这篇文章将有点不同。我在目前在我的实验室中配置了Splunk,并且在我经历它时,我会在这里详细介绍我的配置。我将使用Splunk聚合我的ISE日志。为此,我们将不得不将Spunk安装到Splunk上的Identity Services(ISE)应用程序。开始之前,请从中下载应用程序 这里.
在我们开始对ISE进行任何配置更改之前,我们需要在Splunk上安装应用程序。登录Splunk后,“apps”应位于页面的左上角。单击它旁边的齿轮图标。
您现在应该在Apps页面上。单击按钮状态说“从文件安装应用程序。”
这是您必须必须上传您下载的身份服务应用程序。单击上载后,应提示您重新启动Splunk服务。继续这样做。
虽然Splunk的服务正在重新启动,但让我们继续,并配置ISE以将某些Syslog数据发送到Splunk。登录您的ISE实例并导航到 行政>System>Logging>远程日志记录目标 然后点击 添加。我们将为我们的Splunk服务器创建一个远程日志记录目标。
对于远程日志记录目标,请配置以下内容:
- 名称:<Whatever you choose>
- IP / Host AddRess:<Splunk Server>
- 港口: 514
- 最大长度:8192
- 状态:启用
点击 保存 when complete.
虽然仍在ise,导航到 行政>System>Logging>Logging Categories 并将您的新日志目标添加到以下类别:
- AAA审核
- 尝试失败
- 通过身份验证
- AAA诊断
- 会计
- Radius会计
- 行政和运营审核
- 姿势和客户提供审计
- 姿势和客户端配置诊断
- 外部MDM.
- 探查器
- 系统 Diagnostics
- 系统 Statistics
完成此后,将重新登录Splunk。在主仪表板上,有一个选择 添加数据。 点击 on it.
在下一页上,选择 监视器 由于我们将监视来自某个IP地址(ISE)进入的端口。
在下一页上,选择 TCP / UDP. 从左边小组。
从这里,选择以下内容:
- UDP.
- 港口:514
- 只接受联系 <ISE-IP>
点击 下一页
在下一页上,选择以下内容并将其他一切留在其默认值下面:
- sourcetype: cisco:ise:syslog
- 主持人:IP.
点击 审查 然后点击 提交。
返回主Splunk仪表板,然后单击侧面的Cisco ISE以提取ISE仪表板。
此时,您应该举起可能看起来类似的信息:
我用ISE应用程序注意到的一件事是有一些页面显示错误,并且不会呈现数据,因为“Cisco-ISE”的EventType丢失。它看起来与此相似:
虽然这是一个烦人的一面,但它实际上很容易在这些仪表板上永久修复。点击一下 编辑 违规仪表板顶部左角的按钮,以编辑搜索不同的小部件。
单击“编辑”后,每个小部件上应该有一个放大镜图标。单击该点以提取每个小部件的搜索条件。
删除 EventType = Cisco-ISE 从搜索中取出并替换它 SourceType = Cisco:ISE:Syslog。保存小部件后,您应该看到数据开始呈现。在编辑特定仪表板上的所有窗口小部件后保存整个仪表板后,它应该永久修复该特定仪表板。