将ISE与Splunk集成进行报告

这篇文章将有点不同。我在目前在我的实验室中配置了Splunk,并且在我经历它时,我会在这里详细介绍我的配置。我将使用Splunk聚合我的ISE日志。为此,我们将不得不将Spunk安装到Splunk上的Identity Services(ISE)应用程序。开始之前,请从中下载应用程序 这里.

在我们开始对ISE进行任何配置更改之前,我们需要在Splunk上安装应用程序。登录Splunk后,“apps”应位于页面的左上角。单击它旁边的齿轮图标。 

您现在应该在Apps页面上。单击按钮状态说“从文件安装应用程序。”

 

这是您必须必须上传您下载的身份服务应用程序。单击上载后,应提示您重新启动Splunk服务。继续这样做。

虽然Splunk的服务正在重新启动,但让我们继续,并配置ISE以将某些Syslog数据发送到Splunk。登录您的ISE实例并导航到 行政>System>Logging>远程日志记录目标 然后点击 添加。我们将为我们的Splunk服务器创建一个远程日志记录目标。

对于远程日志记录目标,请配置以下内容:

  • 名称:<Whatever you choose>
  • IP / Host AddRess:<Splunk Server>
  • 港口: 514
  • 最大长度:8192
  • 状态:启用

点击 保存 when complete.

虽然仍在ise,导航到 行政>System>Logging>Logging Categories 并将您的新日志目标添加到以下类别:

  • AAA审核
  • 尝试失败
  • 通过身份验证
  • AAA诊断
  • 会计
  • Radius会计
  • 行政和运营审核
  • 姿势和客户提供审计
  • 姿势和客户端配置诊断
  • 外部MDM.
  • 探查器
  • 系统 Diagnostics
  • 系统 Statistics

完成此后,将重新登录Splunk。在主仪表板上,有一个选择 添加数据。 点击 on it.

在下一页上,选择 监视器 由于我们将监视来自某个IP地址(ISE)进入的端口。

在下一页上,选择 TCP / UDP. 从左边小组。 

从这里,选择以下内容:

  • UDP.
  • 港口:514
  • 只接受联系 <ISE-IP>

点击 下一页

在下一页上,选择以下内容并将其他一切留在其默认值下面:

  • sourcetype: cisco:ise:syslog
  • 主持人:IP.

点击 审查 然后点击 提交。

返回主Splunk仪表板,然后单击侧面的Cisco ISE以提取ISE仪表板。 

此时,您应该举起可能看起来类似的信息:

 

我用ISE应用程序注意到的一件事是有一些页面显示错误,并且不会呈现数据,因为“Cisco-ISE”的EventType丢失。它看起来与此相似:

虽然这是一个烦人的一面,但它实际上很容易在这些仪表板上永久修复。点击一下 编辑 违规仪表板顶部左角的按钮,以编辑搜索不同的小部件。 

单击“编辑”后,每个小部件上应该有一个放大镜图标。单击该点以提取每个小部件的搜索条件。

删除 EventType = Cisco-ISE 从搜索中取出并替换它 SourceType = Cisco:ISE:Syslog。保存小部件后,您应该看到数据开始呈现。在编辑特定仪表板上的所有窗口小部件后保存整个仪表板后,它应该永久修复该特定仪表板。