Configurazione dell'integrazione di ISE 3.2 Data Connect con Splunk

Opzioni per il download

  • PDF     (943.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:22 settembre 2022
ID documento:218190

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare l'integrazione di Cisco Identity Services Engine (ISE) 3.2 con Splunk over Data Connect per recuperare i dati di report direttamente dal database ISE. È possibile creare query personalizzate e creare report personalizzati.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    1. Cisco ISE 3.2
    2. Conoscenze base delle query Oracle
    3. Splunk

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    1. Cisco ISE 3.2
    2. Splunk 9.0.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Configurazioni

    Passaggio 1. Configurazione delle impostazioni di ISE Data Connect

    1. Abilita connessione dati

    Ad ISE, passare a Administration > System > Settings > Data Connecte contrassegnare il pulsante Data Connect. Immettere la password e fare clic su Save .

    Data Connect Configuration

    Prendere nota delle impostazioni di connessione dati, che includono User Name, Hostname, Port, and Service Name .Per impostazione predefinita, Data Connect è abilitato su MNT secondario in una distribuzione distribuita. Per ulteriori informazioni sugli scenari di failover, vedere la Guida dell'amministratore.

    Data Connect Node settings

    2. Esporta certificato di connessione dati

    Operazione in Step 1.ha attivato la creazione del certificato di connessione dati. Deve essere considerato attendibile dai client che interrogano ISE su Data Connect.

    Per esportare il certificato, passare a Administration > System > Settings > Cetificate Management > Trusted Certificates,selezionare Certificato con Data Connect Certificate Nome descrittivo e fai clic su Export .

    Trusted Certificates

    Il certificato viene esportato in formato PEM.

    DataConnect Certificate

    Passaggio 2. Configurare Splunk

    Nota: L'installazione di Splunk esula dall'ambito di questo documento.

    1. Installare l'app Splunk DB Connect

    Fare clic su + Find More Apps dal menu principale.

    Splunk. Menu

    Inserire Splunk DB Connect nel menu cerca e fare clic su Installcontro Splunk DB Connect App come mostrato nell'immagine.

    Splunk. Settings

    Immettere le credenziali Splunk per installare l'app. Fare clic su Agree and Install come mostrato nell'immagine.

    Splunk. Password Settings

    L'installazione dell'app richiede il riavvio. Fare clic su Restart Now.

    Splunk. DB Installation

    2. Installare i driver Oracle

    Come nella documentazione di Splunk, è necessario installare i driver JDBC. Installare il driver Oracle tramite i componenti aggiuntivi Splunk per DB Connect. Fare clic su Login to Download come mostrato nell'immagine.

    Splunk. DBX Add-on 1

    Fare clic su Download.

    Splunk. DBX Add-on 2

    Dal menu Pagina iniziale, fare clic sull'icona Ingranaggio accanto a Apps come mostrato nell'immagine.

    Splunk. Settings

    Fare clic su Install App from File.

    Splunk. App installation 1

    Selezionare File scaricato in precedenza e fare clic su Uploadcome mostrato nell'immagine.

    Splunk. App installation 2

    Passa a Apps > Splunk DB Connect > Configuration > Settings > Driversfare clic su Reload.Oracle il driver deve essere visualizzato come Installed.

    Splunk. App installation 3

    3. Configurare l'identità dell'app Splunk DB Connect

    Nota: Affinché Splunk DB Connect App funzioni, è necessario installare Java (SE). Ai fini di questa App Java (SE), 11 è installato.

    C:\Users\Administrator>java --version
    java 11.0.15.1 2022-04-22 LTS
    Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
    Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

    C:\Users\Administrator>

    Passa a Apps > Splunk DB Connect > Configuration > Databases > Identities e fai clic su New Identity.

    Splunk. Identity 1

    Configurare Identity Name (valore arbitrario), Username (dataconnect) e Password da Step 1. e fai clic su Save.

    Splunk. Identity 2

    4. Configurare la connessione dell'app Splunk DB Connect

    Passa a Apps > Splunk DB Connect > Configuration > Databases > Connections e poi fai clic su New Connection.

    Splunk. Connection 1

    Configurare Connection Name (valore arbitrario). Seleziona Identity da Configure Splunk DB Connect App Identitypassaggio. Seleziona Connection Type come Oracle. Contrassegnare la casella di controllo con Edit JDBC URL e incollare il valore:

    jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

    L'HOST deve essere sostituito con l'indirizzo IP del nodo MNT dalla fase Enable Data Connect come mostrato nell'immagine.

    Splunk. Connection 2

    Scorrere fino alla sezione Certificato e incollare il contenuto di DataConnectCertificate.pem e fare clic su Save come mostrato nell'immagine.

    Splunk. Connection 3

    5. Configurare gli input della connessione al database Splunk

    Passa a Apps > Splunk DB Connect > Data Lab > Inputs  andfare clic New Input.

    Splunk. Input 1

    Selezionare Connessione configurata nel passaggio Configure Splunk DB Connect App Connection .Immettere la query che si desidera utilizzare per il polling. In questo esempio viene utilizzata la query Authentication by ISE Node:

    select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

    Clic Execute SQL per garantire il funzionamento della query, è inoltre necessario procedere oltre. Fare clic su Next come mostrato nell'immagine.

    Splunk. Input 2

    Configurare l'input Name(valore arbitrario). Seleziona Application come Splunk DB Connect. Impostare Execution Frequency (la frequenza con cui l'interrogazione viene inviata all'ISE).

    Splunk. Input 3

    Configurare Source Type e Input.

    Splunk. Input 4

    Verifica

    Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

    Per verificare e visualizzare i dati delle risposte, passare a Apps > Splunk DB Connect > Data Lab > Inputs. Fare clic su Find Events.

    Splunk. Events 1

    Dal Events , è possibile passare a Visualization.

    Splunk. Events 2

    È possibile regolare il menu Cerca e selezionare la Visualizzazione desiderata. La query nell'esempio utilizza un grafico cronologico e crea il grafico in base al numero massimo di tentativi di autenticazione passati.

    index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

    Splunk. Events 3

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    23-Sep-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Eugene Korneychuk
      Responsabile tecnico TAC

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti