簡介
本文檔介紹如何配置思科身份服務引擎(ISE)3.2與Splunk over Data Connect的整合,以便直接從ISE資料庫檢索報告資料。藉助它,您可以建立自己的查詢並編寫自己的報告。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco ISE 3.2
- 有關Oracle查詢的基本知識
- 斯普倫克
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ISE 3.2
- Splunk 9.0.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
組態
步驟1.配置ISE資料連線設定
1.啟用資料連線
在ISE上,導航至 Administration > System > Settings > Data Connect
並將按鈕切換為 Data Connect
.輸入密碼並按一下 Save
.
![Data Connect Configuration](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-00.png)
記下資料連線設定,包括 User Name, Hostname, Port, and Service Name .
分散式部署中的輔助MNT上預設啟用資料連線,有關故障轉移方案的詳細資訊,請參閱《管理員指南》。
![Data Connect Node settings](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-01.png)
2.匯出資料連線證書
中的操作 Step 1.
已觸發資料連線證書的建立。需要通過資料連線查詢ISE的客戶端需要信任它。
若要匯出證書,請導航至 Administration > System > Settings > Cetificate Management > Trusted Certificates
,選擇證書 Data Connect Certificate
友好名稱並按一下 Export
.
![Trusted Certificates](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-02.png)
證書將以PEM格式匯出。
![DataConnect Certificate](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-03.png)
步驟2.配置Splunk
附註: Splunk安裝不在本檔案的範圍之內。
1.安裝Splunk DB Connect App
按一下 + Find More Apps
從主選單。
![Splunk. Menu](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-04.png)
輸入 Splunk DB Connect
在「搜尋」選單中,按一下 Install
對 Splunk DB Connect
App(如圖所示)。
![Splunk. Settings](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-05.png)
輸入Splunk憑據以安裝應用。按一下 Agree and Install
如下圖所示。
![Splunk. Password Settings](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-06.png)
應用程式安裝需要重新啟動,請按一下 Restart Now.
![Splunk. DB Installation](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-07.png)
2.安裝Oracle驅動程式
根據Splunk文檔,必須安裝JDBC驅動程式。通過用於DB Connect的Splunk載入項安裝Oracle驅動程式。按一下 Login to Download
如下圖所示。
![Splunk. DBX Add-on 1](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-08.png)
按一下 Download.
![Splunk. DBX Add-on 2](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-09.png)
在「首頁」(Home)選單中,按一下旁邊的「齒輪」(Gear)圖示 Apps
如下圖所示。
![Splunk. Settings](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-10.png)
按一下 Install App from File.
![Splunk. App installation 1](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-11.png)
選擇「File downloaded early(之前下載的檔案)」 ,然後按一下 Upload
如下圖所示。
![Splunk. App installation 2](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-12.png)
導航至 Apps > Splunk DB Connect > Configuration > Settings > Drivers
點選 Reload
.Oracle
驅動程式必須顯示為 Installed
.
![Splunk. App installation 3](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-13.png)
3.配置Splunk DB Connect應用標識
附註: 若要使Splunk DB Connect應用正常工作,必須安裝Java(SE)。出於此App Java(SE)的目的,安裝了11。
C:\Users\Administrator>java --version
java 11.0.15.1 2022-04-22 LTS
Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)
C:\Users\Administrator>
導航至 Apps > Splunk DB Connect > Configuration > Databases > Identities
然後點選 New Identity.
![Splunk. Identity 1](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-14.png)
配置 Identity Name
(任意值), Username
(dataconnect)和 Password
自 Step 1.
然後點選 Save
.
![Splunk. Identity 2](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-15.png)
4.配置Splunk DB Connect應用連線
導航至 Apps > Splunk DB Connect > Configuration > Databases > Connections
然後按一下 New Connection.
![Splunk. Connection 1](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-16.png)
配置 Connection Name
(任意值)。 選擇 Identity
自 Configure Splunk DB Connect App Identity
步。選擇 Connection Type
作為 Oracle
.將覈取方塊標籤為與 Edit JDBC URL
並貼上值:
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))
必須在步驟中用MNT節點的IP地址替換主機 Enable Data Connect
如下圖所示。
![Splunk. Connection 2](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-17.png)
向下滾動到Certificate部分並貼上的內容 DataConnectCertificate.pem
證書檔案並按一下 Save
如下圖所示。
![Splunk. Connection 3](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-18.png)
5.配置Splunk DB連線輸入
導航至 Apps > Splunk DB Connect > Data Lab > Inputs and
按一下 New Input.
![Splunk. Input 1](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-19.png)
選擇步驟中配置的連線 Configure Splunk DB Connect App Connection .
輸入您要用於輪詢的查詢,在此示例中,使用Authentication by ISE Node查詢:
select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;
按一下 Execute SQL
為了確保查詢正常工作,還需要進一步進行查詢。按一下 Next
如下圖所示。
![Splunk. Input 2](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-20.png)
設定輸入 Name
(任意值)。 選擇 Application
作為 Splunk DB Connect
.設定 Execution Frequency
(向ISE傳送查詢的頻率)。
![Splunk. Input 3](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-21.png)
配置 Source Type
和 Input
.
![Splunk. Input 4](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-22.png)
驗證
使用本節內容,確認您的組態是否正常運作。
要驗證和直觀顯示響應中的資料,請導航至 Apps > Splunk DB Connect > Data Lab > Inputs
.按一下 Find Events.
![Splunk. Events 1](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-23.png)
從 Events
選單,您可以導航到 Visualization.
![Splunk. Events 2](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-24.png)
您可以調整「搜尋」(Search)選單並選擇所選的視覺化(Visualization)。示例中的查詢使用timechart並根據通過的最大身份驗證嘗試次數構建圖形。
index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)
![Splunk. Events 3](/c/dam/en/us/support/docs/security/identity-services-engine/218190-configure-ise-3-2-data-connect-integrati-25.png)
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。