Fehlerbehebung bei ISE-Integration

Download-Optionen

  • PDF     (1.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.5 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (926.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. April 2024
Dokument-ID:221834

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Schritte zur Fehlerbehebung bei der Integration von CyberVision Center in die ISE beschrieben.

    Überblick über Best Practices

    Best Practices sind die empfohlenen Schritte, die Sie berücksichtigen müssen, um den korrekten Betrieb der Systemkonfiguration sicherzustellen. Empfehlungen:

    • Die neuesten Funktionen, Richtlinien, Einschränkungen und Probleme finden Sie in den Versionshinweisen zu Cisco Cyber Vision und der Cisco Identity Services Engine (ISE).
    • Überprüfung und Problembehebung bei neuen Konfigurationsänderungen nach deren Implementierung

    CCV-ISE - Detailliertes Flussdiagramm

    Integration von CCV und ISE - Flussdiagramm

    Richtlinien zur Fehlerbehebung

    Indem Sie die folgenden Fragen beantworten, können Sie den Fehlerbehebungspfad und die Komponenten ermitteln, die weiter untersucht werden müssen. Beantworten Sie die folgenden Fragen, um den Status Ihrer Installation zu ermitteln:

    • Handelt es sich um ein neu installiertes System oder um eine bestehende Installation?
    • Konnte CyberVision die ISE jemals sehen?

    Überprüfen Sie den Status der pxGrid-Dienste mithilfe des Befehls systemctl status pxgrid-agent.

    pxGrid-Agentdienststatus in CCV CLI

    • Wird pxGrid auf der ISE in hoher Verfügbarkeit ausgeführt?
    • Was hat sich in der Konfiguration oder in der Infrastruktur insgesamt geändert, unmittelbar bevor die Anwendungen Probleme aufwiesen?
      •

    Um ein Netzwerkproblem zu erkennen, gehen Sie zur allgemeinen Fehlerbehebung wie folgt vor:

    Schritt 1: Können Sie einen Ping an den CyberVision Center-Hostnamen von der ISE senden?

    Ping-Status von ISE in Richtung Mitte

    Wenn Sie keinen Ping-Befehl senden können, stellen Sie über Secure Shell (SSH) und Add hostname eine Verbindung mit der ISE-CLI her.

    Hinzufügen des Hostnamens in der ISE

    Schritt 2: Können Sie einen Ping an den ISE-Hostnamen im CyberVision Center senden?

    Ping-Status von Center zur ISE

    Falls nicht, versuchen Sie, den ISE-Hostnamen zur /data/etc/hosts Datei im Center hinzuzufügen.

    Hinzufügen eines Hostnamens im CCV Center

    Schritt 3: Erkennen von Zertifikatproblemen


    Geben Sie den Befehl openssl s_client -connect YourISEHostname:8910 von CyberVision Center ein.

    Zertifikatprobleme im Center werden erkannt.

    Zu erfassende Daten

    Netzwerkprobleme:

    • Architektur:
      •

    Ein Schema, das diese Details zwischen dem Center und der ISE zeigt, ist hilfreich:

    • Firewall-Regeln
    • Statische Routen
    • Konfiguration des Gateways
    • VLAN-Konfigurationen
      •
    • Protokolle für alle ISE-Probleme:
      •

    Sie können beginnen, indem Sie eine Center-Diagnosedatei sammeln, um Datenverlust zu vermeiden.

    Erfassen der CCV Center-Diagnose

    Aktivieren Sie dann erweiterte Protokolle auf dem Center mit diesem Verfahren:
    Erstellen Sie zwei Dateien im Ordner /data/etc/sbs.
    Die erste Datei muss einen Namen haben und den folgenden Inhalt enthaltenlistener.conf:

    (Beachten Sie die führenden Leerzeichen vor der Protokollstufe.)

    root@Center:~# cat /data/etc/sbs/listener.conf
    configlog:
     loglevel: debug
    root@Center:~#

    Die zweite Datei muss einen Namen haben und den folgenden Inhalt enthaltenpxgrid-agent.conf:

    (Beachten Sie die führenden Leerzeichen vor der Protokollstufe.) 

    root@Center:~# cat /data/etc/sbs/pxgrid-agent.conf
    configlog:
     loglevel: debug

    Wenn beide Dateien erstellt wurden, starten Sie das Center neu, oder starten Sie den sbs-burrow Server und die pxgrid-agent Dienste neu.

    Restart service using the command: 
    #systemctl restart sbs-burrow
    #systemctl restart pxgrid-agent

    Sammeln Sie dann die pxGrid-Protokolle (verwenden Sie die Dateiübertragungstools, um die Protokolle aus dem Center zu exportieren).

    root@Center:~# journalctl -u pxgrid-agent > /data/tmp/pxgridLogs.log

    Sammeln Sie tcpdump-Aufnahmen für die Analyse des Kommunikationsflusses zwischen dem Center und der ISE.

    root@Center:~# tcpdump -i eth0 -n host CCV_IP and host ISE_IP -w /data/tmp/ccv_ise.pcap
    • Aktivieren Sie Debugs auf der ISE, und sammeln Sie das Supportpaket.
      •

    Um das Debuggen auf der ISE zu aktivieren, navigieren Sie zu Administration > System > Logging > Debug Log Configuration. Protokollstufen auf folgende Werte festlegen:

    Person

    Komponentenname

    Protokollstufe

    Zu prüfende Datei

    PAN (optional)

    Profiler

    DEBUG

    Profiler.log

    PSN mit aktivierter pxGrid-Überprüfung

    Profiler

    DEBUG

    Profiler.log

    PxGrid

    pxgrid

    NACHVERFOLGUNG

    pxgrid-server.log

    Erwartete Protokollnachrichten

    Debug-Protokolle des pxGrid-Agenten in der Zentrale zeigen den gestarteten Agenten, den registrierten Service, Cisco Cyber Vision (CCV) Herstellen einer einfachen (oder Streaming) Text Oriented Messaging Protocol (STOMP)-Verbindung mit ISE und Senden eines Update-Vorgangs für eine Ressource/Komponente:

    Jul 11 13:05:02 center systemd[1]: Started Agent for interfacing with pxGrid.
    Jul 11 13:05:02 center pxgrid-agent[5404]: pxgrid-agent Center type: standalone [caller=postgres.go:543]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:119]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent HTTP server listening to: '169.254.0.90:2027' [caller=main.go:154]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={} [caller=control.go:147]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Account activated [caller=pxgrid.go:58]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset","restBaseUrl":"https://Center:8910/
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Service registered, ID: c514c790-2361-47b5-976d-4a1b5ccfa8b7 [caller=pxgrid.go:76]
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup body={"name":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:05 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccessSecret body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:06 center pxgrid-agent[5404]: pxgrid-agent Websocket connect url=wss://labise. aaalab .com:8910/pxgrid/ise/pubsub [caller=endpoint.go:129]
    Jul 11 13:05:07 center pxgrid-agent[5404]: pxgrid-agent STOMP CONNECT host=10.48.78.177 [caller=endpoint.go:138]
    Jul 11 13:06:59 center pxgrid-agent[5404]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"01:80:c2:00:00:00","assetName":"LLDP/STP bridges Multicast 0:0:0","assetIpAddress"
    Jul 11 13:10:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister body={"id":"c514c790-2361-47b5-976d-4a1b5ccfa8b7"} [caller=control.go:147]


    Das erwartete Nachrichtenformat nach erfolgreicher Integration und das Attribut 'assetGroup' wird ohne Wert veröffentlicht, wie dargestellt:

     Jan 25 11:05:49 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":""},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":""}],"assetConnectedLinks":[]}} length=513 [caller=endpoint.go:149]

    Erwartetes Nachrichtenformat (AssetGroup mit einem Wert, wie dargestellt). Dies bestätigt, dass CyberVision Center die Attribute sendet. Wenn diese Attribute auf der ISE-Seite nicht weiter berücksichtigt werden, müssen Sie die Informationen zusammen mit der ISE weiter untersuchen.

    Jan 25 11:09:28 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":"test group"},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":"test group"}],"assetConnectedLinks":[]}} length=533 [caller=endpoint.go:149]

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    15-Apr-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Venkat R
      Cisco TAC-Techniker
    • Jaswanth D K
      Cisco Engineering
    • Walid Boudaa
      Cisco Engineering

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren