Introduzione
Questo documento descrive come raccogliere il Support Bundle da Cisco ISE 3.x tramite CLI o GUI, che contiene i dati vitali necessari per la risoluzione dei problemi ISE.
Pacchetto di supporto Collect su Cisco ISE
Passaggio 1. Abilitazione dei debug per i componenti ISE
La risoluzione dei problemi relativi a diversi tipi di problemi richiede l'uso di diverse serie di registri. Il tecnico TAC deve fornire un elenco completo dei debug necessari. Tuttavia, ISE 3.x dispone di categorie di debug preconfigurate che è possibile utilizzare per raccogliere i logo iniziali e velocizzare la risoluzione delle richieste.
L'elenco dei debug richiesto dal tecnico TAC deve sempre avere la priorità su tale elenco.
Per individuare questi debug preconfigurati, accedere a Operations > Troubleshoot > Debug Wizard > Debug Profile Configuration.
Scegliere la funzionalità per cui devono essere attivati i debug selezionando la casella di controllo appropriata all'inizio di ogni riga, ad esempio 802.1x (rosso), e passare alla selezione del nodo (verde):
Scegliere quindi i nodi per i quali devono essere attivati i debug selezionando la casella di controllo appropriata all'inizio di ogni riga (in rosso) e salvando le modifiche (in verde):
La pagina viene nuovamente spostata in Configurazione profilo di debug e lo stato del debug viene modificato in ABILITATO con le informazioni sui nodi che eseguono questi debug.
Passaggio 2. Ricreare il problema
Quando tutti i debug necessari sono abilitati, ricreare il problema per generare i log.
Se il problema non può essere attivato manualmente, è necessario attendere l'occorrenza successiva.
Se il problema si è verificato prima dell'attivazione dei debug, le informazioni disponibili non sono sufficienti per risolvere il problema.
Idealmente, il pacchetto di supporto deve essere raccolto subito dopo il verificarsi del problema. Tenete presente le informazioni supplementari necessarie per l'analisi del log:
- data e ora della ricreazione
- qualsiasi ID univoco per l'evento, ad esempio indirizzo MAC, indirizzo IP, nome utente o ID sessione (che dipende dalle circostanze, in genere MAC/IP + nome utente è sufficiente)
Passaggio 3. Disabilita debug
Subito dopo aver ricreato il problema, disattivare i debug per evitare che i log appena generati vengano sovrascritti da un numero eccessivo di log.
A tale scopo, ripetere le azioni dal passaggio 1. Tuttavia, nella pagina di selezione dei nodi, deselezionare le caselle di controllo appropriate e salvare come in precedenza.
Passaggio 4. Raccogli pacchetto di supporto
Individuare Operations > Troubleshooting > Download Logsil nodo ISE (quello in cui sono stati abilitati i debug) e selezionarlo. Nella scheda di ogni nodo sono disponibili due opzioni: Raccogli pacchetto di supporto (rosso) o scarica file di registro specifico - Registri di debug (arancione).
Per i log di debug, viene visualizzato un elenco completo di tutti i file di log disponibili. Dopo aver fatto clic sul nome del file, questo viene scaricato.
Il pacchetto di supporto è un pacchetto che contiene tutti i registri dei gruppi selezionati.
- Il database di configurazione completa allega la configurazione ISE completa al pacchetto di supporto
- i log di debug sono i più utilizzati in quanto contengono tutti i debug di tutti i componenti ISE
- I log locali contengono un log che mostra le autenticazioni Radius per questo nodo nella distribuzione
- i file di base possono causare la crescita del pacchetto di supporto, ma è necessario durante la risoluzione dei problemi di arresto anomalo del sistema
- i registri di monitoraggio e reporting contengono dati operativi
- i registri di sistema contengono registri specifici del sistema (per i servizi di risoluzione dei problemi forniti dal sistema operativo)
- configurazione dei criteri -
xml versione dei criteri configurati su ISE
Per la maggior parte degli scenari, è sufficiente includere i log di debug e i log locali. Anche per i problemi di stabilità e prestazioni sono necessari i registri di sistema e di base.
Se si sceglie solo la crittografia a chiave pubblica, TAC è in grado di decrittografare il bundle con l'uso di una chiave privata Cisco. La chiave condivisa consente di impostare le password necessarie per decrittografare i registri.
Nel caso di una chiave condivisa, verificare che il tecnico TAC abbia accesso a tale chiave in modo che il bundle possa essere decriptato sul lato Cisco.
Una volta impostati tutti gli elementi, fare clic sul Create Support Bundle pulsante e attendere.
Al termine del processo di creazione del Pacchetto di supporto, è possibile scaricarlo. Dopo aver fatto clic su Download , il pacchetto di supporto viene salvato sul disco locale del PC e può essere caricato in TAC per consentire la risoluzione dei problemi.
Se l'interfaccia Web non è disponibile, è possibile raccogliere il pacchetto di supporto dalla CLI. A tale scopo, accedere con l'uso del protocollo SSH o dell'accesso alla console e usare il comando:
backup-logs name repository ftp {encryption-key plain key | public-key}
name - il nome del pacchetto di supporto
ftp - il nome del repository configurato su ISE
key - è la chiave utilizzata per crittografare/decrittografare il pacchetto di supporto
Lo strumento ufficiale per caricare il pacchetto di supporto è https://mycase.cloudapps.cisco.com/case.
Non comprimere né modificare l'estensione del file del pacchetto di supporto. e deve essere caricato nello stato esatto in cui si trovava quando è stato scaricato da ISE.