Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
• Updating Network Settings - 在 ISE 用户界面的 Settings > Posture > General Settings 中,您可以指
定网络转换之间应发生的延迟秒数。
• Not Compliant. Update time expired - 为补救设置的时间已过期。
• Compliant. Network access allowed. - 补救完成。 System Scan > Scan Summary 也显示状态为完
成。
• No policy server detected - 找不到 ISE 网络。 30 秒钟后,代理会减慢探测。 默认网络访问权限
生效。
终端上的并发用户
当多名用户同时登录到终端而共享网络连接时,AnyConnect ISE 不支持单独的终端安全评估。 当运
行 AnyConnect ISE 的第一位用户的状态被成功捕获时,终端将被授予受信任的网络访问权限,该终
端上的所有其他用户都将继承网络访问权限。 为防止发生此情况,管理员可在终端上禁用允许并发
用户的功能。
行 AnyConnect ISE 的第一位用户的状态被成功捕获时,终端将被授予受信任的网络访问权限,该终
端上的所有其他用户都将继承网络访问权限。 为防止发生此情况,管理员可在终端上禁用允许并发
用户的功能。
终端安全评估模块的日志记录
对于 ISE 终端安全评估,事件将写入本地操作系统的事件日志(Windows 事件日志查看器或 Mac OS
X 系统日志)。
X 系统日志)。
对于ASA终端安全评估,任何错误和警告都将写入系统日志(非Windows)和事件查看器(Windows)。
所有可用的消息都将写入日志文件。
所有可用的消息都将写入日志文件。
ASA 终端安全评估模块组件最多输出到三个日志,具体取决于您的操作系统、权限级别和启动机制
(Web 启动或 AnyConnect):
(Web 启动或 AnyConnect):
• cstub.log - 使用 AnyConnect Web 启动时捕获日志记录。
• libcsd.log - 由使用 ASA 终端安全评估 API 的 AnyConnect 线程创建。 调试条目根据日志记录级
别配置写入此日志。
• cscan.log - 通过扫描可执行文件 (cscan.exe) 而创建,是 ASA 终端安全评估的主要日志。 调试条
目根据日志记录级别配置写入此日志。
终端安全评估模块的日志文件和位置
对于 ISE 终端安全评估,事件包含在安装的 AnyConnect 版本的事件子文件夹中,因此易于与其余
AnyConnect 事件隔开。 每个查看器均可搜索关键字和过滤。 Web 代理事件写入标准应用日志。
AnyConnect 事件隔开。 每个查看器均可搜索关键字和过滤。 Web 代理事件写入标准应用日志。
为便于故障排除,会将 ISE 终端安全评估要求策略和评估报告记录到终端上经过模糊处理的单独文
件中,而不会是事件日志中。 这些日志文件保留五个最新日志。 某些日志文件的大小(例如
件中,而不会是事件日志中。 这些日志文件保留五个最新日志。 某些日志文件的大小(例如
aciseposture),可由管理员在配置文件中配置;但 UI 日志大小是预定义的。
每当进程异常终止时,都会生成一个小型转储文件,就像其他 AnyConnect 模块提供的一样。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
169
配置终端安全评估
终端上的并发用户