了解ISE上用于高级监控的Grafana堆栈

简介

本文档介绍Grafana堆栈组件内置的身份服务引擎(ISE) 3.3至System 360高级监控。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科身份服务引擎 
• 格拉法纳堆栈

使用的组件

本文档中的信息基于以下软件和硬件版本：

• ISE 3.3

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

System 360包括Monitoring和Log Analytics功能。 

使用监控功能，您可以从集中式控制台监控各种应用和系统统计信息，以及部署中所有节点的关键绩效指标(KPI)。KPI有助于深入了解节点环境的整体运行状况。统计数据提供了系统配置和利用率特定数据的简化表示。

Log Analytics提供灵活的分析系统，用于深入分析终端身份验证、授权和记帐(AAA)以及分析系统日志数据。您还可以分析思科ISE运行状况摘要和流程状态。您可以生成类似于Cisco ISE计数器和运行状况摘要报告的报告。

Grafana和Prometheus Stack

Grafana堆栈是第三方开源软件堆栈，用于提供给定环境或软件解决方案内收集的统计信息和计数器的图形或文本表示。它由Grafana、Prometheus和节点导出器组件组成：

• Grafana：Grafana是一个可视化和分析软件，与Prometheus配合使用。它允许您以友好的方式查询、可视化、提醒和探索存储在Prometheus数据库中的系统度量、日志和跟踪。
• Prometheus：Prometheus提取、收集和存储节点导出器缓存的时间序列数据。 
• 节点导出器：持续测量各种计算机资源指标（如内存、磁盘和CPU利用率）并对其进行缓存。Grafana堆栈流程图

这些组件形成了一个强大的堆栈，可用于收集、管理和分析各种类型的系统指标。这样，系统管理员便可以实时、友好地了解其网络解决方案的状态和性能。

用于高级ISE监控的Grafana堆栈

• ISE不需要在每个节点上有单独的Grafana堆栈实例来监控整个部署。每个节点上运行的堆栈组件取决于每个ISE节点所拥有的角色。
• 部署中的每个ISE节点都有自己的节点导出器实例。
• 策略管理节点(PAN)具有独立的Grafana和Prometheus实例。
• Prometheus最多可以存储5GB或7天前的数据。达到这些阈值之一后，会首先清除最早的数据。
• 数据的采集、存储和处理不由MnT采集器处理。这意味着启用此功能不会对ISE资源消耗产生重大影响。 
• 默认情况下启用监控功能。

用于ISE监控的Grafana流量

启用或禁用监控

监控是ISE上默认启用的功能。但是，您可以随时启用或禁用此功能。

导航到操作>系统360 >设置，然后单击监控按钮启用或禁用功能。 

最后，单击Save按钮。

启用或禁用监控

ISE大约需要一分钟来初始化或关闭Grafana堆栈，您可以使用show app stat ise检查服务状态。

vimontes-ise-33-1/admin#show application status ise 

ISE PROCESS NAME                       STATE            PROCESS ID  
--------------------------------------------------------------------
Database Listener                      running          81008       
Database Server                        running          134 PROCESSES
Application Server                     running          518925      
Profiler Database                      running          86939       
ISE Indexing Engine                    running          486865      
AD Connector                           running          90383       
M&T Session Database                   running          486437      
M&T Log Processor                      running          2564857     
Certificate Authority Service          running          245113      
EST Service                            running          583881      
SXP Engine Service                     disabled                     
TC-NAC Service                         disabled        
PassiveID WMI Service                  disabled                     
PassiveID Syslog Service               disabled                     
PassiveID API Service                  disabled                     
PassiveID Agent Service                disabled                     
PassiveID Endpoint Service             disabled                     
PassiveID SPAN Service                 disabled                     
DHCP Server (dhcpd)                    disabled                     
DNS Server (named)                     disabled                     
ISE Messaging Service                  running          247148      
ISE API Gateway Database Service       running          488895      
ISE API Gateway Service                running          501344      
ISE pxGrid Direct Service              running          559099      
Segmentation Policy Service            disabled                     
REST Auth Service                      disabled                     
SSE Connector                          disabled                     
Hermes (pxGrid Cloud Agent)            disabled                     
McTrust (Meraki Sync Service)          disabled                     
ISE Node Exporter                      running          91058       
ISE Prometheus Service                 running          357191      
ISE Grafana Service                    running          504738      
ISE MNT LogAnalytics Elasticsearch     running          359800      
ISE Logstash Service                   running          362762      
ISE Kibana Service                     running          365658      
ISE Native IPSec Service               running          507795      
MFC Profiler                           running          574221   

注：根据每个ISE节点上运行的角色，即使启用监控，也可能会看到某些Grafana堆叠服务处于未运行状态。

导航菜单

导航到操作>系统360 >监控以访问Grafana导航菜单。 导航菜单位于ISE显示的控制面板的左侧。

Grafana导航菜单

内置控制面板

默认情况下，ISE有两个名为ISE控制面板和MFC分析器的内置控制面板。 这些控制面板分别显示部署中每个ISE节点的最常见关键绩效指标(KPI)，如内存、CPU和磁盘统计信息。这些控制面板还可以显示流程消耗指标。

要访问这些控制面板，请导航到操作>System 360 >监控菜单。默认情况下，ISE显示ISE控制面板。

注意：如果未启用该功能，则GUI中不会显示“监控”(Monitoring)菜单。

您可以选择ISE节点，修改显示信息的时间跨度和控制面板刷新率。监控内置控制面板

要在控制面板之间切换，请点击四个正方形图标。这将打开“管理控制面板”窗口。在此窗口中，您可以在不同的现有控制面板之间进行选择。 

在控制面板之间切换

注意：ISE服务器和客户端计算机必须同时运行，以避免数据不一致。如果检测到时间不匹配，则ISE在访问内置控制面板后会显示以下警告：“A time mismatch is detected between ISE server and client machine which lease inconsistent Grafana behavior， please sync time on both machines.”（检测到ISE服务器和客户端之间的时间不匹配，这可能导致不一致的Grafana行为，请务必在两台计算机上同步时间。）

创建您自己的控制面板

除了提供的内置控制面板，您还可以从零创建自己的控制面板。

步骤1:输入新控制面板菜单

导航到操作>系统360 >监控下。

点击Grafana导航菜单上的加号(+)图标，然后点击控制面板。

创建新控制面板

第二步：添加面板

选择添加新面板选项。此时将显示“编辑面板”窗口。添加新面板

编辑面板窗口如下所示：

控制面板创建区域

a.可视化区域：显示从Prometheus数据库提取的数据的图形表示。

b.数据查询区域：您可以选择查询以提取存储在Prometheus数据库中的特定度量和数据。

c.面板选项区域：提供大量选项来修改显示数据的图形面板。

第三步：使用查询创建面板

故障排除

• 验证是否已启用监控功能。
• 验证Grafana堆栈服务是否在ISE节点上运行，具体取决于每个ISE节点上启用的角色。
• 每个Grafana堆栈组件都有单独的日志，您可以在ISE CLI上使用以下命令访问这些日志文件：

vimontes-ise-33-1/admin#show logging application ise-prometheus/prometheus.log
vimontes-ise-33-1/admin#show logging application ise-node-exporter/node-exporter.log
vimontes-ise-33-1/admin#show logging application ise-grafana/grafana.log

注意：没有特定组件可设置为调试级别，用于对此功能进行故障排除。收集这些日志文件就足够了。

相关信息

• 思科身份服务引擎版本说明，版本3.2
• 思科身份服务引擎管理员指南，版本3.3
• Grafana文档
• 思科技术支持和下载