使用Splunk配置ISE 3.2資料連線整合

簡介

本文檔介紹如何配置思科身份服務引擎(ISE)3.2與Splunk over Data Connect的整合，以便直接從ISE資料庫檢索報告資料。藉助它，您可以建立自己的查詢並編寫自己的報告。

必要條件

需求

思科建議您瞭解以下主題：

1. Cisco ISE 3.2
2. 有關Oracle查詢的基本知識
3. 斯普倫克

採用元件

本文中的資訊係根據以下軟體和硬體版本：

1. Cisco ISE 3.2
2. Splunk 9.0.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

組態

步驟1.配置ISE資料連線設定

1.啟用資料連線

在ISE上，導航至 Administration > System > Settings > Data Connect並將按鈕切換為 Data Connect.輸入密碼並按一下 Save .

記下資料連線設定，包括 User Name, Hostname, Port, and Service Name .分散式部署中的輔助MNT上預設啟用資料連線，有關故障轉移方案的詳細資訊，請參閱《管理員指南》。

2.匯出資料連線證書

中的操作 Step 1.已觸發資料連線證書的建立。需要通過資料連線查詢ISE的客戶端需要信任它。

若要匯出證書，請導航至 Administration > System > Settings > Cetificate Management > Trusted Certificates，選擇證書 Data Connect Certificate 友好名稱並按一下 Export .

證書將以PEM格式匯出。

步驟2.配置Splunk

附註： Splunk安裝不在本檔案的範圍之內。

1.安裝Splunk DB Connect App

按一下 + Find More Apps 從主選單。

輸入 Splunk DB Connect 在「搜尋」選單中，按一下 Install對 Splunk DB Connect App（如圖所示）。

輸入Splunk憑據以安裝應用。按一下 Agree and Install 如下圖所示。

應用程式安裝需要重新啟動，請按一下 Restart Now.

2.安裝Oracle驅動程式

根據Splunk文檔，必須安裝JDBC驅動程式。通過用於DB Connect的Splunk載入項安裝Oracle驅動程式。按一下 Login to Download 如下圖所示。

按一下 Download.

在「首頁」(Home)選單中，按一下旁邊的「齒輪」(Gear)圖示 Apps 如下圖所示。

按一下 Install App from File.

選擇「File downloaded early（之前下載的檔案）」 ，然後按一下 Upload如下圖所示。

導航至 Apps > Splunk DB Connect > Configuration > Settings > Drivers點選 Reload.Oracle 驅動程式必須顯示為 Installed.

3.配置Splunk DB Connect應用標識

附註： 若要使Splunk DB Connect應用正常工作，必須安裝Java(SE)。出於此App Java(SE)的目的，安裝了11。

C:\Users\Administrator>java --version
java 11.0.15.1 2022-04-22 LTS
Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

C:\Users\Administrator>

導航至 Apps > Splunk DB Connect > Configuration > Databases > Identities 然後點選 New Identity.

配置 Identity Name （任意值）， Username (dataconnect)和 Password 自 Step 1. 然後點選 Save.

4.配置Splunk DB Connect應用連線

導航至 Apps > Splunk DB Connect > Configuration > Databases > Connections 然後按一下 New Connection.

配置 Connection Name （任意值）。 選擇 Identity 自 Configure Splunk DB Connect App Identity步。選擇 Connection Type 作為 Oracle.將覈取方塊標籤為與 Edit JDBC URL 並貼上值：

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

必須在步驟中用MNT節點的IP地址替換主機 Enable Data Connect 如下圖所示。

向下滾動到Certificate部分並貼上的內容 DataConnectCertificate.pem 證書檔案並按一下 Save 如下圖所示。

5.配置Splunk DB連線輸入

導航至 Apps > Splunk DB Connect > Data Lab > Inputs  and按一下 New Input.

選擇步驟中配置的連線 Configure Splunk DB Connect App Connection .輸入您要用於輪詢的查詢，在此示例中，使用Authentication by ISE Node查詢：

select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

按一下 Execute SQL 為了確保查詢正常工作，還需要進一步進行查詢。按一下 Next 如下圖所示。

設定輸入 Name（任意值）。 選擇 Application 作為 Splunk DB Connect.設定 Execution Frequency （向ISE傳送查詢的頻率）。

配置 Source Type 和 Input.

驗證

使用本節內容，確認您的組態是否正常運作。

要驗證和直觀顯示響應中的資料，請導航至 Apps > Splunk DB Connect > Data Lab > Inputs.按一下 Find Events.

從 Events 選單，您可以導航到 Visualization.

您可以調整「搜尋」(Search)選單並選擇所選的視覺化(Visualization)。示例中的查詢使用timechart並根據通過的最大身份驗證嘗試次數構建圖形。

index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。