1. はじめに

   ISE で発生した障害を調査するために必要となる Support Bundle （サポートバンドル） の取得方法を紹介します。Support Bundle は、ISE の障害に直接関連したログだけでなく、ご利用の ISE の構成や設定、また機器の状態などを全体的に把握するための基本情報を含んだバンドルになります。

    

   以前ISE2.x　support Bundle の取得方法の記事にて紹介がございました。

    

   ISE 2.x - Support Bundle の取得方法

   https://community.cisco.com/t5/-/-/ta-p/3162429

    

   ISE3.0は取得方法は大きく変わりありませんが、GUIが新しく変更しておりますため、サポートバンドル取得時にISE3.0のスクリーニングショットを加え、本記事を作成させていただいた次第です。

2. 取得対象機器

   Support Bundle は Administration node (Policy Administration Node = PAN) から取得することができます。調査対象となる機器が特定の Policy Service Node (PSN)である場合も、PAN の管理画面に用意されたメニューから、対象となる ISE ノードを選択して Support Bundle を取得します。PAN から取得対象ノードとの間には Deployment として Connected のステータスになっている必要があります。

    

   ・ 矢印の先にあるノードの Support Bundle が取得できます。

   

3. Support Bundle の取得手順

   PAN にアクセスします。左上にある三(以下のスクリーンショットの赤枠)をクリック(もしくは、Ctrl + /)してメニューを表示しオペレーション（Operations)＞トラブルシューティング（Troubleshoot）配下にログのダウンロード（Download Logs）を選択します。

   

    

    

   

   サポートバンドル (Support Bundle) タブが表示されたら、取得対象となるログを選択します。特にサポート担当者からの依頼がない限りは、すべてにチェックを入れ、かつ障害が発生した日時を含む形で 開始日（From Date） -　終了日 （To Date） を選択することをお勧めします。

   

    

    

   以下は、各チェックボックスに含まれるログの概要となります。

    

   ・各ログの内容

    
   

   From Date は当日を起点として15日以内までしか指定できません。超過した範囲を指定するとエラーになります。

   

    

   Support Bundle - Encryption から、バンドルの暗号化の関する設定を実施します。Support Bundle は、GnuPG (GPG) で暗号化したファイルとして生成されますので、共通鍵(Shared Key) となるパスフレーズをあらかじめ指定しておく必要があります。共通鍵を使用して暗号化する場合は、復号にも同じパスフレーズが使用されますので、ファイルの受け渡しに際して、使用したパスフレーズ情報を提供ください。

    

   なお、共通鍵方式に加えて、公開鍵暗号方式(Public Key)による Support Bundle の生成もできます。このオプションを使用すればパスフレーズは不要になりますが、復号して中身が確認できなくなりますので、ご注意ください。

    

   ・以下は ISE 3.0 の画面例となるので Public Key Encryption オプションがあります。

   

    

    

   サポートバンドルの作成（Create Support Bundle ）をクリックすると、以下のダイアログが表示されますので、はい（Yes） で先に進みます。記載のとおり時間がかかりますので、この間、必要に応じて他のページに移動することも可能です。

   

    

    

   進捗はプログレスバーから確認できます。ファイルが生成されたら、ダウンロード（Download） をクリックして、PC のローカル上にダウンロードを行ってください。

    

   

    

4. Log Level の変更方法

   冒頭に記載のとおり、障害の内容によっては、さらに深い調査が必要となり、Log Level を変更したうえで、Support Bundle の再取得をお願いする場合があります。

    

   Log level の変更について、ISE3.0はISE2.xより少々変更がありますので、ご注意ください。

    

   ISE2.xは設定箇所は以下となります。

   Administration > System > Logging > Debug Log Configuration

    

   ISE3.０はPrimary PAN から画面左側にある三ををクリック(もしくは、Ctrl + /)してメニューを表示しオペレーション（Operation)＞トラブルシューティング（Trouble shooting）配下のデバッグウィザード（Debug Wizard）を選択します。

    

   

   デバッグログの設定（Debug Log Configuration）に移動します。Node List から Log level の変更対象となる ISE ノードを選択して、編集（Edit） をクリックします。

    

   

   以下のように Component Name と、現行の Log Level、またそれぞれの説明が記載されたリストが表示されますので、このなかから、対象となる Component を選択して、Log Level を変更します。

    
   

    

   たとえば、Active Directory という Component の Log Level を DEBUG に変更する場合には、Active Directory のラジオボタンを選択して、Edit をクリックします。すると設定変更が出来るようになるので、プルダウンから Log Level を DEBUG にしたうえで、右側の保存（ Save） ボタンを押してください。

    

   

   Log Level を変更後に、問題となる事象を再現させたうえで、再度 Support Bundle を取得ください。Component によっては、Log Level 変更により、ログの出力量が増えて、流れやすくなりますので、事象再現後は、速やかに Support Bundle をご取得ください。

    

   デフォルトにリセット（Reset to Default） をクリックすれば、すべての Component がデフォルトに戻ります。Log Level を個別に元に戻す場合は、プルダウンから Log Level を WARN などの初期設定に変更して Save ボタンを押せば完了です。

    

   また、デバッグプロファイルの設定（Debug Profile Configuration）という方法でログレベルを調整する方法もございます。こちらは以下記事をご参照ください。

   ISE 3.x: Debug Wizard についての紹介

   https://community.cisco.com/t5/-/-/ta-p/4170047

5. 個別にログファイルを取得する方法

   障害内容によっては、Support Bundle から得られるログを補完する形で、ピンポイントで特定のログを取得する場合があります。３で紹介したSupport Bundle の取得手順にあるサポートバンドル （Support Bundle ）タブの隣にあるデバッグログ（Debug Logs） タブを選択すると、対象のISEが保持するログファイルの一覧が出てきます。必要に応じて、ログファイルを個別にダウンロードすることができます。

    

   

   ISE の各コンポーネントと、それぞれが関連するログファイルは以下を照合ください。

   Table 2 Components and Corresponding Debug Logs

   Component	Debug Log
   Active Directory	ad_agent.log
   Cache Tracker	tracking.log
   Entity Definition Framework (EDF)	edf.log
   JMS	ise-psc.log
   License	ise-psc.log
   Notification Tracker	tracking.log
   Replication-Deployment	replication.log
   Replication-JGroup	replication.log
   Replication Tracker	tracking.log
   RuleEngine-Attributes	ise-psc.log
   RuleEngine-Policy-IDGroups	ise-psc.log
   accessfilter	ise-psc.log
   admin-infra	ise-psc.log
   boot-strap wizard	ise-psc.log
   cisco-mnt	ise-psc.log
   client	ise-psc.log
   cpm-clustering	ise-psc.log
   cpm-mnt	ise-psc.log
   epm-pdp	ise-psc.log
   epm-pip	ise-psc.log
   anc	ise-psc.log
   ers	ise-psc.log
   guest	ise-psc.log
   guestauth	ise-psc.log
   guestportal	ise-psc.log
   identitystore-AD	ise-psc.log
   infrastructure	ise-psc.log
   mdm	ise-psc.log
   mdm-pip	ise-psc.log
   mnt-alarm	alarms.log
   mnt-report	reports.log
   mydevices	ise-psc.log
   nsf	ise-psc.log
   nsf-session	ise-psc.log
   org-apache	ise-psc.log
   org-apache-cxf	ise-psc.log
   org-apache-digester	ise-psc.log
   posture	ise-psc.log
   profiler	profiler.log
   provisioning	ise-psc.log
   prrt-JNI	prrt-management.log
   runtime-AAA	prrt-management.log
   runtime-config	prrt-management.log
   runtime-logging	prrt-management.log
   sponsorportal	ise-psc.log
   swiss	ise-psc.log

    

6. Backup-log について

   Backup-logs は、ISE の Command Line Interface (CLI) から backup-logs コマンドで取得するシステムログのバンドルになります。バンドルの内容は、Support Bundle と似ていますが、出力対象となるログを選択したり、期間指定ができないので、ファイルサイズが大きくなります。

    

   PAN の Admin Portal にアクセスが出来ずに、Support Bundle の取得ができないような場合に、代替ログとして取得するケースが考えられます。詳細は コマンドリファレンス にも記載があるので、こちらもご一読ください。

    

   こちらは今までISE2.xでCLIの取得方法と変わりがありませんので、コマンドレファレンスをご参照の上、実施いただければと存じます。

7. ファイルの送付方法

   Cisco の TAC 担当者に送付する際は、以下の方法をご活用ください。

   SR: サイズの大きなファイルのやり取りについて

   TAC にファイルをアップロードする方法

    

[参考資料]

ISE 2.x - Support Bundle の取得方法

https://community.cisco.com/t5/-/-/ta-p/3162429

ISE3.0 admin guide

https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_troubleshooting.html#concept_1C47FDC7FDDE4CF095D0890CEDB7133D