CiscoISEモニタリング

最終更新日: 28 年 2024 月 XNUMX 日

概要

LogicMonitorのCiscoIdentity Services Engine(ISE)監視パッケージは、ISE APIを使用して、エンドポイント、ユーザー、セッションなどを監視します。 RADIUSまたはTACACSプロトコルの合成トランザクションも、RADIUSまたはTACACSサーバーへの認証をテストするために開始されます。

互換性

2024 年 XNUMX 月現在、LogicMonitor の Cisco ISE パッケージは次のものと互換性があることがわかっています。

  • RADIUSおよびTACACS認証のすべてのバージョン
  • Cisco Identity Services Engine 2.6 から 3.3

セットアップ要件

  • Cisco ISEモニタリングには、29.100以降のコレクタバージョンを使用する必要があります( RADIUS_SyntheticTransaction, TACACS_SyntheticTransactionまたは Cisco_ISE_TACACS + _Ports LogicModules)
  • Cisco ISEリソースは、MnTAPIへのHTTPSアクセスを許可する必要があります
  • Cisco ISE リソースは、外部モニタリングを可能にする MnT モードに設定されたモニタリング ノードである必要があります。ノードの監視の詳細については、を参照してください。 Cisco Identity Services Engine 設定ガイド.

モニタリングへのリソースの追加

CiscoISEノードをモニタリングに追加します。 監視にリソースを追加する方法の詳細については、を参照してください。 デバイスの追加.

資格情報を取得する

LogicMonitorは、Cisco ISE APIリソースのデータに正常にアクセスするために、適切なクレデンシャルを提供する必要があります。 これらの資格情報は、ISE MnT APIにアクセスするための適切なアクセス許可が割り当てられているユーザーアカウントに属している必要があります(ERS APIと混同しないでください)。 次に説明するように、これらの資格情報はLogicMonitor内のプロパティとして割り当てられます。

Cisco ISE API の詳細については、次を参照してください。 Cisco Identity Services EngineAPIリファレンスガイド.

リソースへのプロパティの割り当て

次のカスタムプロパティのセットは、LogicMonitor内のCiscoISEノードで設定する必要があります。 プロパティの設定の詳細については、を参照してください。 リソースとインスタンスのプロパティ.

MnTAPIプロパティ
プロパティ
ise.monitoring.user(またはise.user)MnTAPIユーザー名
ise.monitoring.pass(またはise.pass)MnTAPIパスワード
ise.モニタリング.ポートMnT APIポート(オプション、明示的に設定されていない場合、デフォルトは443)
RADIUS認証のプロパティ
プロパティ
半径.ユーザーRADIUS認証ユーザー
半径.パスRADIUS認証パスワード
radius.key(またはradius.secret)認証に使用される秘密鍵
半径.ポートRADIUSサーバーの接続ポート(オプション、明示的に設定されていない場合、デフォルトは1812)
RADIUS.auth使用中の認証プロトコル(オプション、明示的に設定されていない場合はデフォルトで「pap」。その他の許容値は「chap」です。)
TACACS認証プロパティ
プロパティ
tacacs.userTACACS認証ユーザー
tacacs.passTACACS認証パスワード
tacacs.key(またはtacacs.secret)認証に使用される秘密鍵
tacacs.ポートTACACSサーバーの接続ポート(オプション、明示的に設定されていない場合はデフォルトで49)
tacacs.auth使用中の認証プロトコル(オプション、明示的に設定されていない場合はデフォルトで「pap」。その他の許容値は「chap」です。)

LogicModulesをインポートする

LogicMonitorパブリックリポジトリから、にリストされているすべてのCisco ISELogicModuleをインポートします。 パッケージ内のLogicModules このサポート記事のセクション。 これらのLogicModuleがすでに存在する場合は、最新バージョンであることを確認してください。

LogicModulesがインポートされると(以前のセットアップ要件がすべて満たされていると仮定して)、データ収集が自動的に開始されます。

トラブルシューティング

問題:MnTAPIへの接続の失敗

これは通常、次のいずれかの結果です。

  • 誤った資格情報(またはMnTAPIではなくERSAPIに設定されている資格情報)
  • ノードがMnTに設定されていません
  • ポート指定が正しくありません
問題:RADIUS / TACACS合成トランザクションの失敗

これらのプロトコルは、一般的なテストツールで使用される標準に準拠しており、誤った資格情報でのみ失敗することが予想されます。 資格情報が正しい場合は、LogicMonitor Collectorの試行された接続がデフォルトでブロックされていないことを確認してください(たとえば、許可リストまたは拒否リストの結果として拒否されます)。

パッケージ内のLogicModules

Cisco ISE用のLogicMonitorのパッケージは、次のLogicModuleで構成されています。 完全にカバーするには、これらのLogicModuleがすべてLogicMonitorプラットフォームにインポートされていることを確認してください。

表示名種類Description
addCategory_Cisco_ISE_MnTプロパティソースISEバージョン情報をチェックして、MnTノードを識別します。
ISEユーザーセッションデータソース各ユーザーのアクティブなセッションの数を監視します。
ISE合計アクティブユーザーデータソースすべてのアクティブなセッションにわたる一意のユーザーの数。
ISEサーバーセッションデータソース各サーバーでアクティブなセッションの数を監視します。
ISEプロファイラーサービスセッションデータソースプロファイラは、Cisco ISEネットワークに接続されているすべてのエンドポイントの機能を識別、特定、および決定するのに役立つサービスです。
ISEポスチャエンドポイントデータソースポスチャは、Cisco ISEネットワークに接続するすべてのエンドポイントの状態(またはポスチャ)のチェックを支援するサービスです。 Cisco ISEは、NACエージェントを使用してデバイスのポスチャコンプライアンスをチェックします。
ISEアクティブセッションデータソースISE MnTAPIのSession / ActiveCountエンドポイントからの統計。
Cisco ISE:TACACS +ポートデータソースCisco ISE TACACS +のポート49(またはtacacs.portプロパティに入力されたデフォルト以外のポート)が開いているかどうかを確認します。
TACACS合成トランザクションデータソースTACACSサーバーへの認証をテストします。
RADIUS合成トランザクションデータソースRADIUSサーバーへの認証をテストします。

このパッケージのデータソースによって追跡されるさまざまなメトリックに静的データポイントのしきい値を設定する場合、LogicMonitorはテクノロジ所有者のベストプラクティスのKPI推奨事項に従います。 必要に応じて、これらの事前定義されたしきい値を調整して、環境固有のニーズを満たすことをお勧めします。 データポイントのしきい値の調整の詳細については、を参照してください。 データポイントの静的しきい値の調整.

記事上で