تكوين FMC لإرسال سجلات التدقيق إلى خادم syslog
المقدمة
يوضح هذا المستند كيفية تكوين سجلات تدقيق مركز إدارة جدار الحماية الآمن المراد إرسالها إلى خادم syslog.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الاستخدام الأساسي لمركز إدارة جدار الحماية (FMC) من Cisco
- فهم بروتوكول syslog
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Firewall Management Center Virtual v7.4.0
- خادم Syslog للجهة الخارجية
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يقوم "مركز إدارة جدار الحماية الآمن" بتسجيل نشاط المستخدم في سجلات التدقيق للقراءة فقط. عند بدء تشغيل Firepower الإصدار 7.4.0، يمكنك تدفق تغييرات التكوين كجزء من بيانات سجل التدقيق إلى syslog من خلال تحديد تنسيق بيانات التكوين والأجهزة المضيفة. يتيح لك تدفق سجلات التدقيق إلى خادم خارجي توفير مساحة على مركز الإدارة، كذلك، يكون مفيدا عندما تحتاج إلى توفير سجل تدقيق لتغييرات التكوين.
في حالة التوفر العالي، يرسل مركز الإدارة النشط فقط تغييرات التكوين syslog إلى خوادم syslog الخارجية. تتم مزامنة ملف السجل بين أزواج HA بحيث يستأنف مركز الإدارة النشط الجديد إرسال سجلات التغيير أثناء تجاوز الفشل أو التحويل. في حالة عمل زوج HA في وضع انقسام الدماغ، يرسل كل من مركزي الإدارة في الزوج syslog لتغيير التكوين إلى الخوادم الخارجية.
التكوين
الخطوة 1. تمكين سجلات التدقيق إلى syslog
للتمكين حتى تقوم FMC بإرسال سجلات التدقيق إلى خادم syslog، انتقل إلى نظام > تكوين > سجل التدقيق > إرسال سجل التدقيق إلى syslog > ممكن.
توضح هذه الصورة كيفية تمكين ميزة إرسال سجل التدقيق إلى syslog:
يمكن أن تدفق FMC بيانات سجل التدقيق إلى خمسة خوادم syslog كحد أقصى.
الخطوة 2. تكوين معلومات syslog
بعد تمكين الخدمة، يمكنك تكوين معلومات syslog. لتكوين معلومات syslog، انتقل إلى نظام > تكوين > سجل التدقيق.
وفقا لمتطلباتك، حدد إرسال تغييرات التكوين والمضيفين والمنشآت والخطورة.
تعرض هذه الصورة المعلمات لتكوين خادم syslog لسجلات التدقيق:
التحقق من الصحة
للتحقق من تكوين المعلمات بشكل صحيح، حدد النظام > التكوين > سجل التدقيق > إختبار خادم syslog.
تعرض هذه الصورة إختبار خادم syslog بنجاح:
طريقة أخرى للتحقق من أن syslog يعمل، تحقق من واجهة syslog لتأكيد إستلام سجلات التدقيق.
تعرض هذه الصورة بعض الأمثلة على سجلات التدقيق التي تم استقبالها بواسطة خادم Syslog:
فيما يلي بعض الأمثلة على تغييرات التكوين التي يمكنك تلقيها في خادم syslog:
2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation
استكشاف الأخطاء وإصلاحها
بعد تطبيق التكوين، تأكد من إمكانية اتصال FMC بخادم syslog.
يستخدم النظام حزم ICMP/ARP و TCP syn للتحقق من إمكانية الوصول إلى خادم syslog. بعد ذلك، يستخدم النظام بشكل افتراضي المنفذ 514/UDP لتدفق سجلات التدقيق ومنفذ TCP 1470 إذا قمت بتأمين القناة.
لتكوين التقاط حزمة على FMC، قم بتطبيق الأوامر التالية:
- tcpdump. على قبض هذا أمر الحركة مرور على الشبكة.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514
وبالإضافة إلى ذلك، لاختبار إمكانية الوصول إلى ICMP، قم بتطبيق هذا الأمر:
- بينج. يساعد هذا الأمر في التأكد من إمكانية الوصول إلى جهاز ما أو عدم الوصول ومعرفة زمن الوصول إلى الاتصال.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
05-Jun-2026
|
الإصدار الأولي، إعادة التنسيق. |
1.0 |
03-Oct-2023
|
الإصدار الأولي |
التعليقات