Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ClearPass の問題のトラブルシューティング

このセクションでは、Policy EnforcerでClearPassの問題に対処する際の一般的なトラブルシューティングのヒントについて説明します。ClearPass および ClearPass ログのトラブルシューティングの詳細については、ClearPass のマニュアルを参照してください。

ログファイルの表示

Policy Enforcerは、サードパーティ製プラグインのログ情報を /srv/3rd-party-adapter/logs/plugin_server.log 次の形式に書き込みます。

ログには、次の 3 種類の情報が記録されます。

  • アプリケーション初期化情報。

  • Policy Enforcerとのハートビート—Policy Enforcerとサードパーティプラグイン間の通信ステータス。

  • アプリケーション操作 - サードパーティのプラグイン機能のトラブルシューティング用。

デフォルトのロギング・レベルは DEBUG に設定されています。

以下は、ハートビート・メッセージ・ログの例です。

アプリケーション操作ログの例を次に示します。

また、ClearPass Policy Manager および ClearPass Guest 内のログにアクセスして、トラブルシューティングに役立てることもできます。

  • セッションログの確認

    「アクセス・トラッカー」ウィンドウには、セッションごとのアクセス・アクティビティーの情報が表示されます。このアクティビティを表示するには、ClearPass ポリシー モニター内で [ 監視] > [アクセス トラッカー ] を選択します。 図1を参照してください。

    図1:セッションログ Checking Session Logsの確認

    テーブル内のセッションをクリックすると、[要求の詳細] ウィンドウが表示され、そのセッションの詳細が表示されます。[ ログの表示] をクリックして、ログの詳細を表示します。ログレベルを変更して、セッション情報を増減します。

  • ClearPass によって報告されたエラー

    ClearPass アプリケーションによって生成されたイベントとメッセージを表示するには、ClearPass ゲスト内で [ 管理] > [サポート > アプリケーション ログ ] を選択します。 図2を参照してください。

    図2:クリアパスエラー Viewing ClearPass Errorsの表示

    イベントをクリックすると、そのエラーの考えられる原因や、詳細情報の検索場所を示すポインターなどの詳細が表示されます。

構成の問題

以下は、適切な通信を確保するためにPolicy Enforcerサードパーティプラグインに渡す必要がある必須のClearPass情報です。

  • クリアパスのIPアドレスとポート番号。

  • APIがアクセスするクライアントID(clientId)(ClearPassゲストモジュールで設定)。

  • ClearPass サーバーへの REST API 呼び出しを実行するためのアクセス トークンを取得するためにと共に clientId 使用されるクライアント シークレット キー。

ログファイルに「ClearPass設定がありません」という404エラーが表示された場合、ClearPassはPolicy Enforcer用に設定されていません。Policy Enforcerによる ClearPassの設定については、 サードパーティ製プラグイン向けのClearPass設定 を参照してください。

ClearPassがPolicy Enforcer用に構成されているかどうかを確認する別の方法は、 /srv/3rd-party-adapter/configuration.yaml ファイルを探すことです。このファイルが存在する場合は、構成ステップは実行されています。

エラーコード500

ログメッセージ There are no sessions to display. You should enable Insight on at least one node in Policy Manager: Administration > Server Manager > Server Configuration とともにエラーコード500を受け取った場合、構成されたClearPassサーバーにはInsightが有効になっていません。ClearPass Insightは、ClearPass Policy Managerによって、詳細なレポートと強化された分析のために使用されます。

ClearPass インサイトを有効にするには、ClearPass Policy Manager から [サーバー マネージャー] > [サーバー構成] > [管理 ] を選択します。ClearPass サーバーをクリックし、インサイトを有効にします。 図3を参照してください。

図 3: ClearPass Insight Enabling ClearPass Insightの有効化

感染したエンドポイントをブロックできない

感染したエンドポイントをブロックできない場合は、次のタスクを実行します:

  • ClearPass API Explorer:Insight API、エンドポイント サービスを使用してIPアドレスを検証し、GET /insight/endpoint/ip/{ip}を発行します。

  • ClearPass API Explorer:GuestManager API、ActiveSessionサービスを使用して対応するアクティブセッションを検証し、対応する「framedipaddress」が感染したエンドポイントのIPアドレスと等しく、「accstarttime」でソートされたGET /sessionを発行して、IPに関連付けられている最新のアクティブセッションが最初に表示されるようにします。現在アクティブなセッションが返されない場合、ブロックするプラグインに渡された IP アドレスが無効であるか、存在しません。

  • IPアドレスが有効な場合は、以前に発行されたアクティブセッションクエリの出力から取得したエンドポイントの{mac-address}を使用して、API GET /endpoint/mac-address/{mac-address}を発行して、ClearPass API ExplorerのエンドポイントAPI、マネージドエンドポイントサービスを使用して、カスタム属性 sdsnEpStatus が値「ブロック」に応じて設定されていることを確認します。

  • カスタム属性sdsnEpStatusは、ClearPass Policy Managerのアクセストラッカーの[入力]タブの[属性の計算]セクションで、対応するセッションを調べて確認することもできます。

感染したエンドポイントを隔離できません

感染したエンドポイントを隔離できない場合は、まず、上記の 「感染したエンドポイントをブロックできない 」トピックと同じ手順に従って、感染したホストのIPアドレスを検証します。次に、カスタム属性 sdsnEpStatus の値が に設定 quarantineされていることを確認します。

ブロックまたは隔離されたエンドポイントをクリアできない

ブロックまたは検疫されたエンドポイントをクリアできない場合は、通常、渡す IP アドレスがプラグインによって管理されている感染したエンドポイント追跡データベースに存在しないことが原因です。感染したホストはファイル内 /srv/3rd-party-adapter/infectedEndpointList にあります。明確な要求には、以前にブロックまたは検疫されたエンドポイント要求と同じエンドポイントの IP アドレスが送信されることが予想されます。感染したエンドポイント追跡データベースにない新しい IP アドレスを使用してクリア要求が届いた場合、要求は失敗します。

また、ClearPass アプリケーション ログで内部エラーの可能性を確認します。