前提条件
本ドキュメントは以下の環境で確認した結果を元に記事を作成しております。
- Identity Service Engine 2.3
ただしバージョンアップに伴い、本ドキュメントで取り扱っている挙動が変更される可能性もございますため、あらかじめご了承ください。
説明
ISEではRADIUSやTACACS+の認証状況について、ほぼリアルタイムで確認できるLive Logsという機能がございます。
詳細についてはこちらをご確認ください。
また、Live Logsの機能では表示件数を変更できますが、現時点では最大20件/50件/100件から選ぶことができます。
弊社TACでは、この表示件数をさらに変更(101件以上など)できないかというお問い合わせをよくいただきますが、残念ながらそれは現在の実装上許容されておりません。
より多くの認証ログをほぼリアルタイムで確認する方法
以下に、Live Logsでは確認しきれない過去のログを確認する方法を記載いたします。
Live Logs機能に比べてリアルタイム性は下がる方法もありますが、
ご利用の環境に合わせて各手段での運用もご検討いただければと思います。
Filterする
特定条件のLive Logsを確認したい場合は、Filterを使うことで不要なログの出力を抑え、
ある程度遡ったログが確認できます。
以下は、認証ユーザがaaaの場合のフィルター例となります。
なお、補足ですが非表示となっている列がある場合もありますので、
表示列の編集方法についてはこちらをご確認ください。
Reports機能を利用する
Reports機能では、Live Logsに表示では表示しきれない過去の認証ログも確認できます。
表示期間を変更する場合は、右上のFilter機能にて表示期間の調整が可能です。
また、Scheduleにすることでも、特定の条件で抽出した認証ログを時次や日次などで定期的に外部レポジトリにExportすることも可能です。
Syslogサーバに転送する
SyslogサーバをRemote Log Targetとすることで、認証成功・失敗時のログをSyslogサーバに転送することが可能です。
設定の手順は以下の通りです。
1. Remote Log Targetを追加します。
2. Failed Attempt/Passed Authenticationsそれぞれのカテゴリで、Selected Targetsに、先ほど追加したRemote Log Target(Syslogサーバ)を追加します。
注意
Targetsを追加する際にLocal Loggingを有効にすると、認証成功・失敗のログイベントが発生するたびにISE内部のログファイルにもロギングを行います。
このため、特にロギングイベントが発生しやすいイベント(Passed Authentication)については、ISEのローカルディスクの逼迫にも繋がりかねないため、Local Loggingの指定は慎重にご検討ください。
以下、Syslogサーバに転送された認証ログの例となります。
Sep 3 18:38:11 ise-23-vc-a CISE_Failed_Attempts 0000000138 3 0 2018-09-03 18:38:11.057 +09:00 0000004832 5400 NOTICE Failed-Attempt: Authentication failed, ConfigVersionId=102, Device IP Address=10.1.1.123, Device Port=59582, DestinationIPAddress=10.1.1.53, DestinationPort=1812, RadiusPacketType=AccessRequest, UserName=eee, Protocol=Radius, RequestLatency=29, NetworkDeviceName=LAN, User-Name=eee, NAS-IP-Address=192.168.0.251, NAS-Port=50103, Service-Type=Framed, Framed-IP-Address=10.2.1.254, Framed-MTU=1500, Callback-ID= qwertyu, Called-Station-ID=00-04-5F-00-0F-D2, Calling-Station-ID=00-12-34-9d-91-cc, NAS-Identifier=localhost, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/3, OriginalUserName=eee, NetworkDeviceProfileName=Cisco, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, IsThirdPartyDeviceFlow=false, RadiusFlowType=Wired802_1x, SSID=00-04-5F-00-0F-D2, AcsSessionID=ise-23-vc-a/325333805/150, AuthenticationMethod=PAP_ASCII, SelectedAccessService=Default Network Access,
Sep 3 18:38:11 ise-23-vc-a CISE_Failed_Attempts 0000000138 3 1 FailureReason=22056 Subject not found in the applicable identity store(s), Step=11001, Step=11017, Step=11117, Step=15049, Step=15008, Step=15041, Step=15048, Step=22072, Step=15013, Step=24210, Step=24216, Step=15013, Step=24497, Step=15013, Step=24631, Step=24633, Step=22016, Step=22056, Step=22058, Step=22061, Step=11003, SelectedAuthenticationIdentityStores=Internal Users, SelectedAuthenticationIdentityStores=All_AD_Join_Points, SelectedAuthenticationIdentityStores=Guest Users, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, IdentityPolicyMatchedRule=Dot1X, CPMSessionID=0a010135BQAD1bCKSxWB_xUgh_pQv4PE1yPjn7YgQ9yMj3F2UBo, EndPointMACAddress=00-12-34-9D-91-CC, ISEPolicySetName=Default, IdentitySelectionMatchedRule=Dot1X, StepData=6= Normalised Radius.RadiusFlowType, StepData=7=All_User_ID_Stores, StepData=8=Internal Users,
Sep 3 18:38:11 ise-23-vc-a CISE_Failed_Attempts 0000000138 3 2 StepData=11=All_AD_Join_Points, StepData=12=All_AD_Join_Points, StepData=13=Guest Users, DTLSSupport=Unknown, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, Response={RadiusPacketType=AccessReject; AuthenticationResult=UnknownUser; },
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000139 3 0 2018-09-03 18:38:11.152 +09:00 0000004856 5200 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=102, Device IP Address=10.1.1.123, DestinationIPAddress=10.1.1.53, DestinationPort=1812, UserName=aaa, Protocol=Radius, RequestLatency=92, NetworkDeviceName=LAN, User-Name=aaa, NAS-IP-Address=192.168.0.251, NAS-Port=50103, Service-Type=Framed, Framed-IP-Address=10.2.1.254, Framed-MTU=1500, Callback-ID= qwertyu, Called-Station-ID=00-04-5F-00-0F-D2, Calling-Station-ID=00-12-34-78-ab-22, NAS-Identifier=localhost, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/3, OriginalUserName=aaa, NetworkDeviceProfileName=Cisco, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, IsThirdPartyDeviceFlow=false, RadiusFlowType=Wired802_1x, SSID=00-04-5F-00-0F-D2, AcsSessionID=ise-23-vc-a/325333805/151, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII,
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000139 3 1 SelectedAccessService=Default Network Access, SelectedAuthorizationProfiles=PermitAccess, Step=11001, Step=11017, Step=11117, Step=15049, Step=15008, Step=15041, Step=15048, Step=22072, Step=15013, Step=24210, Step=24212, Step=22037, Step=24423, Step=15036, Step=15048, Step=15048, Step=15048, Step=15048, Step=15048, Step=15016, Step=22081, Step=22080, Step=11002, SelectedAuthenticationIdentityStores=Internal Users, SelectedAuthenticationIdentityStores=All_AD_Join_Points, SelectedAuthenticationIdentityStores=Guest Users, AuthenticationStatus=AuthenticationPassed, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, IdentityPolicyMatchedRule=Dot1X, AuthorizationPolicyMatchedRule=Basic_Authenticated_Access, UserType=User, CPMSessionID=0a010135P1tgiFRGpyLYfKGrefHwEfwcdB_zosys5EnARz2d0_M, EndPointMACAddress=00-12-34-78-AB-22,
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000139 3 2 PostureAssessmentStatus=NotApplicable, ISEPolicySetName=Default, IdentitySelectionMatchedRule=Dot1X, StepData=6= Normalised Radius.RadiusFlowType, StepData=7=All_User_ID_Stores, StepData=8=Internal Users, StepData=14= Radius.NAS-Port-Type, StepData=15= Network Access.UserName, StepData=16= InternalUser.IdentityGroup, StepData=17= EndPoints.LogicalProfile, StepData=18= Network Access.AuthenticationStatus, allowEasyWiredSession=false, DTLSSupport=Unknown, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, EnableFlag=Enabled, Response={State=ReauthSession:0a010135P1tgiFRGpyLYfKGrefHwEfwcdB_zosys5EnARz2d0_M; Class=CACS:0a010135P1tgiFRGpyLYfKGrefHwEfwcdB_zosys5EnARz2d0_M:ise-23-vc-a/325333805/151; },
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000140 3 0 2018-09-03 18:38:11.215 +09:00 0000004880 5200 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=102, Device IP Address=10.1.1.123, DestinationIPAddress=10.1.1.53, DestinationPort=1812, UserName=bbb, Protocol=Radius, RequestLatency=60, NetworkDeviceName=LAN, User-Name=bbb, NAS-IP-Address=192.168.0.251, NAS-Port=50103, Service-Type=Framed, Framed-IP-Address=10.2.1.254, Framed-MTU=1500, Callback-ID= qwertyu, Called-Station-ID=00-04-5F-00-0F-D2, Calling-Station-ID=00-12-34-93-ac-7c, NAS-Identifier=localhost, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/3, OriginalUserName=bbb, NetworkDeviceProfileName=Cisco, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, IsThirdPartyDeviceFlow=false, RadiusFlowType=Wired802_1x, SSID=00-04-5F-00-0F-D2, AcsSessionID=ise-23-vc-a/325333805/152, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII,
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000140 3 1 SelectedAccessService=Default Network Access, SelectedAuthorizationProfiles=PermitAccess, Step=11001, Step=11017, Step=11117, Step=15049, Step=15008, Step=15041, Step=15048, Step=22072, Step=15013, Step=24210, Step=24212, Step=22037, Step=24423, Step=15036, Step=15048, Step=15048, Step=15048, Step=15048, Step=15048, Step=15016, Step=22081, Step=22080, Step=11002, SelectedAuthenticationIdentityStores=Internal Users, SelectedAuthenticationIdentityStores=All_AD_Join_Points, SelectedAuthenticationIdentityStores=Guest Users, AuthenticationStatus=AuthenticationPassed, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, IdentityPolicyMatchedRule=Dot1X, AuthorizationPolicyMatchedRule=Basic_Authenticated_Access, UserType=User, CPMSessionID=0a010135iRcysgRxQNTGZyo6808fZd2sKXXAgOjrvsN0VscKCSw, EndPointMACAddress=00-12-34-93-AC-7C,
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000140 3 2 PostureAssessmentStatus=NotApplicable, ISEPolicySetName=Default, IdentitySelectionMatchedRule=Dot1X, StepData=6= Normalised Radius.RadiusFlowType, StepData=7=All_User_ID_Stores, StepData=8=Internal Users, StepData=14= Radius.NAS-Port-Type, StepData=15= Network Access.UserName, StepData=16= InternalUser.IdentityGroup, StepData=17= EndPoints.LogicalProfile, StepData=18= Network Access.AuthenticationStatus, allowEasyWiredSession=false, DTLSSupport=Unknown, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, EnableFlag=Enabled, Response={State=ReauthSession:0a010135iRcysgRxQNTGZyo6808fZd2sKXXAgOjrvsN0VscKCSw; Class=CACS:0a010135iRcysgRxQNTGZyo6808fZd2sKXXAgOjrvsN0VscKCSw:ise-23-vc-a/325333805/152; },
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000141 3 0 2018-09-03 18:38:11.258 +09:00 0000004904 5200 NOTICE Passed-Authentication: Authentication succeeded, ConfigVersionId=102, Device IP Address=10.1.1.123, DestinationIPAddress=10.1.1.53, DestinationPort=1812, UserName=ccc, Protocol=Radius, RequestLatency=39, NetworkDeviceName=LAN, User-Name=ccc, NAS-IP-Address=192.168.0.251, NAS-Port=50103, Service-Type=Framed, Framed-IP-Address=10.2.1.254, Framed-MTU=1500, Callback-ID= qwertyu, Called-Station-ID=00-04-5F-00-0F-D2, Calling-Station-ID=00-12-34-be-c3-cf, NAS-Identifier=localhost, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/3, OriginalUserName=ccc, NetworkDeviceProfileName=Cisco, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, IsThirdPartyDeviceFlow=false, RadiusFlowType=Wired802_1x, SSID=00-04-5F-00-0F-D2, AcsSessionID=ise-23-vc-a/325333805/153, AuthenticationIdentityStore=Internal Users, AuthenticationMethod=PAP_ASCII,
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000141 3 1 SelectedAccessService=Default Network Access, SelectedAuthorizationProfiles=PermitAccess, Step=11001, Step=11017, Step=11117, Step=15049, Step=15008, Step=15041, Step=15048, Step=22072, Step=15013, Step=24210, Step=24212, Step=22037, Step=24423, Step=15036, Step=15048, Step=15048, Step=15048, Step=15048, Step=15048, Step=15016, Step=22081, Step=22080, Step=11002, SelectedAuthenticationIdentityStores=Internal Users, SelectedAuthenticationIdentityStores=All_AD_Join_Points, SelectedAuthenticationIdentityStores=Guest Users, AuthenticationStatus=AuthenticationPassed, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, IdentityPolicyMatchedRule=Dot1X, AuthorizationPolicyMatchedRule=Basic_Authenticated_Access, UserType=User, CPMSessionID=0a0101359jP75Yuzrje6hqFO3DAmKZGW//iFVui6W83kHHVhqag, EndPointMACAddress=00-12-34-BE-C3-CF,
Sep 3 18:38:11 ise-23-vc-a CISE_Passed_Authentications 0000000141 3 2 PostureAssessmentStatus=NotApplicable, ISEPolicySetName=Default, IdentitySelectionMatchedRule=Dot1X, StepData=6= Normalised Radius.RadiusFlowType, StepData=7=All_User_ID_Stores, StepData=8=Internal Users, StepData=14= Radius.NAS-Port-Type, StepData=15= Network Access.UserName, StepData=16= InternalUser.IdentityGroup, StepData=17= EndPoints.LogicalProfile, StepData=18= Network Access.AuthenticationStatus, allowEasyWiredSession=false, DTLSSupport=Unknown, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, EnableFlag=Enabled, Response={State=ReauthSession:0a0101359jP75Yuzrje6hqFO3DAmKZGW//iFVui6W83kHHVhqag; Class=CACS:0a0101359jP75Yuzrje6hqFO3DAmKZGW//iFVui6W83kHHVhqag:ise-23-vc-a/325333805/153; },
Sep 3 18:38:11 ise-23-vc-a CISE_Failed_Attempts 0000000142 3 0 2018-09-03 18:38:11.302 +09:00 0000004926 5400 NOTICE Failed-Attempt: Authentication failed, ConfigVersionId=102, Device IP Address=10.1.1.123, Device Port=59582, DestinationIPAddress=10.1.1.53, DestinationPort=1812, RadiusPacketType=AccessRequest, UserName=ddd, Protocol=Radius, RequestLatency=40, NetworkDeviceName=LAN, User-Name=ddd, NAS-IP-Address=192.168.0.251, NAS-Port=50103, Service-Type=Framed, Framed-IP-Address=10.2.1.254, Framed-MTU=1500, Callback-ID= qwertyu, Called-Station-ID=00-04-5F-00-0F-D2, Calling-Station-ID=00-12-34-f8-ac-8b, NAS-Identifier=localhost, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/3, OriginalUserName=ddd, NetworkDeviceProfileName=Cisco, NetworkDeviceProfileId=b0699505-3150-4215-a80e-6753d45bf56c, IsThirdPartyDeviceFlow=false, RadiusFlowType=Wired802_1x, SSID=00-04-5F-00-0F-D2, AcsSessionID=ise-23-vc-a/325333805/154, AuthenticationMethod=PAP_ASCII, SelectedAccessService=Default Network Access,
Sep 3 18:38:11 ise-23-vc-a CISE_Failed_Attempts 0000000142 3 1 FailureReason=22056 Subject not found in the applicable identity store(s), Step=11001, Step=11017, Step=11117, Step=15049, Step=15008, Step=15041, Step=15048, Step=22072, Step=15013, Step=24210, Step=24216, Step=15013, Step=24497, Step=15013, Step=24631, Step=24633, Step=22016, Step=22056, Step=22058, Step=22061, Step=11003, SelectedAuthenticationIdentityStores=Internal Users, SelectedAuthenticationIdentityStores=All_AD_Join_Points, SelectedAuthenticationIdentityStores=Guest Users, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, IdentityPolicyMatchedRule=Dot1X, CPMSessionID=0a010135uHwTUaOgcwSkK4Tdhh5urCyipPsXrD5ibZJsDz7Qj9s, EndPointMACAddress=00-12-34-F8-AC-8B, ISEPolicySetName=Default, IdentitySelectionMatchedRule=Dot1X, StepData=6= Normalised Radius.RadiusFlowType, StepData=7=All_User_ID_Stores, StepData=8=Internal Users,
Sep 3 18:38:11 ise-23-vc-a CISE_Failed_Attempts 0000000142 3 2 StepData=11=All_AD_Join_Points, StepData=12=All_AD_Join_Points, StepData=13=Guest Users, DTLSSupport=Unknown, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, Response={RadiusPacketType=AccessReject; AuthenticationResult=UnknownUser; },
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
