IPS 5.x和以后:监控事件的多种方法
简介
本文档提供了监控IPS事件的各种方法。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于IPS 5.x及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
监控IPS事件的方法
目前,有四种监控传感器的选项:
-
IPS Manager Express(IME)可从Cisco.com中的软件下载获得。此应用程序能够通过SDEE安全地订用IPS传感器,并检索因任何问题或因匹配而触发的签名而生成的事件/日志。
通过HTTPS直接访问传感器时,会调用IPS设备管理器(IDM)。
使用IDM Monitoring或IME Event Monitoring工具直接查看传感器上的事件存储区。如果您需要长期存储事件,因为传感器的本地事件存储是30 MB的循环缓冲区,并且一旦达到30 MB的限制,就会开始覆盖自身,IDM和IME不是有效的解决方案。此限制不可配置。
-
使用CS-MARS设备定期从传感器提取并关联事件。CS-MARS使用SDEE协议建立与传感器的安全连接,以检索事件并每隔几秒钟检索一次新事件。
如果您有兴趣演示CS-MARS设备,请联系您的客户团队/经销商/SE以获取详细信息。
对于Cisco IPS 5.x和6.x设备,MARS通过SSL使用SDEE提取日志。因此,MARS必须具有对传感器的HTTPS访问权限。要准备传感器,必须允许来自IDM/IME管理站的HTTPS流量,并确保将MARS的IP地址定义为传感器上允许的主机。
sensor#conf t sensor(config)#service host sensor(config-hos)#network-settings sensor(config-hos-net)#access-list x.x.x.x/subnet_mask sensor(config-hos-net)#exit sensor(config-hos)#exit Apply Changes?[yes]: sensor(config)#
-
使用IEV监控事件。IDS事件查看器是基于Java的应用程序,它使您能够查看和管理最多五个传感器的警报。使用IDS事件查看器,您可以实时或在导入的日志文件中连接和查看警报。您可以配置过滤器和视图,以帮助您管理警报。您还可以导入和导出事件数据以进行进一步分析。与MARS一样,IEV建立与传感器的安全连接,并每隔几秒钟检索事件。IEV将这些事件存储在安装了IEV的服务器上的数据库中。数据库随IEV一起提供,并随应用一起安装。单击IEV以下载。
注意:安装IEV后,可通过帮助菜单找到该文档。自述文件包含安装信息。
-
将传感器上的签名配置为具有request-snmp-trap操作,并将传感器配置为将陷阱发送到SNMP服务器。然后,您可以使用此服务器将消息作为系统日志中继到另一台计算机。
SNMP是一种应用层协议,可促进网络设备之间的管理信息交换。SNMP 有助于网络管理员管理网络性能,查找和解决网络故障,以及计划网络增长。
SNMP是一种简单的请求/响应协议。网络管理系统发出请求,受管设备返回响应。此行为通过使用以下四种协议操作之一来实现:
-
GET
-
GetNext
-
设置
-
陷阱
可以配置传感器以通过SNMP进行监控。SNMP定义了网络管理站监控多种设备(包括交换机、路由器和传感器)的运行状况和状态的标准方法。
-
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
18-Dec-2009 |
初始版本 |
反馈