- 最終編集日: 、編集者:
Yuji Suzuki
- 1.はじめに
- 2.取得対象機器
- 3.Support Bundle の取得手順
- 4. Log Level の変更方法
- 5. 個別にログファイルを取得する方法
- 6. Backup-log について
- 7. ファイルの送付方法
1.はじめに
ISE で発生した障害を調査するために必要となる Support Bundle (サポートバンドル) の取得方法を紹介します。Support Bundle は、ISE の障害に直接関連したログだけでなく、ご利用の ISE の構成や設定、また機器の状態などを全体的に把握するための基本情報を含んだバンドルになります。
なお、本資料は ISE 2.1 を使用して作成しています。基本的な手順は ISE 2.0 と変わりありませんが、画面表記がバージョンにより異なる箇所が含まれていますので、ご注意ください。
2.取得対象機器
Support Bundle は Administration node (Policy Administration Node = PAN) から取得することができます。調査対象となる機器が特定の Policy Service Node (PSN)である場合も、PAN の管理画面に用意されたメニューから、対象となる ISE ノードを選択して Support Bundle を取得します。PAN であれば、Primary、Secondary(※) のどちらからでも取得可能です。また、PAN から取得対象ノードとの間には Deployment として Connected のステータスになっている必要があります。
※ISE 2.2 Patch7、ISE 2.3以降では仕様変更(CSCuy76263)に伴いSecondary PANからの取得はできなくなりました。
・ 矢印の先にあるノードの Support Bundle が取得できます。
3.Support Bundle の取得手順
PAN にアクセスします。Operations > Troubleshoot > Download Logs に移動して表示される Appliance node list から、Support Bundle 取得対象のノードを選択します。
Support Bundle タブが表示されたら、取得対象となるログを選択します。特にサポート担当者からの依頼がない限りは、すべてにチェックを入れ、かつ障害が発生した日時を含む形で From Date - To Date を選択することをお勧めします。
以下は、各チェックボックスに含まれるログの概要となります。
・各ログの内容
From Date は当日を起点として15日以内までしか指定できません。超過した範囲を指定するとエラーになります。
Support Bundle - Encryption から、バンドルの暗号化の関する設定を実施します。Support Bundle は、GnuPG (GPG) で暗号化したファイルとして生成されますので、共通鍵(Shared Key) となるパスフレーズをあらかじめ指定しておく必要があります。共通鍵を使用して暗号化する場合は、復号にも同じパスフレーズが使用されますので、ファイルの受け渡しに際して、使用したパスフレーズ情報を提供ください。
なお、ISE 2.1 では、共通鍵方式に加えて、公開鍵暗号方式(Public Key)による Support Bundle の生成ができるようになりましたが、このオプションを使用すればパスフレーズは不要になりますが、復号して中身が確認できなくなりますので、ご注意ください。そのため、通常は Shared Key Encryption で任意パスワードで暗号化・生成するようにお願いいたします。
・以下は ISE 2.1 の画面例となるので Public Key Encryption オプションがあります。
Create Support Bundle をクリックすると、以下のダイアログが表示されますので、Yes で先に進みます。記載のとおり時間がかかりますので、この間、必要に応じて他のページに移動することも可能です。
進捗はプログレスバーから確認できます。ファイルが生成されたら、Download をクリックして、PC のローカル上にダウンロードを行ってください。
4. Log Level の変更方法
<
冒頭に記載のとおり、障害の内容によっては、さらに深い調査が必要となり、Log Level を変更したうえで、Support Bundle の再取得をお願いする場合があります。Support Bundle は、Primary、Secondary の PAN から取得することができましたが、Log level の変更は、Primary PAN からしか実行できません。
Primary PAN から、Administration > System > Logging > Debug Log Configuration に移動します。Node List から Log level の変更対象となる ISE ノードを選択して、Edit をクリックします。
以下のように Component Name と、現行の Log Level、またそれぞれの説明が記載されたリストが表示されますので、このなかから、対象となる Component を選択して、Log Level を変更します。
たとえば、Active Directory という Component の Log Level を DEBUG に変更する場合には、Active Directory のラジオボタンを選択して、Edit をクリックします。すると設定変更が出来るようになるので、プルダウンから Log Level を DEBUG にしたうえで、右側の Save ボタンを押してください。
Log Level を変更後に、問題となる事象を再現させたうえで、再度 Support Bundle を取得ください。Component によっては、Log Level 変更により、ログの出力量が増えて、流れやすくなりますので、事象再現後は、速やかに Support Bundle をご取得ください。
Reset to Default をクリックすれば、すべての Component がデフォルトに戻ります。Log Level を個別に元に戻す場合は、プルダウンから Log Level を WARN などの初期設定に変更して Save ボタンを押せば完了です。
5. 個別にログファイルを取得する方法
障害内容によっては、Support Bundle から得られるログを補完する形で、ピンポイントで特定のログを取得する場合があります。Support Bundle タブの隣にある、Debug Logs タブを選択すると、対象のISEが保持するログファイルの一覧が出てきます。必要に応じて、ログファイルを個別にダウンロードすることができます。
ISE の各コンポーネントと、それぞれが関連するログファイルは以下を照合ください。
Table 2 Components and Corresponding Debug Logs
| Component | Debug Log |
|---|---|
| Active Directory | ad_agent.log |
| Cache Tracker | tracking.log |
| Entity Definition Framework (EDF) | edf.log |
| JMS | ise-psc.log |
| License | ise-psc.log |
| Notification Tracker | tracking.log |
| Replication-Deployment | replication.log |
| Replication-JGroup | replication.log |
| Replication Tracker | tracking.log |
| RuleEngine-Attributes | ise-psc.log |
| RuleEngine-Policy-IDGroups | ise-psc.log |
| accessfilter | ise-psc.log |
| admin-infra | ise-psc.log |
| boot-strap wizard | ise-psc.log |
| cisco-mnt | ise-psc.log |
| client | ise-psc.log |
| cpm-clustering | ise-psc.log |
| cpm-mnt | ise-psc.log |
| epm-pdp | ise-psc.log |
| epm-pip | ise-psc.log |
| anc | ise-psc.log |
| ers | ise-psc.log |
| guest | ise-psc.log |
| guestauth | ise-psc.log |
| guestportal | ise-psc.log |
| identitystore-AD | ise-psc.log |
| infrastructure | ise-psc.log |
| mdm | ise-psc.log |
| mdm-pip | ise-psc.log |
| mnt-alarm | alarms.log |
| mnt-report | reports.log |
| mydevices | ise-psc.log |
| nsf | ise-psc.log |
| nsf-session | ise-psc.log |
| org-apache | ise-psc.log |
| org-apache-cxf | ise-psc.log |
| org-apache-digester | ise-psc.log |
| posture | ise-psc.log |
| profiler | profiler.log |
| provisioning | ise-psc.log |
| prrt-JNI | prrt-management.log |
| runtime-AAA | prrt-management.log |
| runtime-config | prrt-management.log |
| runtime-logging | prrt-management.log |
| sponsorportal | ise-psc.log |
| swiss | ise-psc.log |
6. Backup-log について
Backup-logs は、ISE の Command Line Interface (CLI) から backup-logs コマンドで取得するシステムログのバンドルになります。バンドルの内容は、Support Bundle と似ていますが、出力対象となるログを選択したり、期間指定ができないので、ファイルサイズが大きくなります。
PAN の Admin Portal にアクセスが出来ずに、Support Bundle の取得ができないような場合に、代替ログとして取得するケースが考えられます。詳細は コマンドリファレンスにも記載があるので、こちらもご一読ください。
なお、生成されたバンドルは、Repository に転送されますので、Repository が適切に設定されていることを最初にご確認ください。
・実行例 (ISE 2.1)
ise21x/admin# show repository MyFTP
% Repository is empty
ise21x/admin# backup-log ?
<WORD> Backup name (Max Size - 100)
ise21x/admin# backup-log TEST ?
repository Repository to store backup in
ise21x/admin# backup-log TEST repository MyFTP ?
encryption-key Encryption-key to protect the backup-logs
public-key Encrypt with public key. Only Cisco TAC can decrypt
ise21x/admin# backup-log TEST repository MyFTP encryption-key ?
hash Specifies a hashed encryption-key will follow
plain Specifies a plain text encryption-key will follow
ise21x/admin# backup-log TEST repository MyFTP encryption-key plain ?
<WORD> Plain text encryption-key for backup-logs (Max Size - 15)
ise21x/admin# backup-log TEST repository MyFTP encryption-key plain TEsT_1234
% Creating log backup with timestamped filename: TEST-160630-2202.tar.gpg
% supportbundle in progress: Copying database config files...10% completed
% supportbundle in progress: Copying debug logs...20% completed
% supportbundle in progress: Copying local logs...30% completed
% supportbundle in progress: Copying monitor logs...40% completed
% supportbundle in progress: Copying policy xml...50% completed
% supportbundle in progress: Copying system logs...60% completed
% supportbundle in progress: Moving support bundle to the repository...75% completed
% supportbundle in progress: Completing support bundle generation......100% completed
ise21x/admin# show repository MyFTP
TEST-160630-2202.tar.gpg
7. ファイルの送付方法
Cisco の TAC 担当者に送付する際は、以下の方法をご活用ください。
SR: サイズの大きなファイルのやり取りについて
TAC にファイルをアップロードする方法
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
