的所有日志配置都可以从此位置进行设置。此部分在相关文档中称为“调试”页。

或者，对于ISE 3. x版Operations > Troubleshoot > Debug Wizard > Debug Profile Configuration 本，可以选择按功能启用调试，并选择节点以应用这些调试，如下所示：

  

4.启用适当的调试后（针对下一节中的具体问题提供），再现/重新创建问题。

5.记录重现问题的时间戳。

6.记录测试客户端的终端ID（MAC地址）或IP地址。

7.在选择属性并单击时将日志级别设置为默认值 Reset to Default.

8.定位至Operations > Troubleshoot > Download logs. 选择必须收集日志的节点。

9.支持捆绑包可在“选择Operations > Troubleshoot > Download Logs > (问题重现/出现时所在的节点”下找到)。

10.以下选项用于生成文件：

[ ]包括完整配置数据库。
[x]包括调试日志。
[x]包括本地日志。
[ ]包括核心文件。
[x]包括监控和报告日志。
[x]包括系统日志。
        

将加密密钥设置为<Encryption key of choice>。

选择重新创建/发现问题的（时间范围）天。

11.要收集支持捆绑包，请单击按钮 download。

  

从此处将支持捆绑包和其他详细信息上传到案例中部。

问题：分析

要设置为调试级别的属性： 

• profiler(profiler.log) 
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise.psc.log)

注意：将运行时AAA设置为调试时，它也会将prrt-JNI设置为调试级别。这是预期结果。如果启用运行时调试，在负载较重的情况下，可能会出现严重的性能问题。建议咨询TAC或在维护窗口中启用调试以排除故障。

问题：许可 

要设置为调试级别的属性：

• 许可证(ise-psc.log)
• 管理许可证(ise-psc.log)

问题：状态

要设置为调试级别的属性： 

• posture(ise-psc.log)
• 门户(guest.log)
• 调配(ise-psc.log)
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)
• swiss(ise-psc.log)
• client-webapp(guest.log)

问题：访客门户

要设置为调试级别的属性：

• 访客接入(guest.log)
• guest-admin(guest.log)
• guest-access-admin(guest.log)
• profiler(profiler.log)
• runtime-AAA(prrt-server.log)
• saml(guest.log)（仅在使用saml时启用此功能）
• nsf(guest.log)
• nsf-session(guest.log)

问题：dot1x/mab

要设置为调试级别的属性：

• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)

问题：复制

要设置为调试级别的属性：

• 复制部署（replication.log和ise-psc.log）
• Replication-JGroup（replication.log和ise-psc.log）
• 复制跟踪器(tracking.log)
• hibernate(hibernate.log)
• JMS(replication.log)

问题：SAML相关问题

要设置为调试级别的属性：

• opensaml(ise-psc.log)
• saml(ise-psc.log)

问题：应用服务器问题

要设置为调试级别的属性：

• org-apache(appserver/catalina.out)
• org-apache-cxf(appserver/catalina.out)
• org-apache-digester(appserver/catalina.out)

问题：发起人门户

要设置为调试级别的属性：

• sponsorportal(ise-psc.log)
• 门户(guest.log)
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)

问题：BYOD门户/自注册

要设置为调试级别的属性：

• client(guest.log)
• client-webapp(guest.log)
• scep(ise-psc.log)
• ca-service(ise-psc.log)
• admin-ca(ise-psc.log)
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)
• profiler(profiler.log)

问题：MDM

要设置为TRACE级别的属性：

• 门户(guest.log)
• mdmportal(ise-psc.log)
• external-mdm(ise-psc.log)
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)

问题：证书调配门户

要设置为调试级别的属性：

• ca-service(caservice.log)
• admin-ca(ise-psc.log)
• clientprovisioningportal(ise-psc.log)
• 门户(guest.log)

问题：我的设备门户

要设置为调试级别的属性：

• 门户(guest.log)
• mydevices(ise-psc.log)
• profiler(profiler.log)

问题：Trustsec

要设置为调试级别的属性：

• sxp(sxp_appserver/sxp.log)
• sgtbinding(sxp_appserver/sxp.log)
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)

问题：以漏洞评估和信任为中心的NAC

要设置为调试级别的属性：

• va-runtime(varuntime.log)
• va-service（varuntime.log和vaggregation.log）
• TC-NAC(ise-psc.log)
• anc(ise-psc.log)

问题：ODBC身份库相关问题

要设置为调试级别的属性：

• odbc-id-store（prrt-management.log和prrt-server.log）

问题：RBAC问题

要设置为调试级别的属性：

• 访问过滤器(ise-psc.log)

问题：pxGrid

要设置为TRACE级别的属性：

• pxgrid(pxgrid-server.log)
• 基础设施(ise-psc.log)
• ers(ise-psc.log)

问题：日志/报告

要设置为调试级别的属性：

• cpm-mnt(ise-psc.log)
• 报告(ise-psc.log)
• cisco-mnt(ise-psc.log)
• runtime-logging(prrt-server.log)
• collector(collector.log)

问题：Active Directory

要设置为TRACE级别的属性：

• Active Directory(ad_agent.log)
• identity-store-AD(ad_agent.log)
• runtime-AAA(prrt-server.log)
• nsf(ise-psc.log)
• nsf-session(ise-psc.log)

问题：被动ID 

要设置为调试级别的属性：

• PassiveID(passiveid*)
• runtime-AAA(prrt-server.log)
• Active Directory(ad)_agent.log
• collector(collector.log)(在PassiveID、MnT节点上和在主动pxGrid节点上（如果会话已发布）。
• pxGrid(pxgrid/)（如果会话已发布，则位于辅助MnT和活动pxGrid节点上。）

问题：REST服务

要设置为调试级别的属性：

• ers(ise-psc.log)

问题：TACACS

要设置为调试级别的属性：  

• runtime-AAA(prrt-server.log)

问题：无线设置 

要设置为调试级别的属性：

• wirelesssetuphelper(/wifisetup)

问题：情景可视性

要设置为调试级别的属性：

• vcs(ise-elasticsearch.log/vcs.log)
• vcs-db(ise-elasticsearch.log/vcs.log)

问题：RabbitMQ消息传送

• ise-messaging(ise-messaging/)

问题：轻量级会话目录

• Light-Session-Directory(lsd.log)

问题：SSE连接器/Smart Call Home

• sse-connector(connector.log)

问题：UDN

• UDN(udn.log)

问题：终端脚本

• endpoint-script(ise-psc.log)

LDAP

• runtime-aaa(prrt-server.log)

排除更多一般问题所需的调试

问题：门户问题

要设置为调试级别的属性：

• 门户(guest.log)
• portal-session-manager(guest.log)
• portal-web-action(guest.log)
• previewportal（每个门户配置页面中的预览部分）(guest.log)

问题：策略和规则评估问题

要设置为调试级别的属性：

• RuleEngine-Policy-IDGroups(ise-psc.log)
• RuleEngine-Attributes(ise-psc.log)
• 策略引擎(ise-psc.log)
• epm-pdp(ise-psc.log)
• epm-pip(ise-psc.log)

问题：PAN故障切换

• 基础设施(ise-psc.log)
• PanFailover(ise-psc.log)

问题：IP访问限制

• 基础设施(ise-psc.log)
• 管理基础设施(ise-psc.log)
• NSF(ise-psc.log)