تكوين تكامل اتصال البيانات ISE 3.2 مع SPLUNK

المقدمة

يصف هذا المستند كيفية تكوين تكامل Cisco Identity Services Engine (ISE) 3.2 مع Splunk over Data Connect لاسترداد بيانات التقارير من قاعدة بيانات ISE مباشرة. يمكنك إنشاء استفساراتك الخاصة وصياغة تقاريرك الخاصة بفضل ذلك.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

1. Cisco ISE 3.2
2. معرفة أساسية حول استعلامات Oracle
3. شظية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

1. Cisco ISE 3.2
2. Splunk 9.0.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

التكوينات

الخطوة 1. تكوين إعدادات اتصال بيانات ISE

1. تمكين اتصال البيانات

على ISE، انتقل إلى Administration > System > Settings > Data Connectتبديل الزر مقابل Data Connect. أدخل كلمة المرور وانقر فوق Save .

دون إعدادات اتصال البيانات، والتي تتضمن User Name, Hostname, Port, and Service Name .يتم تمكين اتصال البيانات بشكل افتراضي على MNT الثانوي في عملية نشر موزعة، ويمكن العثور على مزيد من المعلومات حول سيناريوهات تجاوز الفشل في دليل المسؤول.

2. تصدير شهادة اتصال البيانات

تشغيل في Step 1.تم تشغيل إنشاء "شهادة اتصال البيانات". يجب أن يكون موثوقا به من قبل العملاء الذين يستفسرون من ISE عبر Data Connect.

لتصدير الشهادة، انتقل إلى Administration > System > Settings > Cetificate Management > Trusted Certificates، حدد الشهادة باستخدام Data Connect Certificate اسم مألوف وانقر فوق Export .

يتم تصدير الشهادة بتنسيق PEM.

الخطوة 2. تكوين تقسيم

ملاحظة: تثبيت Splunk خارج نطاق هذا المستند.

1. تثبيت تطبيق اتصال Splunk DB

انقر فوق + Find More Apps من القائمة الرئيسية.

إدخال Splunk DB Connect في قائمة البحث وانقر فوق Installضد Splunk DB Connect التطبيق كما هو موضح في الصورة.

أدخل بيانات اعتماد Splunk لتثبيت التطبيق. انقر فوق Agree and Install كما هو موضح في الصورة.

يتطلب تثبيت التطبيق إعادة التشغيل، انقر فوق Restart Now.

2. تركيب برامج تشغيل Oracle

وفقا لوثائق Splunk، يجب تثبيت برامج تشغيل JDBC. قم بتثبيت برنامج تشغيل Oracle من خلال الوظائف الإضافية الخاصة ب Splunk ل DB Connect. انقر فوق Login to Download كما هو موضح في الصورة.

انقر فوق Download.

من قائمة المنزل، انقر على أيقونة التروس المجاورة ل Apps كما هو موضح في الصورة.

انقر فوق Install App from File.

حدد الملف الذي تم تنزيله سابقا وانقر Uploadكما هو موضح في الصورة.

انتقل إلى Apps > Splunk DB Connect > Configuration > Settings > Driversانقر فوق Reload.Oracle يجب أن يظهر برنامج التشغيل ك Installed.

3. تكوين هوية تطبيق Splunk DB Connect

ملاحظة: يجب تثبيت تطبيق اتصال Splunk DB لتشغيل Java (SE). تم تثبيت 11 تطبيق جافا (SE) لأغراض هذا التطبيق.

C:\Users\Administrator>java --version
java 11.0.15.1 2022-04-22 LTS
Java(TM) SE Runtime Environment 18.9 (build 11.0.15.1+2-LTS-10)
Java HotSpot(TM) 64-Bit Server VM 18.9 (build 11.0.15.1+2-LTS-10, mixed mode)

C:\Users\Administrator>

انتقل إلى Apps > Splunk DB Connect > Configuration > Databases > Identities ثم انقر فوق New Identity.

قم بتكوين Identity Name (قيمة اعتباطية)، Username (DataConnect) و Password من Step 1. ثم انقر فوق Save.

4. تكوين اتصال تطبيق اتصال Splunk DB Connect

انتقل إلى Apps > Splunk DB Connect > Configuration > Databases > Connections ثم انقر فوق New Connection.

قم بتكوين Connection Name (قيمة اعتباطية). تحديد Identity من Configure Splunk DB Connect App Identityخطوة. تحديد Connection Type ك Oracle. وضع علامة على خانة الاختيار مقابل Edit JDBC URL ولصق القيمة:

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=10.48.17.20)(PORT=2484))(CONNECT_DATA=(SID=cpm10)))

يجب إستبدال المضيف بعنوان IP الخاص بعقدة MNT من الخطوة Enable Data Connect كما هو موضح في الصورة.

قم بالتمرير لأسفل إلى قسم الترخيص ولصق محتوى DataConnectCertificate.pem ملف الشهادة والنقر Save كما هو موضح في الصورة.

5. تكوين إدخالات اتصال DB الخاص بتقسيم SPLUNK

انتقل إلى Apps > Splunk DB Connect > Data Lab > Inputs  andطقطقة New Input.

تحديد اتصال مكون في خطوة Configure Splunk DB Connect App Connection .أدخل الاستعلام الذي ترغب في إستخدامه للاستطلاع، في هذا المثال، يتم إستخدام Authentication بواسطة استعلام ISE Node:

select access_service as allowed_protocol, sum(passed_count) as passed, sum(failed_count) as failed, sum(passed_count) + sum(failed_count) as total, round(to_char(((sum(failed_count) / (sum(passed_count) + sum(failed_count))) * 100)), 2) as failed_percentage, round(to_char(sum(total_response_time)/(sum(passed_count) + sum(failed_count))), 2) as total_response_time, max(max_response_time) as max_response_time from radius_authentication_summary group by access_service;

انقر Execute SQL ولضمان عمل الاستعلام، يلزم أيضا المتابعة. انقر فوق Next كما هو موضح في الصورة.

تكوين الإدخال Name(قيمة اعتباطية). تحديد Application ك Splunk DB Connect. تعيين Execution Frequency (عدد مرات إرسال الاستعلام إلى ISE).

قم بتكوين Source Type و Input.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

للتحقق من البيانات ومرها من الردود، انتقل إلى Apps > Splunk DB Connect > Data Lab > Inputs. انقر فوق Find Events.

من موقع Events يمكنك الانتقال إلى Visualization.

يمكنك ضبط قائمة البحث وتحديد مرئيات إختيارك. يستخدم الاستعلام الموجود في المثال timechart ويبني الرسم البياني استنادا إلى الحد الأقصى لمحاولات المصادقة التي تم تمريرها.

index=summary sourcetype=custom source=AuthenticationsbyISENode OR source=mi_input://AuthenticationsbyISENode| timechart span=5m max(PASSED)

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.