Fehlerbehebung bei ISE mithilfe des Debugsystems

Einleitung

In diesem Dokument wird beschrieben, wie Sie Fehler beheben und beheben, während diese durch die Ausführung von show logging Befehlen über die CLI auftreten.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Identity Services Engine (ISE).
• Befehlszeilenschnittstelle (CLI) 

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Identity Services Engine (ISE) 3.3.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen. 

Hintergrundinformationen

Die ISE nutzt eine bestimmte Struktur zum Speichern von Protokolldateien, die in diesem Artikel näher beschrieben werden. Verwenden Sie dazu die CLI, um durch Ausführen von Befehlen eine Fehlererkennung in Echtzeit durchzuführenshow logging.

Problemaussage

Die Cisco Identity Services Engine (ISE) verwaltet Ordner zum Speichern lokaler Protokollmeldungen. Je nach Art des Problems können Sie zwei primäre show logging Befehle verwenden, um eine Diagnose zu erstellen und Fehler zu beheben:

1- Systemordner

Der Systemordner zeigt System-Syslogs an, sodass Sie Live-Fehler anzeigen können. Mit dieser Protokollierungsfunktion können Sie systembezogene Probleme identifizieren, z. B. Probleme mit ISE-Services.

Zugriff auf den Systemordner:

Sie können über die CLI mit den folgenden Befehlen auf diesen Ordner zugreifen:

• show logging system <LogFile>

Beispiel für verfügbare Systemordner:

SSPT33A/admin#show logging system 5105179 Jul 17 2024 20:09:49 ade/ADE.log 29542 Jan 02 2024 16:36:28 anaconda/anaconda.log 1012889 Jan 02 2024 16:36:28 anaconda/syslog 564 Jan 02 2024 17:07:06 boot.log 1416192 Jul 06 2024 13:57:25 btmp 292292 Jul 17 2024 20:09:07 lastlog 0 Jan 02 2024 16:31:58 maillog 4623022 Jul 17 2024 20:11:43 messages 548756 Jul 01 2024 23:50:00 sa/sa01 4173362 Jul 17 2024 20:11:11 secure 0 Jan 02 2024 16:31:58 spooler 16896 Jul 17 2024 19:38:55 wtmp SSPT33A/admin#

Hinweis: Um die Protokollierung zu unterbrechen, drücken Sie einmal Strg+ C.

2 - Protokollordner

Der Protokollordner zeigt Anwendungs-Syslogs an, sodass Sie Live-Fehler anzeigen können. Mit dieser Protokollierungsfunktion können Sie Probleme im Zusammenhang mit bestimmten Funktionen identifizieren, z. B. Kommunikationsprobleme, Status, Gastdienste, Profilerstellung usw.

Bevor Sie beginnen

Wenn Sie ein Problem replizieren, müssen Sie in den meisten Fällen zuerst die richtigen Komponenten auf Debug- oder Ablaufverfolgungsebene festlegen. Navigieren Sie zu Operation > Troubleshoot > Debug Wizard > Debug Log Configuration , wählen Sie den Knoten aus, klicken Sie auf die Protokollstufe unter dem Komponentennamen, wählen Sie die erforderliche Protokollstufe aus, und klicken Sie dann auf Speichern.Komponente festlegen

Hinweis: Beachten Sie, dass Sie die Komponentenebenen nach der Problemwiederherstellung auf die Standardwerte zurücksetzen müssen.

Warnung: Das Aktivieren der Debug-Protokollierung für Runtime-aaa, Runtime-logging und Runtime-config hat erhebliche Auswirkungen auf die Systemleistung. Diese Protokolle dürfen nicht für mehr als 15 Minuten debuggt werden, um Leistungseinbußen zu vermeiden.

Konfiguration des Debugprofils

Der Debug-Assistent enthält vordefinierte Debugvorlagen, mit deren Hilfe Sie Probleme mit ISE-Knoten beheben können. Sie können den Schweregrad des Debugprotokolls für einzelne Komponenten in der Vorlage konfigurieren. Er stellt vordefinierte Debugvorlagen bereit, die das Einrichten einer detaillierten Protokollierung für verschiedene Komponenten vereinfachen.

Diese Vorlagen wurden für gängige Fehlerbehebungsszenarien entwickelt, sodass Administratoren die erforderlichen Debugeinstellungen schnell konfigurieren und aktivieren können.

Um eine Vorlage zu verwenden oder zu konfigurieren, gehen Sie zu Operation > Troubleshoot > Debug Wizard > Debug Profile Configuration:

Konfiguration des Debugprofils

Es gibt bereits einige vordefinierte Vorlagen, oder klicken Sie auf Hinzufügen, um Ihre eigenen zu erstellen.

Neue Vorlage hinzufügen

Aktivieren einer Vorlage

Durch Aktivieren einer Vorlage wird die geänderte Komponentenebene wirksam. Wählen Sie Vorlage aus, und klicken Sie auf Debug-Knoten. Wählen Sie den Knoten aus, auf den die Vorlage angewendet werden soll, und klicken Sie dann auf Speichern:

Debug-Knoten

 Nun muss der Vorlage der Knoten zugewiesen sein:

Überprüfen

Hinweis: Keine der Komponentenebenen wird wirksam, bis Sie die Vorlage für einen bestimmten Knoten verwenden.

Debug Profile-Vorlage deaktivieren und Vorlage auswählen. Klicken Sie auf Knoten debuggen. Deaktivieren Sie den Knoten, auf den die Vorlage angewendet wird, und klicken Sie auf Speichern:

Vorlage deaktivieren

Komponentenebenen wieder auf die Standardwerte zurücksetzen

Navigieren Sie zu Operation > Troubleshoot > Debug Wizard > Debug Log Configuration . Wählen Sie den Knoten aus. Klicken Sie auf Reset to Default (Auf Standard zurücksetzen) und anschließend auf Yes (Ja).

Auf Standard zurücksetzen

Warnung: Wenn Sie die Option Auf Standard zurücksetzen verwenden, während eine Debugprofil-Vorlage aktiviert ist, bleibt die Debugprofil-Vorlage aktiviert, aber die Komponenten kehren zu ihren Standardeinstellungen zurück, was zu einer Diskrepanz führt. Es ist wichtig, die Option Auf Standard zurücksetzen nicht zu verwenden, wenn Debug Profile-Vorlagen aktiviert sind.

Ausführlichere Informationen und konkrete Beispiele finden Sie in der offiziellen Cisco Dokumentation, da dieses Dokument eine umfassende Matrix mit Komponenten und Debug-Protokollen bietet: Fehlerbehebung und Aktivierung von Debugs auf der ISE

Zugriff auf den Protokollordner:

Sie können über die CLI mit den folgenden Befehlen auf diesen Ordner zugreifen:

• show logging application <logfile>

Beispiel: Informationen zum ISE-Gastdienst - show logging application profiler.log tail

Beispiel: Informationen zum ISE-Gastdienst - show logging application guest.log tail

Verwenden Sie neben der Suche nach einer bestimmten Nachricht auch ein Schlüsselwort, um sie zu suchen. Beispiel: Informationen zur ISE - show logging application localStore/iseLocalStore.log | include 70000\ NOTICE\  

SSPT33A/admin#show logging application localStore/iseLocalStore.log | include 70000\ NOTICE\ 2024-07-18 00:03:28.668 -05:00 0000423187 70000 NOTICE System-Stats: ISE Utilization, ConfigVersionId=14667, SysStatsUtilizationCpu=5.41%, SysStatsUtilizationNetwork=eth0: rcvd = 2052\; sent = 4062 \;rcvd_dropped = 0\; sent_dropped = 0, SysStatsUtilizationNetwork=cni-podman1: rcvd = 1577511\; sent = 115782 \;rcvd_dropped = 0\; sent_dropped = 0, SysStatsUtilizationNetwork=veth2f590a1a: rcvd = 2024-07-18 00:08:46.369 -05:00 0000423194 70000 NOTICE System-Stats: ISE Utilization, ConfigVersionId=14667, SysStatsUtilizationCpu=1.36%, SysStatsUtilizationNetwork=eth0: rcvd = 1959\; sent = 3012 \;rcvd_dropped = 0\; sent_dropped = 0, SysStatsUtilizationNetwork=cni-podman1: rcvd = 1576019\; sent = 114411 \;rcvd_dropped = 0\; sent_dropped = 0, SysStatsUtilizationNetwork=veth2f590a1a: rcvd = SysStatsUtilizationDiskSpace=8% /opt, SysStatsUtilizationDiskSpace=1% /mnt/encpart, SysStatsUtilizationDiskSpace=8% /opt/podman/containers/storage/overlay, AverageRadiusRequestLatency=0, AverageTacacsRequestLatency=0, DeltaRadiusRequestCount=0, DeltaTacacsRequestCount=0, SysStatsUtilizationLoadAvg=0.40, SysStatsCpuCount=16, SysStatsProcessMemoryMB=18082, ActiveSessionCount=0,

Hinweis: Dieser Befehl zeigt die Protokollierungsanwendung localStore/iseLocalStore.log | include 70000\ NOTICE\ funktioniert nicht, abhängig von Ihrem Patch-Level oder ISE-Release (früher). Sie können diesen Befehl auch ausführen show logging application localStore/iseLocalStore.log | "70000 HINWEIS"

Hinweis: Um die Protokollierung zu unterbrechen, drücken Sie einmal Strg + C.

Break-down-Befehl

SSPT33A/admin#show logging application guest.log | include portalwebaction

Erläuterung:

• show: Dieser Befehl wird verwendet, um Informationen anzuzeigen.
• logging: Bezieht sich auf Protokolle oder Protokolldateien.
• application: Gibt die Anwendung oder den Prozess an, deren Protokolle Sie anzeigen möchten.
• guest.log: Gibt die Protokolldatei guest.log an.
• include: Dieser Teil des Befehls filtert die Ausgabe so, dass nur Zeilen enthalten sind, die einem bestimmten Muster oder Schlüsselwort entsprechen.
•   portalwebaction: Das Schlüsselwort oder Muster, nach dem in der Ausgabe des vorherigen Befehls (show logging application guest.log) gesucht werden soll.

Benötigte Datei suchen

Wenn Sie sich nicht sicher sind, welchen Protokollnamen Sie verwenden, können Sie nach weiteren Optionen filtern. Dies ist ein Beispiel. Klicken Sie auf Enter, um die Ausgabe anzuzeigen:

ise3-3a/admin#show logging application | include pxgrid 14059847 Jul 18 2024 20:46:09 pxgrid/pxgrid-server.log 5367398 Jul 12 2024 23:59:39 pxgrid/pxgrid-server.log.2024-07-12-1 16261440 Jul 13 2024 23:59:44 pxgrid/pxgrid-server.log.2024-07-13-1 16261440 Jul 14 2024 23:59:49 pxgrid/pxgrid-server.log.2024-07-14-1 16261794 Jul 15 2024 23:59:53 pxgrid/pxgrid-server.log.2024-07-15-1 16261625 Jul 16 2024 23:59:58 pxgrid/pxgrid-server.log.2024-07-16-1 16261479 Jul 17 2024 23:59:45 pxgrid/pxgrid-server.log.2024-07-17-1 0 Jul 12 2024 15:42:36 pxgrid/pxgrid_dbsync_summary.log 0 Jul 12 2024 15:42:36 pxgrid/pxgrid_internal_dbsync_summary.log 16744 Jul 15 2024 20:45:49 pxgriddirect-connector.log 2841 Jul 15 2024 20:45:44 pxgriddirect-service.log 6277 Jul 12 2024 16:33:53 pxgriddirect-service.log.2024-07-12-1 ise3-3a/admin#