Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
903
Apresentações
2
Útil
0
Comentários

ISE - O que precisamos saber sobre Support Bundle

Marcelo Morais
VIP
VIP

‎01-13-2025 11:02 AM - editado ‎01-29-2025 12:31 PM

 

A versão em Inglês deste Artigo se encontra em: ISE - What we need to know about Support Bundle .

 

MarceloMorais_0-1654436644727.png Para obter uma cópia off-line ou impressa deste documento, basta escolher ⋮ Opções > Página Amigável para Impressora. Você pode então Imprimir > Imprimir em PDF ou Copiar & Colar em qualquer outro formato de documento de sua preferência.

 

Introdução

No Cisco ISESupport Bundle é uma coleção de Logs, Configuration Files e Diagnostic Information que podem ajudar a solucionar problemas do seu ISE Deployment.

Podemos pensar no Support Bundle como sendo o equivalente ao comando show tech-support de um Cisco IOS Device.

 

Nota: este Artigo utiliza o Cisco ISE 3.4 P1 (lançado em 18/Dez/2024) como exemplo.

 

Formato

O Support Bundle é um arquivo criptografado TAR.GPG que pode ser gerado via CLI ou GUI.

 

. o GPG (GNU Privacy Guard) é gratuito, ferramenta Open-Source que Criptografa Arquivos e fornece Assinaturas Digitais.

 

Possíveis formatos: 

  • CLI

Public Key Encryption

ise-support-bundle-pk-<Support Bundle Name>-yymmdd-hhmm.tar.gpg

Shared Key Encryption

ise-support-bundle-<Support Bundle Name>-yymmdd-hhmm.tar.gpg

 

  • GUI

Public Key Encryption

ise-support-bundle-pk-<ISE Node Hostname>-<Admin Username>-mm-dd-yyyy-hh-mm.tar.gpg

Shared Key Encryption

ise-support-bundle-<ISE Node Hostname>-<Admin Username>-mm-dd-yyyy-hh-mm.tar.gpg

 

Support Bundle 

O Support Bundle pode ser gerado via:

  • CLI
ise/admin# backup-logs <backup-name> repository <repository-name> {public-key | {encryption-key { hash | plain } <encryption-key name>}} ?
 Possible completions:
  core-files Include Core and Heap dumps
  date-from Start date for support bundle
  date-to End date for support bundle
  db-logs Include full configuration database
  debug-logs Include debug logs
  local-logs Include local logs
  mnt-report-logs Include monitoring and reporting logs
  policy-cache-logs Include policy cache logs
  policy-conf-logs Include policy configuration logs
  system-logs Include system logs
  | Output modifiers
  <cr>

 

  • GUI

Em Operations > Troubleshoot > Download Logs > Support Bundle:

Support Bundle.png

 

Nota: o resultado do comando show tech-support sempre será incluído em qualquer (CLI ou GUISupport Bundle,

 

Categoria de Logs

Os Logs são categorizados nos seguintes Grupos (CLI | GUI) : 

  • db-logs | Include Full Configuration Database

Exporta o ISE Configuration Database.

 

. O Intervalo de Datas (From Date & To Date) não se aplica pra esta categoria !!!
. Permite que o Cisco TAC importe o Database Configuration em outro ISE Node para recriar o cenário.

 

  • debug-logs | Include Debug Logs

Arquivos relacionados ao Apache Tomcat Configuration.

Arquivos relacionado ao ISE Configuration, Property e Resource.

Logs de Oracle e Timesten.

Arquivos relacionados a Protocol Runtime e Policy Services Component.

Logs do ISE Messaging

Inclui SSE Configuration and Logs.

Dashboard Summary, Health Monitoring Test log, e pxGrid Databases Synchronization Test log (se o pxGrid estiver ativo no Deployment).

 

. Timesten é o Internal Database usado pelo M&T.

 

  • local-logs | Include Local Logs

Uma cópia local dos RADIUS Logs.

 

  • core-files | Include Core Files

ISE Core Files.

 

. Esses Logs são criados se o Application travar e incluir Core Dumps Files.

 

  • mnt-report-logs | Include Monitoring and Reporting Logs

Contém CSV Files exportados de vários Operational Counters (M&T)

 

. O Intervalo de Datas (From Date & To Date) não se aplica pra esta categoria !!!

 

  • system-logs | Include System Logs

Logs específicos do ADE-OS.

Logs específicos do confd

Logs de Oracle e Timesten.

Logs do Apache Tomcat.

 

. O Cisco ISE é executado no Cisco Application Deployment Engine Operating System (ADE-OS), que é baseado no
 Red Hat Enterprise Linux (RHEL). Para o Cisco ISE 3.4, o ADE-OS é baseado no RHEL 8.8.

 

  • policy-conf-logs | Include Policy Configuration

Authentication & Authorization Policy Configuration.

 

. O Intervalo de Datas (From Date & To Date) não se aplica pra esta categoria !!!

 

  • policy-cache-logs | Include Policy Cache

Informações de Cache do Policy Sets.

 

Intervalo dos Logs

Os campos date-from & date-to | From Date & To Date são opcionais, podendo estar vazios, neste caso não haverá restrição de Data.

O campo date-from  | From Date aceita Datas dos últimos 15 dias !!!

 

Nota: é importante ressaltar que não é possível gerar um Support Bundle no GUI com um From Date superior aos últimos 15 dias, entretanto o mesmo não ocorre no CLI:

Error - From Date within 15 Days.png

 

ise/admin# backup-logs <backup-name> repository <repository-name> public-key date-from 2020-01-01
 % Creating log backup with timestamped filename: ise-support-bundle-<backup-name>-pk-yymmdd-hhmm.tar.gpg 
 date: invalid date ‘NOVAL next day’
 touch: invalid date format ‘0000’
 % supportbundle in progress: Copying database config files...10% completed
 % supportbundle in progress: Copying debug logs...20% completed
 % supportbundle in progress: Copying local logs...30% completed
 % supportbundle in progress: Copying core files...40% completed
 % supportbundle in progress: Copying monitor logs...40% completed
 % supportbundle in progress: Copying policy xml...50% completed
 % supportbundle in progress: Copying system logs...60% completed
 % supportbundle in progress: Moving support bundle to the repository...75% completed 
 % supportbundle in progress: Completing support bundle generation......100% completed

 

Criptografia

Na janela Support Bundle - Encryption, é possível selecionar:

  • Public Key Encryption

O Cisco PKI (Public Key Infrastructure) será utilizado para criptografar / descriptografar o Support Bundle.

O Cisco ISE utiliza a Public Key para criptografar o Support Bundle.

O Cisco TAC utiliza a Private Key para descriptografar o Support Bundle.

Nota: este é o método recomendado a ser utilizado com o TAC porque ele auxilia com o Cisco TAC Automation Tools.

 

  • Shared Key Encryption

O Support Bundle poderá ser descriptografado por qualquer pessoa que possua a Shared Key.

 

Cisco ISE 3.4 - Novos Recursos

Desde o ISE 3.4, o comando backup-log ganhou novas opções.

 

Pre-Cisco ISE 3.4

Quando o Support Bundle é gerado via CLITODAS as opções são automaticamente incluídas (exceto Core and Heap Dumps) :

 

ise/admin# backup-logs <backup-name> repository <repository-name> {public-key | {encryption-key { hash | plain } <encryption-key name>}} ?
 Possible completions:
   | <cr>
 Include Core and Heap dumps? (YES/NO):

 

Cisco ISE 3.4+

Quando o Support Bundle é gerado via CLI, é possível incluir manualmente as opções (assim como no GUI) :

 

ise/admin# backup-logs <backup-name> repository <repository-name> {public-key | {encryption-key { hash | plain } <encryption-key name>}} ?
 Possible completions:
  core-files Include Core and Heap dumps
  date-from Start date for support bundle
  date-to End date for support bundle
  db-logs Include full configuration database
  debug-logs Include debug logs
  local-logs Include local logs
  mnt-report-logs Include monitoring and reporting logs
  policy-cache-logs Include policy cache logs
  policy-conf-logs Include policy configuration logs
  system-logs Include system logs
  | Output modifiers
  <cr>

 

Nota: com relação a Note do ISE 3.4 backup-logs é importante ressaltar que desde o ISE 3.2 o comando write foi descontinuado e o comando copy foi modificado para não suportar mais as funções running-config e startup-config, vide em ISE - write e which descontinuados.

CLI backup-logs Note.png

 

Como Descriptografar o Support Bundle ?

Há várias maneiras de descriptografar o Support Bundle, quando a opção Shared Secret Encryption é selecionada, segue exemplo:

 

Windows

Download e Install o software: GPG4Win.

Execute o aplicativo Kleopatra, selecione a opção Decrypt/Verify e digite a Shared Secret:

Kleopatra Decrypt Verify.png

 Kleopatra Decrypt Passphrase.png

 

Após decriptografar o Support Bundle, recomendo a leitura do arquivo README.txt:

 

=============================================================================
ISE SUPPORT BUNDLE README.TXT
=============================================================================

The purpose of this README is to describe the contents of the support bundle 
as well as describe how to import the contents of the ISE database if it was 
included in the support bundle. This README is divided into the following 
sections:

SECTION 1....: CONTENTS OF ISE SUPPORT BUNDLE
SECTION 1.1..: DIRECTORY STRUCTURE
SECTION 1.2..: MAPPING OF SUPPORT BUNDLE CONTENT FROM OPTIONS CHOSEN ON ISE
ADMIN UI
SECTION 1.3..: MAPPING OF ISE COMPONENTS TO CORRESPONDING DEBUG LOGS
SECTION 1.4..: DESCRIPTION OF INDIVIDUAL LOG FILES
SECTION 2....: STEPS TO IMPORT ISE CONFIGURATION DATABASE

=============================================================================

...

 

Bugs

CSCwk07529 Support bundle stuck at 50% and goes to 0% with error as "Node not reachable"

CSCwk07529.png

 

Referências

Collect Support Bundle on the Identity Services Engine

Collect ISE Support Bundle Using ERS API

Troubleshoot and Enable Debugs on ISE

 

Rótulos:
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Blogs de Segurança
Customers Also Viewed These Support Documents