簡介
本文檔介紹使用PostMan作為REST客戶端通過ERS API觸發和下載ISE支援捆綁的過程。
必要條件
需求
思科建議您瞭解以下主題:
- ISE
- 外部RESTful服務
- REST的客戶包括郵遞員、REST和失眠等。
採用元件
本檔案中的資訊是根據以下軟體版本:
- Cisco ISE 3.1補丁6
- Postman REST客戶端v10.17.4
注意:其他ISE版本和REST客戶端的步驟相似或相同。您可以對所有2.x和3.x ISE軟體版本使用這些步驟,除非另有說明。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
啟用ERS(埠9060)
ERS API是僅使用HTTPS的REST API,通過埠443和埠9060運行。埠9060預設關閉,因此需要先將其開啟。 如果嘗試訪問此埠的客戶端不首先啟用ERS,則會顯示伺服器超時。因此,第一個要求是從思科ISE管理員UI啟用ERS。
導航到Administration > Settings > API Settings並啟用ERS(讀/寫)切換按鈕。
![Configure ERS Setting](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-00.png)
註:ERS API支援TLS 1.1和TLS 1.2。無論在Cisco ISE GUI的「安全設定」(Security Settings)視窗(Administration > System > Settings > Security Settings)中啟用TLS 1.0,ERS API都不支援TLS 1.0。在「安全設定」視窗中啟用TLS 1.0僅與EAP協定相關,不會影響ERS API。
建立ERS管理員
建立思科ISE管理員,分配密碼,並將使用者作為ERS管理員新增到管理員組。您可以將配置的其餘部分留空。
![Create ERS User](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-01.png)
設定郵遞員
下載或使用線上版Postman。
- 通過按一下「工作區」(Workspaces)頁籤下的「建立工作區」(Create Workspace)建立使用者並建立工作區。
![Setup Postman Workspace](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-02.png)
2.選擇空白工作區,並為工作區分配名稱。您可以新增描述並將其公開。 在本示例中選擇了Personalis。
![Postman Workspace Access Type](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-03.png)
建立工作區後,您現在可以配置我們的API呼叫。
觸發器支援套件
要配置任何呼叫,首先允許訪問ISE ERS SDK(軟體開發工具包)。此工具編譯ISE可以執行的所有API呼叫清單:
- 轉到https://{ise-ip}/ers/sdk
- 使用您的ISE管理員憑據登入。
- 展開API文檔
- 向下滾動,直到找到Support Bundle Trigger Configuration,然後按一下它。
- 在此選項下,您現在可在ISE上找到可為此選項執行的所有可用操作。選擇建立。
![API Create Details](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-04.png)
6.現在,您可以看到在任何Rest客戶端上使用XML或JSON執行API呼叫所需的配置,以及預期的響應示例。
7.返回到Postman可將基本身份驗證配置為ISE。在Authorization頁籤下,選擇Basic Auth作為身份驗證型別,並新增先前在ISE上建立的ISE ERS使用者憑據。
注意:除非在Postman上配置了變數,否則密碼顯示為明文
![Postman Authorization Settings](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-05.png)
8.在Postman中,移到Headers頁籤,並使用SDK中所看到的XML或JSON為API呼叫配置所需的標頭。在此示例中,使用JSON。 標頭配置必須如下所示:
![Postman Header Settings](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-06.png)
9.轉到 本文 標題和選擇 原始.這允許我們貼上觸發支援捆綁包所需的XML或JSON模板。
![Postman Body Settings](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-07.png)
10.將XML或JSON模板貼上到Body部分中,根據需要更改值:
XML:
http://www.w3.org/2001/XMLSchema" xmlns:ns1="ers.ise.cisco.com" xmlns:ers="ers.ise.cisco.com" description="Support Bundle Generation" name="
supportBundle">
Node hostname the SB is being collected from
mm/dd/yyyy
true|false
true|false
true|false
true|false
t
rue|false
true|false
true|false
mm/dd/yyyy
JSON:
{ "SupportBundle": { "name": "supportBundle", "description": "Support Bundle Generation", "hostName": "node hostname the SB is being collected from", "supportBundleIncludeOptions": { "includeConfigDB": true|false, "includeDebugLogs": true|false, "includeLocalLogs": true|false, "includeCoreFiles": true|false, "mntLogs": true|false, "includeSystemLogs": true|false, "policyXml": true|false, "fromDate": "mm/dd/yyyy", "toDate": "mm/dd/yyyy" } } }
11.選擇POST作為方法,貼上https://{ISE-ip}/ers/config/supportbundle,然後按一下Send。 如果所有配置都正確,您必須看到「201 Created」消息,結果為空。
![Postman POST Call](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-08.png)
檢查支援套件組合狀態
您可以確認是否通過運行一系列GET呼叫觸發或完成支援捆綁。
注意:根據從日誌收集的資訊量,支援捆綁包必須花費5-20分鐘才能完成。
- 在SDK上的Support Bundle Statustab 下選擇Get-All。您想要獲取ID,以便可以運行下一個GET呼叫。 如前所述,以下是執行呼叫所需的標頭以及預期的響應。
![API Status Details](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-09.png)
2. M轉到 標頭 頁籤並配置API呼叫所需的標頭,如SDK中所示。在此示例中,使用JSON。標頭配置必須如下所示:
![Postman Header Details](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-10.png)
3.選擇GET作為方法,貼上https://{ISE-ip}/ers/config/supportbundlestatus,然後按一下Send。 如果所有配置均正確,您必須看到「200 OK」消息以及觸發最後一個支援捆綁包的相關資訊的結果。此呼叫不會讓我們知道支援捆綁包是否成功完成。從此呼叫收集ID,以便可以在下次GET呼叫中使用它。
![Postman GET Call](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-11.png)
4.收集ID後,請轉到SDK(位於支援捆綁包狀態表下)並選擇Get-By-Id。如前所述,下面是執行呼叫所需的標頭以及預期的響應。
![API Status Details 2](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-12.png)
5. M轉到 標頭 頁籤並配置API呼叫所需的標頭,如SDK中所示。在此示例中,使用JSON。標頭配置必須如下所示:
![Postman Header Details 2](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-13.png)
6.選擇GET作為方法,貼上https://{ISE-ip}/ers/config/supportbundlestatus/{id} 和從步驟3收集的ID,最後按一下Send。 如果所有配置都正確,您必須看到「200 OK」消息和結果,其中顯示與上次觸發支援捆綁包完成與否相關的資訊。記下此呼叫的fileName,因為您需要PUT呼叫。
![Postman GET call 2](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-14.png)
下載支援套件組合
確認支援套件組合處於完成狀態後。您可以繼續下載。
- 在SDK上的Support Bundle Downloadtab下選擇Download SupportBundle。如前所述,以下是執行呼叫所需的標頭、XML和JSON模板以及預期的響應。
![API Download Details](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-15.png)
2. M轉到 標頭 頁籤並配置API呼叫所需的標頭,如SDK中所示。在此示例中,使用JSON。標頭配置必須如下所示:
![API Header Configuration 4](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-16.png)
3.轉到 本文 標題和選擇 原始.這允許我們貼上下載支援捆綁包所需的XML或JSON模板。
![Postman Body Settings](/c/dam/en/us/support/docs/security/identity-services-engine/221010-collect-ise-support-bundle-using-ers-api-17.png)
4. 在主體部分中貼上XML或JSON模板,根據需要更改值。檔名將是從步驟6收集的檔名(ise-support-bundle-pk-ise3-1test-external-09-26-2023-01-26.tar.gpg):
XML
http://www.w3.org/2001/XMLSchema" xmlns:ns1="ers.ise.cisco.com" xmlns:ers="ers.ise.cisco.com">
Support bundle file name to be picked for download
JSON:
{ "ErsSupportBundleDownload" : { "fileName" : "Support bundle file name to be picked for download" } }
5.選擇PUT作為方法,貼上https://{ISE-ip}/ers/config/supportbundledownload,然後按一下Send。 如果所有配置都正確,您必須看到「200 OK」消息並下載檔案。
驗證
如果您能夠訪問API服務GUI頁面,例如https://{iseip}:{port}/api/swagger-ui/index.html或https://{iseip}:9060/ers/sdk,則表示API服務正在按預期工作。
疑難排解
- 所有REST操作都經過稽核,並且日誌會記錄到系統日誌中。
- 要排除與Open API相關的問題,請在Debug Log Configuration視窗中將apiservice元件的Log Level設定為DEBUG。
- 要排除與ERS API相關的問題,請在Debug Log Configuration視窗中將ers元件的Log Level設定為DEBUG。要檢視此視窗,請導航至Cisco ISE GUI,點選選單圖示並選擇操作>故障排除>調試嚮導>調試日誌配置。
- 您可以從Download Logs(下載日誌)視窗下載日誌。要檢視此視窗,請導航至Cisco ISE GUI,點選選單圖示並選擇操作>故障排除>下載日誌。
- 您可以選擇通過按一下頁籤下的Download按鈕,從「Support Bundle」頁籤下載支援捆綁包,或者通過按一下api-service調試日誌的Log File值,從Debug Logs頁籤下載api-service調試日誌。