Einleitung
In diesem Dokument wird beschrieben, wie Sie das Support-Paket von Cisco ISE 3.x über die Kommandozeile oder die grafische Benutzeroberfläche (GUI) abrufen. Dieses enthält wichtige Daten, die für die ISE-Fehlerbehebung erforderlich sind.
Collect Support-Paket auf der Cisco ISE
Schritt 1: Debuggen für ISE-Komponenten aktivieren
Für verschiedene ISE-Probleme sind unterschiedliche Protokolle zur Fehlerbehebung erforderlich. Eine vollständige Liste der erforderlichen Debugging-Aufgaben muss vom TAC-Engineer bereitgestellt werden. ISE 3.x verfügt jedoch über vorkonfigurierte Kategorien von Debugging-Vorgängen, mit denen Sie die ersten Logos sammeln können, um die Bearbeitung von Tickets zu beschleunigen.
Die vom TAC Engineer angeforderte Debug-Liste muss immer Vorrang vor dieser Liste haben.
Um diese vorkonfigurierten Debugs zu finden, navigieren Sie zu Operations > Troubleshoot > Debug Wizard > Debug Profile Configuration.
Wählen Sie das Feature aus, für das Debugging aktiviert werden soll, indem Sie das entsprechende Kontrollkästchen am Anfang jeder Zeile aktivieren, z. B. 802.1x (rot), und navigieren Sie zur Knotenauswahl (grün):
Wählen Sie dann Knoten aus, für die diese Debug-Meldungen aktiviert werden müssen, und aktivieren Sie das entsprechende Kontrollkästchen am Anfang jeder Zeile (rot). Speichern Sie die Änderungen (grün):
Die Seite wird zurück zu Konfiguration des Debugprofils und Änderungen des Debugstatus zu ENABLED mit Informationen über Knoten verschoben, die diese Debugs ausführen.
Schritt 2: Problem neu erstellen
Wenn alle erforderlichen Debug-Funktionen aktiviert sind, erstellen Sie das Problem neu, um Protokolle zu generieren.
Wenn das Problem nicht manuell ausgelöst werden kann, müssen Sie auf den nächsten Vorfall warten.
Wenn das Problem aufgetreten ist, bevor die Fehlerbehebung aktiviert wurde, sind nicht genügend Informationen zur Problembehandlung vorhanden.
Im Idealfall muss das Support-Paket unmittelbar nach Auftreten des Problems abgeholt werden. Notieren Sie die für die Protokollanalyse erforderlichen Zusatzinformationen:
- Zeitmarke der Erholung
- alle eindeutigen IDs für das Ereignis wie MAC-Adresse, IP-Adresse, Benutzername oder Sitzungs-ID (abhängig von den Umständen, normalerweise reicht MAC/IP + Benutzername aus)
Schritt 3: Deaktivieren von Debuggen
Deaktivieren Sie unmittelbar nach der Neuerstellung des Problems die Debug-Protokolle, um zu verhindern, dass die neu generierten Protokolle durch übermäßige Protokollierung überschrieben werden.
Wiederholen Sie dazu die Aktionen aus Schritt 1. Deaktivieren Sie jedoch auf der Knotenauswahlseite die entsprechenden Kontrollkästchen, und speichern Sie wie zuvor.
Schritt 4: Collect-Supportpaket
Navigieren Sie zu Operations > Troubleshooting > Download Logs, und wählen Sie den ISE-Knoten aus (den Knoten, auf dem die Debugging-Funktion aktiviert wurde). Auf der Registerkarte jedes Knotens gibt es zwei Optionen: Collect Support Bundle (rot) oder Herunterladen einer bestimmten Protokolldatei - Debug Logs (orange).
Für die Debug-Protokolle wird eine vollständige Liste aller verfügbaren Protokolldateien angezeigt. Nachdem Sie auf den Namen der Datei klicken, wird sie heruntergeladen.
Das Support-Paket ist ein Paket, das alle Protokolle der ausgewählten Gruppen enthält.
- Vollständige Konfigurationsdatenbank hängt vollständige ISE-Konfiguration an das Support-Paket an
- Die meisten Debug-Protokolle werden verwendet, da sie alle Debug-Protokolle aller ISE-Komponenten enthalten.
- Lokale Protokolle enthalten ein Protokoll, das Radius-Authentifizierungen für diesen Knoten in der Bereitstellung anzeigt.
- Core-Dateien können das Support-Paket vergrößern, dies ist jedoch bei der Fehlerbehebung nach einem Absturz erforderlich.
- Überwachungs- und Berichtsprotokolle enthalten Betriebsdaten
- Systemprotokolle enthalten systemspezifische Protokolle (für vom Betriebssystem bereitgestellte Fehlerbehebungsdienste).
- Richtlinienkonfiguration -
xml Version der konfigurierten Richtlinien auf der ISE
Für die meisten Szenarien reicht es aus, die Debug-Protokolle und lokalen Protokolle einzubeziehen. Für Stabilitäts- und Leistungsprobleme sind außerdem die Core- und Systemprotokolle erforderlich.
Wenn Sie sich nur für die Verschlüsselung mit öffentlichem Schlüssel entscheiden, kann das TAC dieses Paket mithilfe eines privaten Schlüssels von Cisco entschlüsseln. Mit dem gemeinsamen Schlüssel können Sie Kennwörter festlegen, die zum Entschlüsseln der Protokolle erforderlich sind.
Bei einem gemeinsam genutzten Schlüssel muss der TAC-Techniker darauf zugreifen können, damit das Paket auf Cisco Seite entschlüsselt werden kann.
Wenn alles eingestellt ist, klicken Sie auf die Create Support Bundle Schaltfläche und warten.
Nach Abschluss der Erstellung des Support-Pakets steht dieses zum Download zur Verfügung. Wenn Sie auf klickenDownload, wird das Support-Paket auf der lokalen Festplatte des PCs gespeichert und kann zur Fehlerbehebung in das TAC hochgeladen werden.
Wenn die Webschnittstelle nicht verfügbar ist, können Sie das Support-Paket von der CLI abrufen. Melden Sie sich dazu mit SSH oder Konsolenzugriff an, und verwenden Sie den folgenden Befehl:
backup-logs name repository ftp {encryption-key plain key | public-key}
name - der Name Ihres Support-Pakets
ftp - der Name des auf der ISE konfigurierten Repositorys
key: Dieser Schlüssel wird zum Verschlüsseln/Entschlüsseln des Support-Pakets verwendet.
Das offizielle Tool zum Hochladen des Support-Pakets ist https://mycase.cloudapps.cisco.com/case.
ZIP-Datei nicht komprimieren oder Erweiterung der Support-Paket-Datei ändern. Der Upload muss im gleichen Status wie beim Download von der ISE erfolgen.