Analyse von Log Analytics-ELK Stack auf der ISE

Download-Optionen

  • PDF     (1.4 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (958.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. September 2023
Dokument-ID:220863

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die ELK Stack-Komponenten, die in die Cisco Identity Services Engine (ISE) 3.3 bis System 360 Log Analytics integriert sind.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco ISE
    • ELK Stack

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf Cisco ISE 3.3.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    System 360 umfasst Monitoring und Log Analytics.

    Mit der Überwachungsfunktion können Sie eine Vielzahl von Anwendungs- und Systemstatistiken sowie die Leistungskennzahlen aller Knoten in einer Bereitstellung über eine zentrale Konsole überwachen. KPIs sind nützlich, um einen Einblick in den allgemeinen Zustand der Knotenumgebung zu gewinnen. Die Statistik bietet eine vereinfachte Darstellung der Systemkonfigurationen und nutzungsspezifischen Daten.

    Log Analytics bietet ein flexibles Analysesystem für die detaillierte Analyse von Endgeräteauthentifizierungs-, Autorisierungs- und Accounting (AAA)-Daten sowie die Profilerstellung für Syslog-Daten. Sie können auch die Statusübersicht und den Prozessstatus der Cisco ISE analysieren. Sie können Berichte erstellen, die dem Cisco ISE-Bericht "Zähler" und "Statusübersicht" ähneln.

    ELK Stack

    Der ELK Stack ist ein beliebter Open-Source-Software-Stack, der zum Sammeln, Verarbeiten und Visualisieren großer Datenmengen verwendet wird. Es steht für Elasticsearch, Logstash und Kibana.

    • Elasticsearch: Elasticsearch ist eine verteilte Such- und Analysemaschine. Es wurde entwickelt, um große Datenmengen schnell und nahezu in Echtzeit zu speichern, zu durchsuchen und zu analysieren. Es verwendet eine JSON-basierte Abfragesprache und ist hochskalierbar.

    • Logstash: Logstash ist eine Pipeline für die Datenverarbeitung, die Daten aus mehreren Quellen verarbeitet und transformiert. Es kann Daten analysieren und anreichern, sodass sie besser strukturiert und für Analysen geeignet sind. Logstash unterstützt eine Vielzahl von Eingangs- und Ausgangsquellen.

    • Kibana: Kibana ist eine Datenvisualisierungsplattform, die mit Elasticsearch zusammenarbeitet. Sie ermöglicht es Benutzern, interaktive Dashboards, Diagramme, Diagramme und Visualisierungen zu erstellen, um die in Elasticsearch gespeicherten Daten zu erkunden und zu verstehen. Die Schnittstelle von Kibana macht es einfach, Daten abzufragen und zu visualisieren.

    In Kombination bilden diese Komponenten einen leistungsstarken Stack für das Management und die Analyse verschiedener Datentypen, von Protokolldateien bis hin zu Metriken und mehr. Gleichzeitig bieten sie Visualisierungsfunktionen, um die Informationen verständlich zu machen.

    ELK Stack flowELK-Stack-Fluss

    ELK Stack als Protokollanalyse

    • Eine separate Instanz des Stacks ElasticSearch+LogStash+Kibana wird nur auf MnT-Knoten ausgeführt.
      • Dies steht in keinem Zusammenhang mit der elastischen Suche nach Kontexttransparenz.
      • Mit ELK 7.17
    • Primäre und sekundäre MNTs haben ihre eigenen separaten Instanzen von ELK.
      • Kibana ist nur auf sekundärem MNT aktiviert, wenn es verfügbar ist, und zeigt nur Daten von diesem Knoten an.
    • Log Analytics ist standardmäßig deaktiviert.
    • Verwendet Oracle-Ressourcen.
    • Speichert Daten für maximal 7 Tage.
    • Die Gesamtgröße der von Log Analytics verwendeten Daten ist auf 10 GB beschränkt.
      • Sobald eine der Beschränkungen erreicht ist, löscht ElasticSearch die Daten.

    ELK flow as Log AnalyticsELK-Fluss als Protokollanalyse

    Flowchart of ELK in ISEFlussdiagramm von ELK in der ISE

    Protokollanalysen aktivieren

    Die Protokollanalyse ist auf der ISE standardmäßig deaktiviert. Navigieren Sie zu  Operations > System 360 > Settings  wie im Bild dargestellt.

    Enable log analyticsAktivieren von Protokollanalysen

    Die ISE benötigt etwa eine Minute, um den ELK-Stack zu initialisieren. Sie können den Status mit  show app stat ise.

    Zusätzlich können Sie den Containerstatus vom Root aus überprüfen.

    admin#show application status ise

    ISE PROCESS NAME STATE PROCESS ID 
    --------------------------------------------------------------------
    Database Listener running 7708 
    Database Server running 132 PROCESSES
    Application Server running 551493 
    Profiler Database running 14281 
    ISE Indexing Engine running 553168 
    AD Connector running 41413 
    M&T Session Database running 26017 
    M&T Log Processor running 33547 
    Certificate Authority Service running 41230 
    EST Service running 659568 
    SXP Engine Service disabled 
    TC-NAC Service disabled 
    PassiveID WMI Service disabled 
    PassiveID Syslog Service disabled 
    PassiveID API Service disabled 
    PassiveID Agent Service disabled 
    PassiveID Endpoint Service disabled 
    PassiveID SPAN Service disabled 
    DHCP Server (dhcpd) disabled 
    DNS Server (named) disabled 
    ISE Messaging Service running 10937 
    ISE API Gateway Database Service running 13294 
    ISE API Gateway Service running 586762 
    ISE pxGrid Direct Service running 637606 
    Segmentation Policy Service disabled 
    REST Auth Service disabled 
    SSE Connector disabled 
    Hermes (pxGrid Cloud Agent) disabled 
    McTrust (Meraki Sync Service) disabled 
    ISE Node Exporter running 44422 
    ISE Prometheus Service running 47890 
    ISE Grafana Service running 51094 
    ISE MNT LogAnalytics Elasticsearch running 611684 
    ISE Logstash Service running 614339 
    ISE Kibana Service running 616064 
    ISE Native IPSec Service running 75883 
    MFC Profiler running 651910

    Navigationsmenü

    Nach dem Start der ELK-Services haben Sie Zugriff auf das Navigationsmenü "Elastisch".

    Navigation menuNavigationsmenü

    Integrierte Dashboards

    • Die ISE verfügt standardmäßig über integrierte Dashboards mit Daten von Radius, TACACS, Systemleistung und ISE-Beobachtbarkeit.
    • Diese Dashboards können Sie aufrufen, indem Sie  Operations > Log Analytics .
      • Sobald die elastische Benutzeroberfläche geöffnet ist, klicken Sie auf  Sandwich Menu > Analytics > Dashboards .

    Built-in dashboardsIntegrierte Dashboards

    • Verfügbare Dashboards für ISE 3.3

    ISE 3.3 log analytics dashboardsISE 3.3 Dashboards für Protokollanalysen

    Neue Dashboards erstellen

    Schritt 1: Indexmuster erstellen (Datenquelle)

    In Kibana sind "Indexmuster" Konfigurationen, mit denen Sie definieren können, wie Kibana mit einem oder mehreren Elasticsearch-Indizes interagiert.

    Navigieren Sie zu  Management > Stack Management > Kibana > Index Patternsund klicke auf Create Index Pattern wie im Bild dargestellt.

    Create index patternIndexmuster erstellen

    Im nächsten Fenster werden alle verfügbaren Indizes auf der ISE aufgelistet.

    • Geben Sie den Namen des Index ein, der Sie interessiert, es kann eine genaue Übereinstimmung oder ein Platzhalter mit * sein.
    • Wählen Sie Zeitstempelfeld, log_at, log_at_timezone oder "Ich möchte keinen Zeitfilter verwenden".
    • Klicken Sie anschließend auf  Create index pattern.

    Select indexIndex auswählen

    Nach der Erstellung listet der Index alle zugehörigen Variablen auf, die später zum Erstellen von Visualisierungen verwendet werden können.

    Index variablesIndexvariablen

    Schritt 2: Visualisierungen erstellen

    In Kibana sind "Visualisierungen" grafische Darstellungen Ihrer Daten. Sie ermöglichen es Ihnen, die in Elasticsearch gespeicherten Daten in aussagekräftige Diagramme, Diagramme und Diagramme umzuwandeln, um das Verständnis und die Analyse zu vereinfachen. Hier einige gebräuchliche Arten von Visualisierungen, die Sie erstellen können:

    • Objektiv: Erstellt eine Visualisierung mit einem Drag-and-Drop-Editor. Empfohlen.
    • Balkendiagramme: Diese Diagramme zeigen Daten in vertikalen Balken an und erleichtern den Vergleich von Werten zwischen Kategorien oder Zeitintervallen.
    • Liniendiagramme: Liniendiagramme zeigen Daten als eine Reihe von Datenpunkten an, die durch Linien verbunden sind. Sie sind nützlich, um Trends im Laufe der Zeit zu visualisieren.
    • Tortendiagramme: Tortendiagramme stellen Daten in einem Kreisdiagramm dar, wobei jedes Segment des Kuchens eine Kategorie darstellt und die Größe des Segments seinen Anteil angibt.
    • Flächendiagramme: Ähnlich wie Liniendiagramme zeigen Flächendiagramme auch Trends im Zeitverlauf an, füllen jedoch den Bereich unter den Linien aus, sodass die Größe der Änderungen leichter erkennbar ist.
    • Heat Maps: Heat Maps verwenden Farben, um Datenwerte in einer Matrix oder einem Raster darzustellen. Sie sind nützlich, um Konzentrationen oder Schwankungen der Daten zu zeigen.
    • Metrische Visualisierungen: Diese zeigen einzelne numerische Werte an, z. B. Zählungen oder Durchschnittswerte. Sie werden häufig verwendet, um wichtige Leistungsindikatoren anzuzeigen.
    • Datentabellen: Datentabellen stellen Rohdaten in Tabellenform dar, sodass Sie detaillierte Informationen anzeigen und die Daten sortieren oder filtern können.
    • Histogramme: Histogramme teilen Daten in Behälter oder Intervalle und zeigen die Häufigkeit oder Anzahl der Datenpunkte in jedem Behälter. Sie sind nützlich, um Datenverteilungen zu verstehen.
    • Koordinatenkarten: Diese visualisieren räumliche Daten, sodass Sie Daten auf einer Karte anzeigen und verschiedene Markierungen, Farben oder Größen verwenden können, um Datenattribute darzustellen.
    • Tag-Wolken: Tag-Wolken zeigen die Häufigkeit von Wörtern an, wobei die Größe jedes Worts seine Bedeutung oder Häufigkeit in einem Datensatz angibt.

    Navigieren Sie zu  Analytics > Visualize Library , dann klicke auf  Create Visualization wie im Bild dargestellt.

    Create visualizationVisualisierung erstellen

    Wählen Sie die Visualisierung Ihrer Präferenz, in diesem Beispiel ist Objektiv aus praktischen Gründen bevorzugt.

    Select visualization typeVisualisierungstyp auswählen

    Kibana-Objektiv, Navigationsausrüstung besteht aus:

    • Datenquellenauswahl: Im linken Bereich können Sie die Datenquelle oder das Elasticsearch-Indexmuster auswählen, das Sie für die Visualisierung verwenden möchten.
    • Visualisierungsbereich: Im zentralen Bereich erstellen Sie Ihre Visualisierung, indem Sie Felder ziehen und ablegen, Diagrammtypen auswählen und Diagrammeinstellungen konfigurieren.
    • Visualisierungssymbolleiste: Oben auf der Zeichenfläche befindet sich eine Symbolleiste, mit der Sie die Visualisierung anpassen können, einschließlich Optionen zum Ändern von Diagrammtypen, Hinzufügen von Filtern und Konfigurieren von Diagrammeinstellungen.

    • Datenfeld: Auf der rechten Seite können Sie auf das Datenfeld zugreifen, in dem Sie die Transformation, Aggregation und Feldeinstellungen verwalten können.

    • Ebenenmanagement: Je nach Art der Visualisierung (z.B. Layered Charts) können Sie in Ihrer Visualisierung einen Ebenenmanagementbereich zur Konfiguration mehrerer Ebenen einrichten.

    • Vorschau: Wenn Sie Änderungen an Ihrer Visualisierung vornehmen, wird normalerweise eine Echtzeitvorschau bereitgestellt, sodass Sie sehen können, wie Ihr Diagramm mit den aktuellen Einstellungen aussieht.

    • Visualisierungseinstellungen: Abhängig vom ausgewählten Diagrammtyp können Sie auf bestimmte Einstellungen für diesen Visualisierungstyp zugreifen, z. B. Achsenkonfiguration, Farbschemata und Beschriftungen.

    • Einstellungen für Interaktivität: Sie können Interaktionen und Aktionen zu Ihrer Visualisierung hinzufügen, sodass Benutzer Daten filtern oder zu anderen Teilen Ihrer Kibana Dashboards navigieren können.

    • Speichern und gemeinsam nutzen: Oben auf der Objektivoberfläche gibt es normalerweise Optionen, um Ihre Visualisierung zu speichern, sie einem Dashboard hinzuzufügen oder sie für andere freizugeben.

    Lens visualizationLinsenvisualisierung

    Aufgrund der Cisco Bug-ID CSCwh48057 werden auf der linken Seite keine verfügbaren Felder angezeigt. Auf der rechten Seite können Sie jedoch die erforderlichen Felder sowie den Diagrammstil auswählen. Da die Authentifizierungslatenz in diesem Beispiel ein Thema von gemeinsamem Interesse ist, wird der Graph erstellt, um die Authentifizierungslatenz und die Endpunkt-ID darzustellen.

    Endpoint ID vs latencyEndgeräte-ID und Latenz im Vergleich

    Anschließend können Sie auf die Schaltfläche  Save -Taste in der rechten Ecke, wie im Bild dargestellt.

    Save visualizationVisualisierung speichern

    Schritt 3: Dashboard erstellen

    Die neue Visualisierung wird automatisch einem neuen Dashboard hinzugefügt. Beachten Sie, dass Kibana Dashboards es Benutzern ermöglichen, interaktive Visualisierungen und Berichte basierend auf Daten, die in Elasticsearch-Indizes gespeichert sind, zu erstellen, anzupassen und zu teilen.

    New DashboardNeues Dashboard

    Fehlerbehebung

    • Überprüfen Sie, ob die ELK-Stack-Dienste auf dem MNT ausgeführt werden.
    • Da Kibana, Logstash und Elasticsearch auf Containern ausgeführt werden, finden Sie die Protokolle unter:
    admin#show logging application ise-kibana/kibana.log
    admin#show logging application ise-logstash/logstash.log
    admin#show logging application mnt-la-elasticsearch/mnt-la-elasticsearch.log

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    05-Sep-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jonathan Casillas
      Security Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.