Comprensión de Log Analytics-ELK Stack en ISE

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (958.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de septiembre de 2023
ID del documento:220863

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los componentes de la pila ELK incorporados desde Cisco Identity Services Engine (ISE) 3.3 hasta el análisis de registro de System 360.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • ISE de Cisco
    • Pila ELK

    Componentes Utilizados

    La información de este documento se basa en Cisco ISE 3.3.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    System 360 incluye Monitoring y Log Analytics.

    La función Supervisión permite supervisar una amplia gama de estadísticas de aplicaciones y sistemas, así como los indicadores clave de rendimiento (KPI) de todos los nodos de una implementación desde una consola centralizada. Los KPI son útiles para obtener información sobre el estado general del entorno de nodos. Las estadísticas ofrecen una representación simplificada de las configuraciones del sistema y los datos específicos de la utilización.

    Log Analytics proporciona un sistema de análisis flexible para el análisis en profundidad de la autenticación, autorización y contabilidad (AAA) de terminales, y la creación de perfiles de los datos de syslog. También puede analizar el resumen de estado de Cisco ISE y los estados de los procesos. Puede generar informes similares a los informes de contadores y resumen de estado de Cisco ISE.

    Pila ELK

    La pila ELK es una popular pila de software de código abierto utilizada para recopilar, procesar y visualizar grandes volúmenes de datos. Significa Elasticsearch, Logstash y Kibana.

    • Elasticsearch: Elasticsearch es un motor de búsqueda y análisis distribuido. Está diseñado para almacenar, buscar y analizar grandes volúmenes de datos de forma rápida y casi en tiempo real. Utiliza un lenguaje de consulta basado en JSON y es muy escalable.

    • Logstash: Logstash es una canalización de procesamiento de datos que ingiere, procesa y transforma datos de varios orígenes. Puede analizar y enriquecer los datos, haciéndolos más estructurados y adecuados para el análisis. Logstash admite una amplia gama de fuentes de entrada y destinos de salida.

    • Kibana: Kibana es una plataforma de visualización de datos que funciona con Elasticsearch. Permite a los usuarios crear paneles interactivos, gráficos y visualizaciones para explorar y comprender los datos almacenados en Elasticsearch. La interfaz de Kibana facilita la consulta y visualización de datos.

    Cuando se combinan, estos componentes forman una potente pila para gestionar y analizar diversos tipos de datos, desde archivos de registro hasta métricas y mucho más, a la vez que proporcionan funciones de visualización para dar sentido a la información.

    ELK Stack flowFlujo de pila ELK

    Análisis de la pila ELK como registro

    • Una instancia independiente de la pila ElasticSearch+LogStash+Kibana se está ejecutando sólo en nodos MnT.
      • Esto no tiene ninguna correlación con la Elastic Search of Context-Visibility.
      • Ejecución de ELK 7.17
    • Los TMN primarios y secundarios tienen sus propias instancias separadas de ELK.
      • Kibana está habilitado solo en MNT secundario si está disponible, mostrando datos solo de este nodo.
    • El análisis de registros está desactivado de forma predeterminada.
    • Consume recursos de Oracle.
    • Almacena un máximo de 7 días de datos.
    • El tamaño total de los datos consumidos por Log Analytics está restringido a 10 GB.
      • Una vez alcanzado cualquiera de los límites, ElasticSearch purga los datos.

    ELK flow as Log AnalyticsFlujo de ELK como análisis de registro

    Flowchart of ELK in ISEDiagrama de flujo de ELK en ISE

    Habilitar análisis de registros

    El análisis de registros está desactivado de forma predeterminada en ISE. Para activarlo, vaya a  Operations > System 360 > Settings  como se muestra en la imagen.

    Enable log analyticsHabilitar análisis de registro

    ISE tarda aproximadamente un minuto en inicializar la pila ELK. Puede comprobar el estado mediante  show app stat ise.

    Además, puede verificar el estado del contenedor desde la raíz.

    admin#show application status ise

    ISE PROCESS NAME STATE PROCESS ID 
    --------------------------------------------------------------------
    Database Listener running 7708 
    Database Server running 132 PROCESSES
    Application Server running 551493 
    Profiler Database running 14281 
    ISE Indexing Engine running 553168 
    AD Connector running 41413 
    M&T Session Database running 26017 
    M&T Log Processor running 33547 
    Certificate Authority Service running 41230 
    EST Service running 659568 
    SXP Engine Service disabled 
    TC-NAC Service disabled 
    PassiveID WMI Service disabled 
    PassiveID Syslog Service disabled 
    PassiveID API Service disabled 
    PassiveID Agent Service disabled 
    PassiveID Endpoint Service disabled 
    PassiveID SPAN Service disabled 
    DHCP Server (dhcpd) disabled 
    DNS Server (named) disabled 
    ISE Messaging Service running 10937 
    ISE API Gateway Database Service running 13294 
    ISE API Gateway Service running 586762 
    ISE pxGrid Direct Service running 637606 
    Segmentation Policy Service disabled 
    REST Auth Service disabled 
    SSE Connector disabled 
    Hermes (pxGrid Cloud Agent) disabled 
    McTrust (Meraki Sync Service) disabled 
    ISE Node Exporter running 44422 
    ISE Prometheus Service running 47890 
    ISE Grafana Service running 51094 
    ISE MNT LogAnalytics Elasticsearch running 611684 
    ISE Logstash Service running 614339 
    ISE Kibana Service running 616064 
    ISE Native IPSec Service running 75883 
    MFC Profiler running 651910

    Menú de navegación

    Una vez iniciados los servicios de ELK, tendrá acceso al menú de navegación Elastic (Elástico).

    Navigation menuMenú de navegación

    Paneles integrados.

    • ISE incorpora de forma predeterminada paneles con datos de Radius, TACACS, rendimiento del sistema y capacidad de observación de ISE.
    • Para acceder a estos paneles, vaya a  Operations > Log Analytics .
      • Una vez que esté abierto Elastic UI, haga clic en  Sandwich Menu > Analytics > Dashboards .

    Built-in dashboardsPaneles integrados.

    • Paneles disponibles en ISE 3.3.

    ISE 3.3 log analytics dashboardsPaneles de análisis de registro ISE 3.3

    Crear nuevos paneles

    Paso 1. Crear patrones de índice (origen de datos)

    En Kibana, los "patrones de índice" son configuraciones que le permiten definir cómo Kibana interactúa con uno o más índices de búsqueda elástica.

    Desplácese hasta  Management > Stack Management > Kibana > Index Patternsy haga clic en Create Index Pattern como se muestra en la imagen.

    Create index patternCrear patrón de índice

    La siguiente ventana muestra una lista de todos los índices disponibles en ISE.

    • Escriba el nombre del índice en el que está interesado; puede ser una coincidencia exacta o un comodín mediante *.
    • Seleccione el campo Timestamp, logging_at, logging_at_timezone o "No quiero utilizar el filtro de tiempo".
    • A continuación, haga clic en  Create index pattern.

    Select indexSeleccionar índice

    Una vez creado, el índice muestra todas las variables asociadas que se pueden utilizar más adelante para crear visualizaciones.

    Index variablesVariables de índice

    Paso 2. Crear visualizaciones

    En Kibana, las "visualizaciones" son representaciones gráficas de sus datos. Le permiten tomar los datos almacenados en Elasticsearch y convertirlos en gráficos significativos, gráficos y diagramas para una comprensión y análisis más sencillos. Estos son algunos tipos comunes de visualizaciones que puede crear:

    • Lente: crea la visualización con un editor de arrastrar y soltar. Recomendado.
    • Gráficos de barras: muestran datos en barras verticales, lo que facilita la comparación de valores entre categorías o intervalos de tiempo.
    • Gráficos de líneas: los gráficos de líneas muestran los datos como una serie de puntos de datos conectados por líneas. Son útiles para visualizar tendencias a lo largo del tiempo.
    • Gráficos circulares: los gráficos circulares representan datos en un gráfico circular, en el que cada segmento del gráfico circular representa una categoría y el tamaño del segmento indica su proporción.
    • Gráficos de área: de forma similar a los gráficos de líneas, los gráficos de área también muestran tendencias a lo largo del tiempo, pero rellenan el área debajo de las líneas, lo que facilita la visualización de la magnitud de los cambios.
    • Mapas de calor: Los mapas de calor utilizan colores para representar valores de datos en una matriz o cuadrícula. Son útiles para mostrar concentraciones o variaciones en los datos.
    • Visualizaciones de Métricas: Muestran valores numéricos únicos, como recuentos o promedios. A menudo se utilizan para mostrar indicadores clave de rendimiento (KPI).
    • Tablas de datos: las tablas de datos presentan datos sin formato en forma de tabla, lo que le permite ver información detallada y ordenar o filtrar los datos.
    • Histogramas: Los histogramas dividen los datos en contenedores o intervalos y muestran la frecuencia o el recuento de puntos de datos en cada contenedor. Resultan útiles para comprender las distribuciones de datos.
    • Mapas de coordenadas: visualizan datos geoespaciales, lo que le permite mostrar datos en un mapa y utilizar varios marcadores, colores o tamaños para representar atributos de datos.
    • Nubes de etiquetas: las nubes de etiquetas muestran frecuencias de palabras, con el tamaño de cada palabra que indica su importancia o frecuencia en un conjunto de datos.

    Desplácese hasta  Analytics > Visualize Library y, a continuación, haga clic en  Create Visualization como se muestra en la imagen.

    Create visualizationCrear visualización

    Seleccione la visualización de su preferencia, en este ejemplo se prefiere la lente para mayor practicidad.

    Select visualization typeSeleccionar tipo de visualización

    Kibana Lens, artículos de navegación consisten en:

    • Selección de origen de datos: en el panel izquierdo, puede seleccionar el origen de datos o el patrón de índice de Elastic Search que desea utilizar para la visualización.
    • Lienzo de visualización: el área central es donde se crea la visualización arrastrando y soltando campos, seleccionando tipos de gráficos y configurando la configuración del gráfico.
    • Barra de herramientas de visualización: en la parte superior del lienzo, puede encontrar una barra de herramientas que le permite personalizar su visualización, incluidas las opciones para cambiar los tipos de gráficos, agregar filtros y configurar las opciones del gráfico.

    • Panel de datos: en el lado derecho, puede acceder al panel "Datos", que le permite administrar la transformación de datos, la agregación y la configuración de campo.

    • Administración de capas: en función del tipo de visualización que esté creando (por ejemplo, gráficos de capas), puede disponer de un área de administración de capas para configurar varias capas en la visualización.

    • Vista previa: A medida que realiza cambios en la visualización, normalmente se proporciona una vista previa en tiempo real para que pueda ver el aspecto del gráfico con la configuración actual.

    • Configuración de visualización: en función del tipo de gráfico seleccionado, puede acceder a la configuración específica de ese tipo de visualización, como la configuración de ejes, las combinaciones de colores y las etiquetas.

    • Configuración de interactividad: puedes añadir interacciones y acciones a tu visualización, permitiendo a los usuarios filtrar datos o navegar a otras partes de tus tableros de Kibana.

    • Guardar y compartir: en la parte superior de la interfaz del objetivo, normalmente hay opciones para guardar la visualización, agregarla a un panel o compartirla con otros usuarios.

    Lens visualizationVisualización del objetivo

    Debido al ID de bug de Cisco CSCwh48057, el panel izquierdo no muestra los campos disponibles para utilizar. Sin embargo, desde el lado derecho, puede seleccionar los campos requeridos más el estilo del diagrama. En este ejemplo, dado que la latencia de autenticación es un tema de interés común, el gráfico está diseñado para visualizar la latencia de autenticación frente al ID de terminal.

    Endpoint ID vs latencyID de terminal frente a latencia

    Una vez hecho esto, puede hacer clic en el botón  Save en la esquina derecha, como se muestra en la imagen.

    Save visualizationGuardar visualización

    Paso 3. Crear un panel

    Agrega automáticamente la nueva visualización a un nuevo panel. Tenga en cuenta que los paneles de Kibana permiten a los usuarios crear, personalizar y compartir visualizaciones interactivas e informes basados en datos almacenados en índices de búsqueda elástica.

    New DashboardNuevo panel

    Resolución de problemas

    • Verifique que los servicios de pila ELK se estén ejecutando en el MNT.
    • Dado que Kibana, Logstash y Elasticsearch se ejecutan en contenedores, los registros se encuentran en:
    admin#show logging application ise-kibana/kibana.log
    admin#show logging application ise-logstash/logstash.log
    admin#show logging application mnt-la-elasticsearch/mnt-la-elasticsearch.log

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    05-Sep-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jonathan Casillas
      Security Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos