تكوين التنبيهات استنادا إلى نتائج التخويل على ISE 3.1
المحتويات
المقدمة
يصف هذا المستند الخطوات المطلوبة لتكوين تنبيهات استنادا إلى نتيجة التخويل لطلب مصادقة RADIUS على محرك خدمات الهوية (ISE).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بروتوكول RADIUS
- وصول مسؤول ISE
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى Identity Services Engine (ISE) 3.1.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
في هذا المثال، سيتم تكوين تنبيه مخصص لملف تعريف تخويل محدد بحد حد حد معين وإذا وصل ISE إلى حد العتبة في نهج التخويل الذي تم تكوينه، فسيتم تشغيل التنبيه.
التكوين
في هذا المثال، سنقوم بإنشاء تنبيه لملف تعريف التخويل ("ad_user") الذي تم دفعه عند تسجيل دخول مستخدم Active Directory (AD)، وسيتم تشغيل التنبيه استنادا إلى الحد الذي تم تكوينه.
الخطوة 1. انتقل إلى إدارة > نظام > إعدادات التنبيه.
الخطوة 2. تحت تشكيل التنبيه، انقر فوق إضافة لإنشاء تنبيه كما هو موضح في الصورة.
تنبيهات ISE 3.1 المستندة إلى نتائج التخويل - إعدادات التنبيه
الخطوة 3. حدد نوع التنبيه كنتيجة للتخويل وأدخل اسم التنبيه كما هو موضح في الصورة.
تنبيهات ISE 3.1 استنادا إلى نتائج التخويل - تكوين التنبيه
الخطوة 4. في قسم الحد، حدد التفويض في الفترة الزمنية التي تم تكوينها في الحد المنسدل وأدخل القيم المناسبة للعتبة والحقول الإلزامية. في قسم عامل التصفية، اتصل بملف تعريف التخويل الذي يجب تشغيل التنبيه له كما هو موضح في الصورة.
تنبيهات ISE 3.1 استنادا إلى نتائج التخويل - تكوين حد التنبيه
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
عندما يدفع ISE ملف تعريف التخويل المسمى في التنبيه لطلب مصادقة RADIUS ويفي بشرط العتبة ضمن الفاصل الزمني للاستقصاء، فإنه يطلق الإنذار الموجود في لوحة معلومات ISE كما هو موضح في الصورة. المشغل الخاص بالتنبيه ad_user profile هو أن التوصيف دفع أكثر من 5 مرات (قيمة الحد) في آخر 20 دقيقة (فاصل التحقق).
تنبيهات ISE 3.1 استنادا إلى نتائج التخويل - سجلات ISE المباشرة
الخطوة 1. للتحقق من التنبيه، انتقل إلى لوحة معلومات ISE وانقر فوق نافذة التنبيه. سيتم فتح صفحة ويب جديدة كما هو موضح:
تنبيهات ISE 3.1 استنادا إلى نتائج التخويل - إعلام التنبيه
الخطوة 2. للحصول على مزيد من التفاصيل عن التنبيه، حدد التنبيه، وسيعطي المزيد من التفاصيل حول المشغل والطابع الزمني للتنبيه.
تنبيهات ISE 3.1 استنادا إلى نتائج التخويل - تفاصيل التنبيه
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
لاستكشاف أخطاء التنبيه وإصلاحها، يجب تمكين مكون Cisco-mnt على عقدة المراقبة (MnT) عند إجراء تقييم التنبيه على عقدة MnT. انتقل إلى العمليات > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تكوين سجل الأخطاء. حدد العقدة التي تعمل عليها خدمات المراقبة وقم بتغيير مستوى السجل إلى تصحيح أخطاء اسم المكون Cisco-mnt كما هو موضح:
تنبيهات ISE 3.1 استنادا إلى نتائج التخويل - تكوين تصحيح أخطاء ISE
تسجيل القصاصات عند تشغيل التنبيه.
2021-10-06 00:40:00,001 DEBUG [MnT-TimerAlarms-Threadpool-4][] mnt.common.alarms.schedule.AlarmTaskRunner -::::- Running task for rule: AlarmRule[id=df861461-89d5-485b-b3e4-68e61d1d82fc,name=AD user profile,severity=2,isMandatory=false,enabled=true,description={65,108,97,114,109,32,116,111,32,109,111,110,105,116,111,114,32,97,117,116,104,111,114,105,122,97,116,105,111,110,32,114,101,115,117,108,116,115,32,97,110,100,32,97,99,116,105,118,101,32,115,101,115,115,105,111,110,115,46},
suggestedAction={67,104,101,99,107,37,50,48,121,111,117,114,37,50,48,110,101,116,119,111,114,107,37,50,48,111,114,37,50,48,67,105,115,99,111,37,50,48,73,83,69,37,50,48,99,111,110,102,105,103,117,114,97,116,105,111,110,37,50,48,99,104,97,110,103,101,115,37,50,48,102,111,114,37,50,48,97,110,121,37,50,48,100,105,115,99,114,101,112,97,110,99,105,101,115,46},detailsLink=#pageId=page_reports_details&pullOutId=authorizationResultAlarmDetails&definition=/Diagnostics/Authorization-Result-Alarm-Details.xml,
alarmTypeId=1065,isUserDefined=true,categoryId=1,enabledSyslog=true,emailAddress=[],customEmailText={},idConnectorNode=false]
2021-10-06 00:40:00,001 DEBUG [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Running custom alarm task for rule: AD user profile
2021-10-06 00:40:00,010 INFO [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Getting scoped alarm conditions
2021-10-06 00:40:00,011 INFO [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Building attribute definitions based on Alarm Conditions
2021-10-06 00:40:00,011 DEBUG [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Alarm Condition is: AlarmCondition[id=bb811233-0688-42a6-a756-2f3903440feb,filterConditionType=STRING(2),filterConditionName=selected_azn_profiles,filterConditionOperator=LIKE(5),filterConditionValue=,filterConditionValues=[ad_user],filterId=]
2021-10-06 00:40:00,011 DEBUG [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Alarm Condition is: AlarmCondition[id=eff11b02-ae7d-4289-bae5-13936f3cdb21,filterConditionType=INTEGER(1),filterConditionName=ACSVIEW_TIMESTAMP,filterConditionOperator=GREATER_THAN(2),filterConditionValue=60,filterConditionValues=[],filterId=]
2021-10-06 00:40:00,011 INFO [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Attribute definition modified and already added to list
2021-10-06 00:40:00,011 DEBUG [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Query to be run is SELECT COUNT(*) AS COUNT FROM RADIUS_AUTH_48_LIVE where (selected_azn_profiles like '%,ad_user,%' OR selected_azn_profiles like 'ad_user' OR selected_azn_profiles like '%,ad_user' OR selected_azn_profiles like 'ad_user,%') AND (ACSVIEW_TIMESTAMP > SYSDATE - NUMTODSINTERVAL(60, 'MINUTE')) AND (ACSVIEW_TIMESTAMP < SYSDATE)
2021-10-06 00:40:00,011 DEBUG [MnT-TimerAlarms-Threadpool-4][] cisco.mnt.dbms.timesten.DbConnection -::::- in DbConnection - getConnectionWithEncryPassword call
2021-10-06 00:40:00,015 DEBUG [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Threshold Operator is: Greater Than
2021-10-06 00:40:00,015 DEBUG [MnT-TimerAlarms-Threadpool-4][] common.alarms.schedule.tasks.ScopedAlarmTask -::::- Alarm Condition met: true
2021-10-06 00:40:00,015 DEBUG [MnT-TimerAlarms-Threadpool-4][] cisco.mnt.common.alarms.AlarmWorker -::::- df861461-89d5-485b-b3e4-68e61d1d82fc -> Enabled : true
2021-10-06 00:40:00,015 DEBUG [MnT-TimerAlarms-Threadpool-4][] cisco.mnt.common.alarms.AlarmWorker -::::- Active MNT -> true : false
2021-10-06 00:40:00,015 DEBUG [MnT-TimerAlarms-Threadpool-4][] cisco.mnt.common.alarms.AlarmWorker -::::- trip() : AlarmRule[id=df861461-89d5-485b-b3e4-68e61d1d82fc,name=AD user profile,severity=2,isMandatory=false,enabled=true,description={65,108,97,114,109,32,116,111,32,109,111,110,105,116,111,114,32,97,117,116,104,111,114,105,122,97,116,105,111,110,32,114,101,115,117,108,116,115,32,97,110,100,32,97,99,116,105,118,101,32,115,101,115,115,105,111,110,115,46},
suggestedAction={67,104,101,99,107,37,50,48,121,111,117,114,37,50,48,110,101,116,119,111,114,107,37,50,48,111,114,37,50,48,67,105,115,99,111,37,50,48,73,83,69,37,50,48,99,111,110,102,105,103,117,114,97,116,105,111,110,37,50,48,99,104,97,110,103,101,115,37,50,48,102,111,114,37,50,48,97,110,121,37,50,48,100,105,115,99,114,101,112,97,110,99,105,101,115,46},detailsLink=#pageId=page_reports_details&pullOutId=authorizationResultAlarmDetails&definition=/Diagnostics/Authorization-Result-Alarm-Details.xml,
alarmTypeId=1065,isUserDefined=true,categoryId=1,enabledSyslog=true,emailAddress=[],customEmailText={},idConnectorNode=false] : 2 : The number of Authorizations in configured time period with Authorization Profile - [ad_user]; in the last 60 minutes is 9 which is greater than the configured value 5
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
28-Nov-2021 |
الإصدار الأولي |
التعليقات