Безопасность : устройство управления средствами обеспечения безопасности контента Cisco

ESA сообщающее и отслеживающее расширение сохранения данных

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как увеличить создание отчетов и отслеживание сохранения данных на Cisco Email Security Appliance (ESA) для получения возможности наложения данных.

Внесенный Эндрю Верстером и Робертом Шервином, специалистами службы технической поддержки Cisco.

Предварительные условия

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • ESA Cisco
  • Устройство менеджмента безопасности содержания Cisco (SMA)

Создание отчетов о данных

Когда SMA является офлайновым или недостижимым, ESA начинается очереди, сообщающей о данных. ESA по умолчанию сохраняет 100 файлов, каждого с 15-минутной продолжительностью. По существу ESA сохраняет данные в течение текущих 1,500 минут (15 x 100), который эквивалентен 25 часам. Если SMA не работает в течение 30 часов, то вы высвобождаете данные создания отчетов в течение первых 5 часов (30 часов - 25 часов).

Используйте информацию в данном примере для увеличения числа файлов, которые сохранены на ESA для Версий AsyncOS 6.x до 7.1:

example.com> reportingconfig

Choose the operation you want to perform:
- MAILSETUP - Configure reporting for the ESA.
- MODE - Enable centralized or local reporting for the ESA.
[]> mailsetup

SenderBase timeout used by the web interface: 2 seconds
Sender Reputation Multiplier: 3
The current level of reporting data recording is: unlimited
No custom second level domains are defined.
Legacy mailflow report: Disabled

Choose the operation you want to perform:
- SENDERBASE - Configure SenderBase timeout for the web interface.
- MULTIPLIER - Configure Sender Reputation Multiplier.
- COUNTERS - Limit counters recorded by the reporting system.
- THROTTLING - Limit unique hosts tracked for rejected connection reporting.
- TLD - Add customer specific domains for reporting rollup.
- STORAGE - How long centralized reporting data will be stored on the C-series
before being overwritten.
- LEGACY - Configure legacy mailflow report.
[]> storage

While in centralized mode the C-series will store reporting data for the
M-series to collect.  If the M-series does not collect that data then
eventually the C-series will begin to overwrite the oldest data with
new data.

A maximum of 24 hours of reporting data will be stored.
How many hours of reporting data should be stored before data loss?
[24]> 30

Отслеживание данных

Точно так же, когда SMA является офлайновым или недостижимым, ESA начинается очереди, отслеживающей данные. ESA сохраняет 60 файлов, каждого с трехминутной продолжительностью. Поэтому ESA сохраняет данные в течение прошлых 180 минут (60 x 3). Любые данные отслеживания, которые не получены от ESA и более старые, чем три часа, потеряны.

Используйте информацию в данном примере для увеличения максимального числа отслеживания файлов:

example.com> trackingconfig

Choose the operation you want to perform:
- MODE - Set whether tracking is run on box or centralized.
[]> storage

While in centralized mode the C-series will store tracking data for the
M-series to collect.  If the M-series does not collect that data then
eventually the C-series will begin to overwrite the oldest data with new
data.

A maximum of 60 files are presently stored.  This means a maximum of 3 hours
will be stored, though depending on load that time may be smaller.
How many files should be stored before data loss?
[60]> 500

Примечание: Для Версий AsyncOS 7.5 и позже, MAILSETUP является командой hidden под reportingconfig.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.