إنشاء لوحات معلومات وتنبيهات مخصصة على Splunk باستخدام Syslogs من FTD

خيارات التنزيل

  • PDF     (3.7 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٥ يوليو ٢٠٢٥
معرّف المستند:223292

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند المشي خطوة بخطوة لتكوين FTD لإرسال syslogs إلى التقسيم واستخدام هذه السجلات لإنشاء لوحات معلومات وتنبيهات مخصصة.

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة من هذا موضوع قبل أن يمر من خلال هذا تشكيل مرشد:

    • Syslog
    • معرفة أساسية بلغة معالجة البحث في Splunk (SPL)

    يفترض هذا المستند أيضا أن لديك بالفعل مثيل Splunk Enterprise مثبت على خادم ولديك حق الوصول إلى واجهة الويب.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco Firepower Threat Defense (FTD) قيد التشغيل على الإصدار 7.2.4

    • مركز إدارة Cisco Firepower (FMC) يعمل على الإصدار 7.2.4

    • مثيل Splunk Enterprise (الإصدار 9.4.3) قيد التشغيل على جهاز Windows

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي).

    معلومات أساسية

    تقوم أجهزة بروتوكول FTD من Cisco بإنشاء syslogs تفصيلية تغطي أحداث التسلل وسياسات التحكم في الوصول وأحداث الاتصال وغير ذلك الكثير. يتيح دمج هذه السجلات مع Splunk إمكانية إجراء تحليل فعال والتنبيه في الوقت الفعلي لعمليات أمان الشبكة.

    SPLUNK هو نظام تحليلات بيانات في الوقت الفعلي مصمم لاستخراج البيانات التي تم إنشاؤها بواسطة الجهاز وفهرستها والبحث عنها وعرضها. يعتبر SPLUNK فعالا بشكل خاص في بيئات الأمان السيبراني كأداة لإدارة الأحداث ومعلومات الأمان (SIEM) نظرا لقدرته على:

    • إدخال بيانات السجل عند القياس

    • إجراء عمليات بحث معقدة باستخدام SPL

    • إنشاء لوحات معلومات وتنبيهات

    • الدمج مع أنظمة الأمن والتوافق مع الحوادث

    تقوم عملية Splunk بمعالجة البيانات من خلال تدفقات مهيكلة من أجل جعل بيانات الأجهزة غير مهيكلة أو شبه مهيكلة مفيدة وقابلة للتنفيذ. عادة ما يشار إلى المراحل الأساسية لخط الأنابيب هذا باسم IPIS والتي تمثل:

    • الإدخال

    • تحليل

    • فهرسة

    • بحث

    يتم عرض المكونات العامة الرئيسية للبنية الأساسية المستخدمة في تحقيق تدفقات IPIS في هذا الرسم التخطيطي:

    Splunk Underlying Architectureبنية أساسية ضخمة

    التكوين

    الرسم التخطيطي للشبكة

    Network Diagramالرسم التخطيطي للشبكة

    note-icon

    ملاحظة: لا تتطلب بيئة المعمل الخاصة بهذا المستند مثيلات منفصلة للمصدر والمفهرسة. يعمل جهاز Windows، أي خادم syslog الذي تم تثبيت مثيل Splunk Enterprise عليه كمفهرس ورأس بحث.

    التكوينات

    تكوين إعدادات syslog ل FTD

    الخطوة 1. قم بتكوين إعدادات syslog الأولية على FMC ل FTD ضمن الأجهزة > إعدادات النظام الأساسي لإرسال السجلات إلى خادم syslog الذي يتم تشغيل مثيل Splunk عليه.

    Platform Settings on FTD - Syslogإعدادات النظام الأساسي على FTD - Syslog

    الخطوة 2. قم بتكوين عنوان IP للجهاز الذي يتم فيه تثبيت مثيل Splunk Enterprise وتشغيله كخادم syslog. قم بتحديد الحقول كما هو مذكور.

    IP Address: Fill in the IP address of the host acting as the syslog server
    Protocol: TCP/UDP (usually UDP is preferred)
    Port: You can choose any random high port. In this case 5156 is being used
    Interface: Add the interface(s) through which you have connectivity to the server

    Platform Settings on FTD - Add Syslog Serverإعدادات النظام الأساسي على FTD - إضافة خادم syslog

    Platform Settings on FTD - Syslog Server Addedإعدادات النظام الأساسي على FTD - خادم Syslog مضاف

    الخطوة 3. أضف وجهة تسجيل لخوادم Syslog. يمكن تعيين مستوى التسجيل وفقا لحالة الاختيار أو الاستخدام الخاصة بك.

    Platform Settings on FTD - Add Logging Destinationإعدادات النظام الأساسي على FTD - إضافة وجهة تسجيل

    Platform Settings on FTD - Set Severity Level for Logging Destinationإعدادات النظام الأساسي على FTD - تعيين مستوى الخطورة لوجهة التسجيل

    قم بنشر تغييرات إعداد النظام الأساسي على FTD بعد إكمال هذه الخطوات.

    تكوين إدخال بيانات على مثيل Splunk Enterprise

    الخطوة 1. تسجيل الدخول إلى واجهة ويب مثيل Splunk Enterprise.

    Splunk Web Interface Login Pageصفحة تسجيل الدخول إلى واجهة ويب SPLUNK

    الخطوة 2. يجب تحديد إدخال بيانات حتى يمكنك تخزين وفهرسة syslogs على Splunk. انتقل إلى الإعدادات > البيانات > إدخالات البيانات بعد تسجيل الدخول.

    Navigate to Data Inputs on Splunkانتقل إلى مدخلات البيانات في Splunk

    الخطوة 3. أختر UDP ثم انقر على UDP المحلي الجديد في الصفحة التالية التي تظهر.

    Click 'UDP' for a UDP Data Inputانقر على 'UDP' لإدخال بيانات UDP

    Create a 'New Local UDP' Inputإنشاء إدخال 'UDP محلي جديد'

    يدخل خطوة 4. الميناء على أي ال syslogs يكون أرسلت. هو ينبغي كنت ال نفس بما أن الميناء يشكل على ال FTD syslog عملية إعداد، في هذه الحالة 5156. in order to قبلت ال syslogs فقط من واحد مصدر (ال FTD)، ثبتت ال فقط قبول توصيل من مجال إلى ال IP من القارن على ال FTD أن يكون يتصل مع ال splunk نادل. انقر فوق Next (التالي).

    Specify Port and FTD IP Addressتحديد عنوان IP للمنفذ و FTD

    الخطوة 5. يمكنك البحث واختيار نوع المصدر وفهرسة قيم الحقل من تلك المحددة مسبقا على Splunk كما هو مبرز في الصورة التالية. يمكن إستخدام الإعدادات الافتراضية للحقول المتبقية.

    Configure Data Input Settingsتكوين إعدادات إدخال البيانات

    الخطوة 6. راجع الإعدادات وانقر فوق إرسال.

    Review Data Input Settingsمراجعة إعدادات إدخال البيانات

    تنفيذ استعلامات SPL وإنشاء لوحات المعلومات

    الخطوة 1. انتقل إلى تطبيق البحث وإعداد التقارير على Splunk.

    Navigate to the Search and Reporting Appانتقل إلى تطبيق البحث وإعداد التقارير

    الخطوة 2. قم بصياغة استعلام SPL وتنفيذه وفقا للبيانات التي تريد تصورها. ستتمكن من رؤية كل سجل بشكل كامل (في الوضع المطول) ضمن علامة التبويب الأحداث، وعدد الاتصالات لكل نهج مجموعة في علامة التبويب إحصائيات وعرض هذه البيانات مرئيا باستخدام هذه الإحصائيات ضمن علامة التبويب المرئيات.

    Search for Events using SPL Queriesالبحث عن أحداث باستخدام استعلامات SPL

    Check the Statistics Tabتحقق من علامة التبويب الإحصائيات

    Visualization Tab will Show the Graph/Chartسوف تعرض علامة التبويب المرئيات الرسم البياني/المخطط

    note-icon

    ملاحظة: في هذا المثال، يقوم الاستعلام بجلب سجلات لاتصالات VPN للوصول عن بعد الناجحة عبر نهج مجموعة مختلفة. تم إستخدام مخطط دائري لعرض عدد الاتصالات الناجحة ونسبتها المئوية لكل نهج مجموعة. بناءا على استيراداتك وتفضيلاتك، يمكنك إختيار إستخدام نوع مختلف من المرئيات مثل الرسم البياني الشريطي كذلك.

    الخطوة 3. انقر فوق حفظ باسم واختر لوحة معلومات جديدة أو موجودة وفقا لما إذا كانت لديك لوحة معلومات تريد إضافة هذه اللوحة إليها أو تريد إنشاء لوحة معلومات جديدة. تعرض هذه الأمثلة الأخيرة.

    Save the Panel to a Dashboardحفظ اللوحة في لوحة معلومات

    الخطوة 4. حدد عنوانا للوحة المعلومات التي تقوم بإنشائها وأدخل عنوانا للوحة التي ستحتوي على المخطط الدائري.

    Settings for the New Dashboardإعدادات لوحة المعلومات الجديدة

    note-icon

    ملاحظة: يمكنك تعيين الأذونات إلى Private أو Shared في App بناء على ما إذا كان من المفترض عرض لوحة المعلومات فقط أم السماح للمستخدمين الآخرين الذين لديهم حق الوصول إلى مثيل Splunk أيضا. علاوة على ذلك، بناء على ما إذا كنت تريد التحكم متعدد المستويات في إعدادات اللوحة وتخطيط لوحة المعلومات أم لا، أختر الوضع Classic أو Dashboard Studio لإنشاء لوحة المعلومات الخاصة بك.

    الخطوة 5 (اختيارية). قم بتنفيذ المزيد من استعلامات SPL وحفظها كلوحات إلى لوحة المعلومات هذه وفقا لمتطلباتك باستخدام الخطوات السابقة المذكورة.

    الخطوة 6. انتقل إلى علامة التبويب لوحة المعلومات للبحث في لوحة المعلومات التي قمت بإنشائها واختيار هذه اللوحة. انقره لعرض، تحرير، أو إعادة ترتيب لوحاته.

    How to View the Dashboardكيفية عرض لوحة المعلومات

    تكوين التنبيهات استنادا إلى استعلامات SPL

    الخطوة 1. انتقل إلى تطبيق البحث وإعداد التقارير لإنشاء استعلام SPL وتشغيله للتحقق من أنه يجلب السجلات الصحيحة التي سيتم إستخدامها لتشغيل التنبيه.

    Run SPL Queries for Creating Respective Alertsتشغيل استعلامات SPL لإنشاء تنبيهات خاصة

    note-icon

    ملاحظة: في هذا المثال، يتم إستخدام الاستعلام لجلب سجلات المصادقة الفاشلة لشبكة VPN الخاصة بالوصول عن بعد لتشغيل التنبيهات عندما يتجاوز عدد المحاولات الفاشلة حدا معينا خلال فترة زمنية معينة.

    الخطوة 3. انقر فوق حفظ باسم واختر تنبيه.

    Save the Alertحفظ التنبيه

    الخطوة 4. حدد عنوانا لتسمية التنبيه. قم بتعبئة كافة التفاصيل والمرشدات الأخرى المطلوبة لتكوين التنبيه وانقر فوق حفظ. تم ذكر الإعدادات المستخدمة لهذا التنبيه هنا.

    Permissions: Shared in App.
    Alert Type: Real-time (allows failed user authentications in the last 10 minutes can be tracked continuously).
    Trigger Conditions: A custom condition is used to search if the reject_count counter from the SPL query has exceeded 10 in the last 5 minutes for any IP address.
    Trigger Actions: Set a trigger action such as Add to Triggered Alerts, Send email, etc. and set the alert severity as per your requirement.

    Additional Settings for Alert Creationإعدادات إضافية لإنشاء التنبيه

    Additional Settings for Alert Creationإعدادات إضافية لإنشاء التنبيه

    Additional Settings for Alert Creationإعدادات إضافية لإنشاء التنبيه

    note-icon

    ملاحظة: إذا كنت تريد تشغيل التنبيهات لكل نتيجة، فيجب عليك تحديد إعدادات التحكم وفقا لذلك أيضا.

    التحقق من الصحة

    بمجرد إنشاء لوحات البيانات والتنبيهات، يمكنك التحقق من التكوينات وتدفق البيانات ولوحات المعلومات والتنبيهات في الوقت الفعلي باستخدام التعليمات الواردة في هذا القسم.

    عرض السجلات

    يمكنك إستخدام تطبيق البحث لتأكيد ما إذا كانت السجلات التي تم إرسالها بواسطة جدار الحماية قد تم تلقيها وقابليتها للرؤية على رأس بحث جزء كبير من الكتلة. يمكن التحقق من هذا الإجراء من خلال التحقق من أحدث السجلات المفهرسة (فهرس البحث = "cisco_sfw_ftd_syslog") وطابع الوقت المرتبط به.

    Check and View Logsفحص السجلات وعرضها

    Check and View Logsفحص السجلات وعرضها

    عرض لوحات المعلومات في الوقت الفعلي

    يمكنك الانتقال إلى لوحة المعلومات المخصصة التي قمت بإنشائها ورؤية التغيير على كل من اللوحات كبيانات وسجلات جديدة يتم إنشاؤها من FTD.

    View Dashboardsعرض لوحات المعلومات

    التحقق من تشغيل أية تنبيهات

    للتحقق من المعلومات حول التنبيهات، يمكنك الانتقال إلى عمليات بحث المقطع والتقارير والتنبيهات للاطلاع على معلومات التنبيه الأخيرة. انقر فوق عرض الأحدث للتحقق أكثر من المهام وعمليات البحث.

    Check and View Alertsالتحقق من التنبيهات وعرضها

    Check and View Alertsالتحقق من التنبيهات وعرضها

    Check Statistics for Triggered Alertالتحقق من الإحصائيات للتنبيه الذي تم تشغيله

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    25-Jul-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • اركوبال سين
      مهندس TAC من Cisco
    • فامشى ساى ماهاجان
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات