SplunkとのISE 3.2 Data Connect統合の設定

概要

このドキュメントでは、Cisco Identity Services Engine(ISE)3.2とSplunk over Data Connectの統合を設定して、ISEデータベースからレポートデータを直接取得する方法について説明します。独自のクエリを作成し、独自のレポートを作成することができます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

1. Cisco ISE 3.2
2. Oracleクエリに関する基礎知識
3. Splunk

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

1. Cisco ISE 3.2
2. Splunk 9.0.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

設定

ステップ1:ISEデータ接続の設定

1.データ接続の有効化

ISEで、 Administration > System > Settings > Data Connectボタンを Data Connect.パスワードを入力し、 Save .

データ接続の設定を書き留めます。次の設定があります User Name, Hostname, Port, and Service Name .分散導入では、セカンダリMNTでデータ接続がデフォルトで有効になっています。フェールオーバーのシナリオの詳細については、『管理者ガイド』を参照してください。

2.データ接続証明書のエクスポート

操作 Step 1.データ接続証明書の作成をトリガーしました。これは、データ接続を介してISEにクエリを実行するクライアントによって信頼される必要があります。

証明書をエクスポートするには、 Administration > System > Settings > Cetificate Management > Trusted Certificates[Certificate with]を選択します。 Data Connect Certificate [Friendly Name]をクリックし、 Export .

証明書はPEM形式でエクスポートされます。

ステップ2:Splunkの設定

注： Splunkのインストールは、このドキュメントの範囲外です。

1. Splunk DB Connect Appのインストール

クリック + Find More Apps を選択します。

Splunk DB Connect [search]メニューで、[on]をクリックします。 Install反対の Splunk DB Connect 図に示すようにアプリ。

Splunkクレデンシャルを入力して、アプリケーションをインストールします。クリック Agree and Install を参照してください。

アプリのインストールには再起動が必要です。 Restart Now.

2. Oracleドライバのインストール

Splunkのドキュメントによると、JDBCドライバをインストールする必要があります。DB Connect用のSplunkアドオンを使用してOracleドライバをインストールします。クリック Login to Download を参照してください。

クリック Download.

[Home]メニューで、 Apps を参照してください。

クリック Install App from File.

[File downloaded earlier]を選択し、 Uploadを参照してください。

移動先 Apps > Splunk DB Connect > Configuration > Settings > Driversクリック Reload.Oracle ドライバは Installed.

3. Splunk DB Connect App Identityの設定

注： Splunk DB Connect Appを動作させるには、Java(SE)がインストールされている必要があります。このApp Java(SE)の目的のために、11がインストールされています。

C:\Users\Administrator>java --version
java 11.0.15.1 2022-04-22 LTS
Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

C:\Users\Administrator>

移動先 Apps > Splunk DB Connect > Configuration > Databases > Identities をクリックし、 New Identity.

Cisco IOSソフトウェアの Identity Name （任意の値）、 Username (dataconnect)および Password 変更前 Step 1. をクリックし、 Save.

4. Splunk DB Connect App Connectionの設定

移動先 Apps > Splunk DB Connect > Configuration > Databases > Connections をクリックし、 New Connection.

Cisco IOSソフトウェアの Connection Name （任意の値）。 選択 Identity 変更前 Configure Splunk DB Connect App Identitystep.選択 Connection Type as Oracle.チェックボックスを Edit JDBC URL 値を貼り付けます。

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

HOSTは、この手順のMNTノードのIPアドレスに置き換える必要があります Enable Data Connect を参照してください。

[Certificate]セクションまで下にスクロールし、内容を貼り付けます。 DataConnectCertificate.pem 証明書ファイルを作成し、 Save を参照してください。

5. Splunk DB Connect入力の設定

移動先 Apps > Splunk DB Connect > Data Lab > Inputs  andクリック New Input.

ステップで設定したConnectionを選択します Configure Splunk DB Connect App Connection .ポーリングに使用するクエリを入力します。この例では、[Authentication by ISE Node]クエリを使用します。

select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

クリック Execute SQL クエリが機能するようにするには、さらに先に進む必要があります。クリック Next を参照してください。

入力の設定 Name（任意の値）。 選択 Application as Splunk DB Connect.設定 Execution Frequency （クエリがISEに送信される頻度）。

Cisco IOSソフトウェアの Source Type と Input.

確認

ここでは、設定が正常に機能しているかどうかを確認します。

応答のデータを確認して可視化するには、に移動します。 Apps > Splunk DB Connect > Data Lab > Inputs.クリック Find Events.

Events メニューを表示し、 Visualization.

「サーチ」(Search)メニューを調整し、任意のビジュアライゼーションを選択できます。この例のクエリでは、timechartを使用し、最大許容認証試行数に基づいてグラフを作成します。

index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。