Einleitung
Dieses Dokument beschreibt die Konfiguration von Syslog im FirePOWER Device Manager (FDM).
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- FirePOWER Threat Defence
- Syslog-Server mit Syslog-Software zur Datenerfassung
Konfigurationen
Schritt 1. Wählen Sie im Hauptbildschirm des FirePOWER Geräte-Managers die Protokolleinstellungen unter den Systemeinstellungen in der unteren rechten Ecke des Bildschirms aus:

Schritt 2. Wählen Sie im Bildschirm "System Settings" (Systemeinstellungen) die Option Logging Settings (Protokollierungseinstellungen) im linken Menü aus:

Schritt 3. Stellen Sie den Datenprotokollierungs-Umschalter ein, und wählen Sie das Pluszeichen (+) unter Syslog-Server.
Schritt 4: Wählen Sie Syslog-Server hinzufügen aus. Alternativ können Sie das Syslog-Server-Objekt in Objects - Syslog Servers erstellen:

Schritt 5: Geben Sie die IP-Adresse Ihres Syslog-Servers und die Portnummer ein. Aktivieren Sie das Optionsfeld für Datenschnittstelle, und klicken Sie auf OK:

Schritt 6. Wählen Sie den neuen Syslog-Server aus, und klicken Sie auf OK:

Schritt 7: Wählen Sie den Schweregrad aus, um mit dem Optionsfeld "Alle Ereignisse" zu filtern, und wählen Sie den gewünschten Protokollierungsgrad aus.

Schritt 8. Klicken Sie unten im Bildschirm auf Speichern.

Schritt 9: Überprüfen Sie, ob die Einstellungen erfolgreich waren.

Schritt 10: Bereitstellen der neuen Einstellungen

und klicke auf "Jetzt bereitstellen":

OPTIONAL.
Darüber hinaus können die Zugriffskontrollregeln für die Zugriffskontrollrichtlinie so festgelegt werden, dass sie sich beim Syslog-Server anmelden:
Schritt 1. Klicken Sie oben im Bildschirm auf Richtlinien:

Schritt 2: Bewegen Sie den Mauszeiger über die rechte Seite der ACP-Regel, um die Protokollierung hinzuzufügen, und wählen Sie das Bleistiftsymbol aus:

Schritt 3. Wählen Sie die Registerkarte Protokollierung, Aktivieren Sie das Optionsfeld Am Ende der Verbindung, wählen Sie den Dropdown-Pfeil unter Syslog-Warnmeldungskonfiguration auswählen, wählen Sie den Syslog-Server aus, und klicken Sie auf OK:

Schritt 4: Bereitstellen der Konfigurationsänderungen
Überprüfung
Schritt 1: Überprüfen Sie nach Abschluss der Aufgabe die Einstellungen im FTD CLI-Clientmodus mit dem Befehl show running-config logging:

Schritt 2: Navigieren Sie zur Registerkarte Syslog-Server, und stellen Sie sicher, dass die Syslog-Serveranwendung die Syslog-Meldungen akzeptiert:

Fehlerbehebung
Schritt 1: Wenn die Syslog-Meldungen der Syslog-Anwendung Meldungen generieren, führen Sie eine Paketerfassung über die FTD-CLI durch, um zu überprüfen, ob Pakete vorhanden sind. Geben Sie den Befehl system support diagnostic-cli an der Eingabeaufforderung clish ein, um vom Clish-Modus in Lina zu wechseln:

Schritt 2: Erstellen Sie eine Paketerfassung für Ihren udp 514 (oder tcp 1468, wenn Sie tcp verwendet haben).
Schritt 3: Stellen Sie sicher, dass die Kommunikation mit der Netzwerkschnittstellenkarte auf dem Syslog-Server erfolgt. Verwenden Sie Wireshark oder ein anderes Paket, das das geladene Dienstprogramm erfasst. Doppelklicken Sie auf die Schnittstelle in Wireshark, damit der Syslog-Server die Paketerfassung startet:

Schritt 4. Setzen Sie einen Anzeigefilter in der oberen Leiste für udp 514; Geben Sie udp.port==514 ein, und wählen Sie den Pfeil rechts neben der Leiste aus. Überprüfen Sie anhand der Ausgabe, ob die Pakete den Syslog-Server erreichen können:

Schritt 5: Wenn die Syslog-Serveranwendung die Daten nicht anzeigt, beheben Sie die Einstellung in der Syslog-Serveranwendung. Stellen Sie sicher, dass das richtige Protokoll verwendet wird: udp/tcp und der richtige Port, 514/1468.
Zugehörige Informationen