CiscoISEモニタリング
最終更新日: 28 年 2024 月 XNUMX 日概要
LogicMonitorのCiscoIdentity Services Engine(ISE)監視パッケージは、ISE APIを使用して、エンドポイント、ユーザー、セッションなどを監視します。 RADIUSまたはTACACSプロトコルの合成トランザクションも、RADIUSまたはTACACSサーバーへの認証をテストするために開始されます。
互換性
2024 年 XNUMX 月現在、LogicMonitor の Cisco ISE パッケージは次のものと互換性があることがわかっています。
- RADIUSおよびTACACS認証のすべてのバージョン
- Cisco Identity Services Engine 2.6 から 3.3
セットアップ要件
- Cisco ISEモニタリングには、29.100以降のコレクタバージョンを使用する必要があります( RADIUS_SyntheticTransaction, TACACS_SyntheticTransactionまたは Cisco_ISE_TACACS + _Ports LogicModules)
- Cisco ISEリソースは、MnTAPIへのHTTPSアクセスを許可する必要があります
- Cisco ISE リソースは、外部モニタリングを可能にする MnT モードに設定されたモニタリング ノードである必要があります。ノードの監視の詳細については、を参照してください。 Cisco Identity Services Engine 設定ガイド.
モニタリングへのリソースの追加
CiscoISEノードをモニタリングに追加します。 監視にリソースを追加する方法の詳細については、を参照してください。 デバイスの追加.
資格情報を取得する
LogicMonitorは、Cisco ISE APIリソースのデータに正常にアクセスするために、適切なクレデンシャルを提供する必要があります。 これらの資格情報は、ISE MnT APIにアクセスするための適切なアクセス許可が割り当てられているユーザーアカウントに属している必要があります(ERS APIと混同しないでください)。 次に説明するように、これらの資格情報はLogicMonitor内のプロパティとして割り当てられます。
Cisco ISE API の詳細については、次を参照してください。 Cisco Identity Services EngineAPIリファレンスガイド.
リソースへのプロパティの割り当て
次のカスタムプロパティのセットは、LogicMonitor内のCiscoISEノードで設定する必要があります。 プロパティの設定の詳細については、を参照してください。 リソースとインスタンスのプロパティ.
MnTAPIプロパティ
プロパティ | 値 |
ise.monitoring.user(またはise.user) | MnTAPIユーザー名 |
ise.monitoring.pass(またはise.pass) | MnTAPIパスワード |
ise.モニタリング.ポート | MnT APIポート(オプション、明示的に設定されていない場合、デフォルトは443) |
RADIUS認証のプロパティ
プロパティ | 値 |
半径.ユーザー | RADIUS認証ユーザー |
半径.パス | RADIUS認証パスワード |
radius.key(またはradius.secret) | 認証に使用される秘密鍵 |
半径.ポート | RADIUSサーバーの接続ポート(オプション、明示的に設定されていない場合、デフォルトは1812) |
RADIUS.auth | 使用中の認証プロトコル(オプション、明示的に設定されていない場合はデフォルトで「pap」。その他の許容値は「chap」です。) |
TACACS認証プロパティ
プロパティ | 値 |
tacacs.user | TACACS認証ユーザー |
tacacs.pass | TACACS認証パスワード |
tacacs.key(またはtacacs.secret) | 認証に使用される秘密鍵 |
tacacs.ポート | TACACSサーバーの接続ポート(オプション、明示的に設定されていない場合はデフォルトで49) |
tacacs.auth | 使用中の認証プロトコル(オプション、明示的に設定されていない場合はデフォルトで「pap」。その他の許容値は「chap」です。) |
LogicModulesをインポートする
LogicMonitorパブリックリポジトリから、にリストされているすべてのCisco ISELogicModuleをインポートします。 パッケージ内のLogicModules このサポート記事のセクション。 これらのLogicModuleがすでに存在する場合は、最新バージョンであることを確認してください。
LogicModulesがインポートされると(以前のセットアップ要件がすべて満たされていると仮定して)、データ収集が自動的に開始されます。
トラブルシューティング
問題:MnTAPIへの接続の失敗
これは通常、次のいずれかの結果です。
- 誤った資格情報(またはMnTAPIではなくERSAPIに設定されている資格情報)
- ノードがMnTに設定されていません
- ポート指定が正しくありません
問題:RADIUS / TACACS合成トランザクションの失敗
これらのプロトコルは、一般的なテストツールで使用される標準に準拠しており、誤った資格情報でのみ失敗することが予想されます。 資格情報が正しい場合は、LogicMonitor Collectorの試行された接続がデフォルトでブロックされていないことを確認してください(たとえば、許可リストまたは拒否リストの結果として拒否されます)。
パッケージ内のLogicModules
Cisco ISE用のLogicMonitorのパッケージは、次のLogicModuleで構成されています。 完全にカバーするには、これらのLogicModuleがすべてLogicMonitorプラットフォームにインポートされていることを確認してください。
表示名 | 種類 | Description |
addCategory_Cisco_ISE_MnT | プロパティソース | ISEバージョン情報をチェックして、MnTノードを識別します。 |
ISEユーザーセッション | データソース | 各ユーザーのアクティブなセッションの数を監視します。 |
ISE合計アクティブユーザー | データソース | すべてのアクティブなセッションにわたる一意のユーザーの数。 |
ISEサーバーセッション | データソース | 各サーバーでアクティブなセッションの数を監視します。 |
ISEプロファイラーサービスセッション | データソース | プロファイラは、Cisco ISEネットワークに接続されているすべてのエンドポイントの機能を識別、特定、および決定するのに役立つサービスです。 |
ISEポスチャエンドポイント | データソース | ポスチャは、Cisco ISEネットワークに接続するすべてのエンドポイントの状態(またはポスチャ)のチェックを支援するサービスです。 Cisco ISEは、NACエージェントを使用してデバイスのポスチャコンプライアンスをチェックします。 |
ISEアクティブセッション | データソース | ISE MnTAPIのSession / ActiveCountエンドポイントからの統計。 |
Cisco ISE:TACACS +ポート | データソース | Cisco ISE TACACS +のポート49(またはtacacs.portプロパティに入力されたデフォルト以外のポート)が開いているかどうかを確認します。 |
TACACS合成トランザクション | データソース | TACACSサーバーへの認証をテストします。 |
RADIUS合成トランザクション | データソース | RADIUSサーバーへの認証をテストします。 |
このパッケージのデータソースによって追跡されるさまざまなメトリックに静的データポイントのしきい値を設定する場合、LogicMonitorはテクノロジ所有者のベストプラクティスのKPI推奨事項に従います。 必要に応じて、これらの事前定義されたしきい値を調整して、環境固有のニーズを満たすことをお勧めします。 データポイントのしきい値の調整の詳細については、を参照してください。 データポイントの静的しきい値の調整.