簡介
本文檔介紹如何透過CLI或GUI從Cisco ISE 3.x收集支援捆綁包,其中包含ISE故障排除所需的重要資料。
收集思科ISE上的支援捆綁包
步驟 1.啟用ISE元件的調試
ISE上的各種問題需要不同的日誌集來進行故障排除。TAC工程師必須提供所需調試的完整清單。但是,ISE 3.x具有預配置的調試類別,您可以使用這些類別來收集初始徽標以加快案例解決速度。
TAC工程師請求的調試清單必須始終優先於此清單。
要查詢這些預配置的調試,請導航到Operations > Troubleshoot > Debug Wizard > Debug Profile Configuration。
選擇必須啟用調試的功能,並在每行開頭選擇適當的覈取方塊,例如802.1x(紅色),然後導航到節點選擇(綠色):
然後,選擇必須啟用這些調試的節點,並在每行開頭選擇適當的覈取方塊(紅色)並儲存更改(綠色):
此頁面會移回「除錯設定檔組態」,並將除錯狀態變更為「已啟用」,其中包含執行這些除錯的節點相關資訊。
步驟 2.重新建立問題
啟用所有需要的調試後,請重新建立問題以生成日誌。
如果無法手動觸發問題,則必須等待下一次發生。
如果問題發生在啟用調試之前,則沒有足夠的資訊進行故障排除。
理想情況下,必須在問題發生後立即收集支援捆綁包。請注意日誌分析所需的輔助資訊:
- 重新建立的時間戳記
- 事件的任何唯一id,如MAC地址、IP地址、使用者名稱或會話ID(這取決於具體情況,通常是MAC/IP +使用者名稱足夠)
步驟 3.停用偵錯
在重新建立問題後,立即停用偵錯,以防止新產生的記錄被過度記錄覆寫。
為此,請重複步驟1中的操作。但是,在節點選擇頁面上,取消選中適當的覈取方塊並像以前一樣進行儲存。
步驟 4.收集支援捆綁包
導航到Operations > Troubleshooting > Download Logs,並選擇ISE節點(啟用了調試的那個)。在每個節點的頁籤上,有兩個選項:收集支援捆綁包(紅色)或下載特定日誌檔案-調試日誌(橙色)。
對於調試日誌,將顯示所有可用日誌檔案的完整清單。按一下檔案名稱後,就會下載檔案。
支援捆綁包是一個包含所選組中的所有日誌的軟體套件。
- 完整配置資料庫將完整ISE配置附加到支援捆綁包
- 調試日誌最常使用,因為它們包含所有ISE元件的所有調試
- 本地日誌包含顯示部署中此節點的RADIUS身份驗證的日誌
- 核心檔案可能會導致Support Bundle增加,但在進行當機故障診斷時需要用到
- 監控和報告日誌包含運算元據
- 系統日誌包含系統特定日誌(用於排除作業系統提供的服務故障)
- 策略配置- ISE上已配置策略的版
xml 本
對於大多數情況,僅包含調試日誌和本地日誌就足夠了。對於穩定性和效能問題,也需要核心日誌和系統日誌。
如果您選擇僅公開金鑰加密,TAC便可以使用思科私密金鑰來解密此套件組合。共用金鑰可讓您設定解密記錄所需的密碼。
如果是共用金鑰,請確保TAC工程師可以訪問它,以便可以在思科端解密捆綁包。
設定好所有內容後,按一下Create Support Bundle按鈕並等待。
建立支援捆綁包的流程完成後,即可下載。按一下Download後,支援捆綁包將儲存在PC的本地磁碟上,並且可以上傳到TAC以進行故障排除。
如果Web介面不可用,您可以從CLI收集支援捆綁包。為此,請使用SSH或控制檯訪問登入,然後使用命令:
backup-logs name repository ftp {encryption-key plain key | public-key}
name —支援捆綁的名稱
ftp -在ISE上配置的儲存庫的名稱
金鑰-用於加密/解密支援捆綁的金鑰
上傳支援捆綁包的官方工具是https://mycase.cloudapps.cisco.com/case。
請勿壓縮或變更支援套件組合的副檔名。它必須以從ISE下載的相同狀態上載。