ClearPass の問題のトラブルシューティング
このセクションでは、Policy EnforcerでClearPassの問題に対処する際の一般的なトラブルシューティングのヒントについて説明します。ClearPass および ClearPass ログのトラブルシューティングの詳細については、ClearPass のマニュアルを参照してください。
ログファイルの表示
Policy Enforcerは、サードパーティ製プラグインのログ情報を /srv/3rd-party-adapter/logs/plugin_server.log
次の形式に書き込みます。
[<date><time>:<line number>:<function name>:<level>]<detailed message>
ログには、次の 3 種類の情報が記録されます。
アプリケーション初期化情報。
Policy Enforcerとのハートビート—Policy Enforcerとサードパーティプラグイン間の通信ステータス。
アプリケーション操作 - サードパーティのプラグイン機能のトラブルシューティング用。
デフォルトのロギング・レベルは DEBUG に設定されています。
以下は、ハートビート・メッセージ・ログの例です。
[07/20/2017 04:21:59 PM:_internal.py:87:_log():INFO ] 10.92.82.125 - - [20/Jul/2017 16:21:59] "GET /api/v1/adaptor/heartbeat HTTP/1.1" 200 - [07/20/2017 04:22:29 PM:produces.py:117:wrapper():DEBUG ] Jsonifing http://10.92.82.125:8082/api/v1/adaptor/heartbeat [07/20/2017 04:22:29 PM:parameter.py:90:wrapper():DEBUG ] Function Arguments: []
アプリケーション操作ログの例を次に示します。
[07/20/2017 05:45:52 PM:default_controller.py:228:adaptor_threats_post():DEBUG ] Incoming threat POST request: {u'action': u'block', u'threatType': u'InfectedHost', u'endpoint': {u'macAddress': u'unknown', u'ip': u'192.168.140.20', u'name': u'', u'tags': []}} [07/20/2017 05:45:52 PM:track_endpoint.py:27:__init__():INFO ] Creating new infected host tracking DB. [07/20/2017 05:45:52 PM:clearpass_agent.py:66:getApiAuthenticationToken():DEBUG ] Get Oauth2 access token for API client [07/20/2017 05:45:52 PM:connectionpool.py:805:_new_conn():INFO ] Starting new HTTPS connection (1): 10.92.81.112 [07/20/2017 05:45:52 PM:connectionpool.py:401:_make_request():DEBUG ] "POST /api/oauth HTTP/1.1" 200 116 [07/20/2017 05:45:52 PM:clearpass_agent.py:73:getApiAuthenticationToken():INFO ] Successful get Oauth2 access token [07/20/2017 05:45:52 PM:thirdparty_controller.py:84:infectedHostNotif():DEBUG ] Validating endpoint [192.168.140.20] against Clearpass Endpoint DB [07/20/2017 05:45:52 PM:clearpass_agent.py:80:getEndpointDataByIp():DEBUG ] Getting Endpoint detail by IP Address [192.168.140.20] ...
また、ClearPass Policy Manager および ClearPass Guest 内のログにアクセスして、トラブルシューティングに役立てることもできます。
セッションログの確認
「アクセス・トラッカー」ウィンドウには、セッションごとのアクセス・アクティビティーの情報が表示されます。このアクティビティを表示するには、ClearPass ポリシー モニター内で [ 監視] > [アクセス トラッカー ] を選択します。 図1を参照してください。
図1:セッションログの確認
テーブル内のセッションをクリックすると、[要求の詳細] ウィンドウが表示され、そのセッションの詳細が表示されます。[ ログの表示] をクリックして、ログの詳細を表示します。ログレベルを変更して、セッション情報を増減します。
ClearPass によって報告されたエラー
ClearPass アプリケーションによって生成されたイベントとメッセージを表示するには、ClearPass ゲスト内で [ 管理] > [サポート > アプリケーション ログ ] を選択します。 図2を参照してください。
図2:クリアパスエラーの表示
イベントをクリックすると、そのエラーの考えられる原因や、詳細情報の検索場所を示すポインターなどの詳細が表示されます。
構成の問題
以下は、適切な通信を確保するためにPolicy Enforcerサードパーティプラグインに渡す必要がある必須のClearPass情報です。
クリアパスのIPアドレスとポート番号。
APIがアクセスするクライアントID(
clientId
)(ClearPassゲストモジュールで設定)。ClearPass サーバーへの REST API 呼び出しを実行するためのアクセス トークンを取得するためにと共に
clientId
使用されるクライアント シークレット キー。
ログファイルに「ClearPass設定がありません」という404エラーが表示された場合、ClearPassはPolicy Enforcer用に設定されていません。Policy Enforcerによる ClearPassの設定については、 サードパーティ製プラグイン向けのClearPass設定 を参照してください。
ClearPassがPolicy Enforcer用に構成されているかどうかを確認する別の方法は、 /srv/3rd-party-adapter/configuration.yaml
ファイルを探すことです。このファイルが存在する場合は、構成ステップは実行されています。
エラーコード500
ログメッセージ There are no sessions to display. You should enable Insight on at least one node in Policy Manager: Administration > Server Manager > Server Configuration
とともにエラーコード500を受け取った場合、構成されたClearPassサーバーにはInsightが有効になっていません。ClearPass Insightは、ClearPass Policy Managerによって、詳細なレポートと強化された分析のために使用されます。
ClearPass インサイトを有効にするには、ClearPass Policy Manager から [サーバー マネージャー] > [サーバー構成] > [管理 ] を選択します。ClearPass サーバーをクリックし、インサイトを有効にします。 図3を参照してください。

感染したエンドポイントをブロックできない
感染したエンドポイントをブロックできない場合は、次のタスクを実行します:
ClearPass API Explorer:Insight API、エンドポイント サービスを使用してIPアドレスを検証し、GET /insight/endpoint/ip/{ip}を発行します。
ClearPass API Explorer:GuestManager API、ActiveSessionサービスを使用して対応するアクティブセッションを検証し、対応する「framedipaddress」が感染したエンドポイントのIPアドレスと等しく、「accstarttime」でソートされたGET /sessionを発行して、IPに関連付けられている最新のアクティブセッションが最初に表示されるようにします。現在アクティブなセッションが返されない場合、ブロックするプラグインに渡された IP アドレスが無効であるか、存在しません。
IPアドレスが有効な場合は、以前に発行されたアクティブセッションクエリの出力から取得したエンドポイントの{mac-address}を使用して、API GET /endpoint/mac-address/{mac-address}を発行して、ClearPass API ExplorerのエンドポイントAPI、マネージドエンドポイントサービスを使用して、カスタム属性
sdsnEpStatus
が値「ブロック」に応じて設定されていることを確認します。カスタム属性sdsnEpStatusは、ClearPass Policy Managerのアクセストラッカーの[入力]タブの[属性の計算]セクションで、対応するセッションを調べて確認することもできます。
感染したエンドポイントを隔離できません
感染したエンドポイントを隔離できない場合は、まず、上記の 「感染したエンドポイントをブロックできない 」トピックと同じ手順に従って、感染したホストのIPアドレスを検証します。次に、カスタム属性 sdsnEpStatus
の値が に設定 quarantine
されていることを確認します。
ブロックまたは隔離されたエンドポイントをクリアできない
ブロックまたは検疫されたエンドポイントをクリアできない場合は、通常、渡す IP アドレスがプラグインによって管理されている感染したエンドポイント追跡データベースに存在しないことが原因です。感染したホストはファイル内 /srv/3rd-party-adapter/infectedEndpointList
にあります。明確な要求には、以前にブロックまたは検疫されたエンドポイント要求と同じエンドポイントの IP アドレスが送信されることが予想されます。感染したエンドポイント追跡データベースにない新しい IP アドレスを使用してクリア要求が届いた場合、要求は失敗します。
また、ClearPass アプリケーション ログで内部エラーの可能性を確認します。