Comprendere Log Analytics-ELK Stack su ISE

Opzioni per il download

  • PDF     (1.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.3 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (958.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 settembre 2023
ID documento:220863

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive i componenti dello stack ELK integrati di Cisco Identity Services Engine (ISE) da 3.3 a System 360 Log Analytics.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco ISE
    • Stack ELK

    Componenti usati

    Il riferimento delle informazioni contenute in questo documento è Cisco ISE 3.3.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    System 360 include Monitoring e Log Analytics.

    La funzionalità Monitoraggio consente di monitorare un'ampia gamma di statistiche di sistema e applicazioni e gli indicatori di prestazioni chiave (KPI) di tutti i nodi di una distribuzione da una console centralizzata. Gli indicatori KPI sono utili per ottenere informazioni dettagliate sullo stato complessivo dell'ambiente del nodo. Le statistiche offrono una rappresentazione semplificata delle configurazioni di sistema e dei dati specifici dell'utilizzo.

    Log Analytics fornisce un sistema di analisi flessibile per un'analisi approfondita dell'autenticazione, dell'autorizzazione e dell'accounting degli endpoint (AAA) e per l'analisi dei dati di syslog. È inoltre possibile analizzare il riepilogo dello stato di salute e gli stati del processo di Cisco ISE. È possibile generare report simili al report dei contatori Cisco ISE e del riepilogo dello stato.

    Stack ELK

    ELK Stack è un popolare stack di software open source utilizzato per la raccolta, l'elaborazione e la visualizzazione di grandi volumi di dati. Sta per Elasticsearch, Logstash e Kibana.

    • Elasticsearch: Elasticsearch è un motore di ricerca e analisi distribuito. È progettato per archiviare, ricercare e analizzare grandi volumi di dati in modo rapido e quasi in tempo reale. Utilizza un linguaggio di query basato su JSON ed è altamente scalabile.

    • Logstash: Logstash è una pipeline di elaborazione dei dati che acquisisce, elabora e trasforma i dati da più origini. È in grado di analizzare e arricchire i dati, rendendoli più strutturati e adatti per l'analisi. Logstash supporta un'ampia gamma di origini di input e destinazioni di output.

    • Kibana: Kibana è una piattaforma di visualizzazione dei dati che lavora con Elasticsearch. Consente agli utenti di creare dashboard interattivi, grafici e visualizzazioni per esplorare e comprendere i dati archiviati in Elasticsearch. L'interfaccia di Kibana semplifica le query e la visualizzazione dei dati.

    Se combinati, questi componenti costituiscono un potente stack per la gestione e l'analisi di diversi tipi di dati, dai file di log alle metriche e altro ancora, fornendo al contempo funzionalità di visualizzazione per dare un senso alle informazioni.

    ELK Stack flowFlusso ELK stack

    ELK Stack as Log Analytics

    • Un'istanza separata dello stack ElasticSearch+LogStash+Kibana è in esecuzione solo sui nodi MnT.
      • Non esiste alcuna correlazione con Elasticsearch di Context-Visibility.
      • ELK 7.17 in esecuzione
    • Le MNT primarie e secondarie hanno istanze separate di ELK.
      • Kibana è abilitato solo sul MNT secondario se è disponibile, visualizzando i dati solo da questo nodo.
    • Log Analytics è disabilitato per impostazione predefinita.
    • Utilizza le risorse Oracle.
    • Memorizza fino a 7 giorni di dati.
    • La dimensione totale dei dati utilizzati da Log Analytics è limitata a 10 GB.
      • Una volta raggiunto uno qualsiasi dei limiti, ElasticSearch elimina i dati.

    ELK flow as Log AnalyticsFlusso ELK come analisi del log

    Flowchart of ELK in ISEDiagramma di flusso di ELK in ISE

    Abilita analisi registro

    Log analytics è disabilitato per impostazione predefinita su ISE. Per attivarlo, passare a  Operations > System 360 > Settings  come mostrato nell'immagine.

    Enable log analyticsAbilita analisi registro

    L'inizializzazione dello stack ELK da parte di ISE richiede circa un minuto. È possibile controllare lo stato utilizzando  show app stat ise.

    È inoltre possibile controllare lo stato del contenitore dalla radice.

    admin#show application status ise

    ISE PROCESS NAME STATE PROCESS ID 
    --------------------------------------------------------------------
    Database Listener running 7708 
    Database Server running 132 PROCESSES
    Application Server running 551493 
    Profiler Database running 14281 
    ISE Indexing Engine running 553168 
    AD Connector running 41413 
    M&T Session Database running 26017 
    M&T Log Processor running 33547 
    Certificate Authority Service running 41230 
    EST Service running 659568 
    SXP Engine Service disabled 
    TC-NAC Service disabled 
    PassiveID WMI Service disabled 
    PassiveID Syslog Service disabled 
    PassiveID API Service disabled 
    PassiveID Agent Service disabled 
    PassiveID Endpoint Service disabled 
    PassiveID SPAN Service disabled 
    DHCP Server (dhcpd) disabled 
    DNS Server (named) disabled 
    ISE Messaging Service running 10937 
    ISE API Gateway Database Service running 13294 
    ISE API Gateway Service running 586762 
    ISE pxGrid Direct Service running 637606 
    Segmentation Policy Service disabled 
    REST Auth Service disabled 
    SSE Connector disabled 
    Hermes (pxGrid Cloud Agent) disabled 
    McTrust (Meraki Sync Service) disabled 
    ISE Node Exporter running 44422 
    ISE Prometheus Service running 47890 
    ISE Grafana Service running 51094 
    ISE MNT LogAnalytics Elasticsearch running 611684 
    ISE Logstash Service running 614339 
    ISE Kibana Service running 616064 
    ISE Native IPSec Service running 75883 
    MFC Profiler running 651910

    Menu di spostamento

    Una volta avviati i servizi ELK, è possibile accedere al menu di navigazione Elastic.

    Navigation menuMenu di navigazione

    Dashboard incorporati

    • Per impostazione predefinita, ISE dispone di dashboard integrati con dati provenienti da Radius, TACACS, prestazioni del sistema e visibilità ISE.
    • È possibile accedere a questi dashboard passando a  Operations > Log Analytics .
      • Dopo aver aperto Elastic UI, fare clic su  Sandwich Menu > Analytics > Dashboards .

    Built-in dashboardsDashboard incorporati

    • Dashboard disponibili su ISE 3.3.

    ISE 3.3 log analytics dashboardsDashboard ISE 3.3 log analytics

    Crea nuovi dashboard

    Passaggio 1. Crea modelli di indice (origine dati)

    In Kibana, i "modelli di indice" sono configurazioni che consentono di definire il modo in cui Kibana interagisce con uno o più indici Elasticsearch.

    Passa a  Management > Stack Management > Kibana > Index Patternse fare clic su Create Index Pattern come mostrato nell'immagine.

    Create index patternCrea modello di indice

    Viene visualizzata la finestra successiva che elenca tutti gli indici disponibili su ISE.

    • Digitare il nome dell'indice desiderato, che può essere una corrispondenza esatta o un carattere jolly utilizzando *.
    • Selezionare il campo Timestamp, log_at, log_at_timezone o "Non voglio usare il filtro temporale".
    • Quindi, fare clic su  Create index pattern.

    Select indexSeleziona indice

    Una volta creato, l'indice elenca tutte le variabili associate che possono essere utilizzate successivamente per creare visualizzazioni.

    Index variablesVariabili indice

    Passaggio 2. Crea effetti grafici

    In Kibana le "visualizzazioni" sono rappresentazioni grafiche dei dati. Consentono di prendere i dati memorizzati in Elasticsearch e trasformarli in grafici, diagrammi e diagrammi significativi per una migliore comprensione e analisi. Di seguito sono riportati alcuni tipi comuni di effetti grafici che è possibile creare:

    • Lente: crea la visualizzazione con un editor di trascinamento. Consigliato.
    • Grafici a barre: visualizzano i dati in barre verticali, semplificando il confronto dei valori tra categorie o intervalli di tempo.
    • Grafici a linee: nei grafici a linee i dati vengono visualizzati come una serie di coordinate collegate da linee. Sono utili per visualizzare le tendenze nel tempo.
    • Grafici a torta: i grafici a torta rappresentano i dati in un grafico circolare, in cui ogni segmento della torta rappresenta una categoria e le dimensioni del segmento ne indicano le proporzioni.
    • Grafici ad area: simili ai grafici a linee, anche i grafici ad area mostrano le tendenze nel tempo, ma riempiono l'area sotto le linee, rendendo più facile vedere l'entità delle modifiche.
    • Mappe termiche: le mappe termiche utilizzano i colori per rappresentare i valori dei dati in una matrice o griglia. Sono utili per mostrare concentrazioni o variazioni nei dati.
    • Visualizzazioni metriche: visualizzano singoli valori numerici, ad esempio conteggi o medie. Vengono spesso utilizzati per visualizzare indicatori di prestazioni chiave (KPI).
    • Tabelle di dati: le tabelle di dati presentano dati non elaborati in formato tabulare, consentendo di visualizzare informazioni dettagliate e di ordinare o filtrare i dati.
    • Istogrammi: gli istogrammi dividono i dati in raccoglitori o intervalli e visualizzano la frequenza o il conteggio dei dati in ciascun raccoglitore. Sono utili per comprendere le distribuzioni dei dati.
    • Mappe coordinate: consentono di visualizzare i dati geospaziali e di utilizzare diversi marcatori, colori o dimensioni per rappresentare gli attributi dei dati.
    • Tag cloud: le tag cloud visualizzano le frequenze delle parole, con le dimensioni di ogni parola che ne indicano l'importanza o la frequenza in un dataset.

    Passa a  Analytics > Visualize Library , quindi scegliere  Create Visualization come mostrato nell'immagine.

    Create visualizationCrea visualizzazione

    Selezionare la visualizzazione della preferenza, in questo esempio Lente è preferibile per praticità.

    Select visualization typeSeleziona tipo di visualizzazione

    Obiettivo Kibana, gli elementi di navigazione sono costituiti da:

    • Selezione origine dati: nel pannello a sinistra, è possibile selezionare l'origine dati o il modello di indice di ricerca elastica da utilizzare per la visualizzazione.
    • Area di visualizzazione: l'area centrale è quella in cui è possibile creare la visualizzazione trascinando e rilasciando i campi, selezionando i tipi di grafico e configurando le impostazioni del grafico.
    • Barra degli strumenti Visualizzazione: nella parte superiore dell'area di lavoro è disponibile una barra degli strumenti che consente di personalizzare la visualizzazione, incluse le opzioni per la modifica dei tipi di grafico, l'aggiunta di filtri e la configurazione delle impostazioni del grafico.

    • Pannello dati: sul lato destro, è possibile accedere al pannello "Dati", che consente di gestire la trasformazione dei dati, l'aggregazione e le impostazioni dei campi.

    • Gestione livelli: a seconda del tipo di visualizzazione che si sta creando (ad esempio, i grafici a livelli), è possibile disporre di un'area di gestione dei livelli per la configurazione di più livelli nella visualizzazione.

    • Anteprima: quando si apportano modifiche alla visualizzazione, in genere viene fornita un'anteprima in tempo reale che consente di verificare l'aspetto del grafico con le impostazioni correnti.

    • Impostazioni visualizzazione: a seconda del tipo di grafico selezionato, è possibile accedere a impostazioni specifiche per il tipo di visualizzazione, ad esempio la configurazione degli assi, le combinazioni di colori e le etichette.

    • Impostazioni interattività: è possibile aggiungere interazioni e azioni alla visualizzazione, consentendo agli utenti di filtrare i dati o di passare ad altre parti dei dashboard Kibana.

    • Salva e condividi: nella parte superiore dell'interfaccia dell'obiettivo sono in genere disponibili opzioni per salvare la visualizzazione, aggiungerla a un dashboard o condividerla con altri utenti.

    Lens visualizationVisualizzazione dell'obiettivo

    A causa dell'ID bug Cisco CSCwh48057, nel pannello sinistro non vengono visualizzati i campi disponibili per l'uso. Tuttavia, dal lato destro è possibile selezionare i campi obbligatori e lo stile del diagramma. In questo esempio, poiché la latenza di autenticazione è un argomento di interesse comune, il grafico viene creato per visualizzare la latenza di autenticazione rispetto all'ID dell'endpoint.

    Endpoint ID vs latencyID endpoint e latenza

    Al termine, è possibile fare clic sul pulsante  Save nell'angolo destro, come mostrato nell'immagine.

    Save visualizationSalva visualizzazione

    Passaggio 3. Creare un dashboard

    Aggiunge automaticamente la nuova visualizzazione in un nuovo dashboard. È importante ricordare che i dashboard Kibana consentono agli utenti di creare, personalizzare e condividere visualizzazioni e report interattivi basati sui dati archiviati negli indici Elasticsearch.

    New DashboardNuovo dashboard

    Risoluzione dei problemi

    • Verificare che i servizi dello stack ELK siano in esecuzione sul MNT.
    • Poiché Kibana, Logstash ed Elasticsearch sono in esecuzione su contenitori, i registri sono disponibili in:
    admin#show logging application ise-kibana/kibana.log
    admin#show logging application ise-logstash/logstash.log
    admin#show logging application mnt-la-elasticsearch/mnt-la-elasticsearch.log

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    05-Sep-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Jonathan Casillas
      Responsabile tecnico della sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti