Introducción
Este documento describe cómo aumentar la información y retención de datos del seguimiento en el dispositivo de seguridad del correo electrónico de Cisco (ESA) para tener en cuenta la coincidencia de los datos.
Prerequisites
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco ESA
- Dispositivo de la Administración de seguridad del contenido de Cisco (S A)
Señalar los datos
Cuando un S A es offline o inalcanzable, el ESA comienza a hacer cola los datos de la información. El ESA por abandono conserva 100 archivos, cada uno con una duración 15-minute. Esencialmente, el ESA conserva los datos para la corriente 1,500 minutos (15 x 100), que es equivalente a 25 horas. Si el S A está abajo por 30 horas, después usted pierde los datos de la información para las primeras 5 horas (30 horas - 25 horas).
Utilice la información en este ejemplo para aumentar el número de archivos que se conserven en el ESA:
example.com> reportingconfig
Choose the operation you want to perform:
- MAILSETUP - Configure reporting for the ESA.
- MODE - Enable centralized or local reporting for the ESA.
[]> mailsetup
SenderBase timeout used by the web interface: 2 seconds
Sender Reputation Multiplier: 3
The current level of reporting data recording is: unlimited
No custom second level domains are defined.
Legacy mailflow report: Disabled
Choose the operation you want to perform:
- SENDERBASE - Configure SenderBase timeout for the web interface.
- MULTIPLIER - Configure Sender Reputation Multiplier.
- COUNTERS - Limit counters recorded by the reporting system.
- THROTTLING - Limit unique hosts tracked for rejected connection reporting.
- TLD - Add customer specific domains for reporting rollup.
- STORAGE - How long centralized reporting data will be stored on the C-series
before being overwritten.
- LEGACY - Configure legacy mailflow report.
[]> storage
While in centralized mode the C-series will store reporting data for the
M-series to collect. If the M-series does not collect that data then
eventually the C-series will begin to overwrite the oldest data with
new data.
A maximum of 24 hours of reporting data will be stored.
How many hours of reporting data should be stored before data loss?
[24]> 30
Seguimiento de los datos
Semejantemente, cuando el S A es offline o inalcanzable, el ESA comienza a hacer cola el seguimiento de los datos. El ESA conserva 60 archivos, cada uno con una duración del tres-minuto. Por lo tanto, el ESA conserva los datos para los últimos 180 minutos (60 x 3). Cualquier dato de seguimiento que no se extraiga del ESA y es más viejo de tres horas se pierde.
Utilice la información en este ejemplo para aumentar el número máximo de seguir los archivos:
example.com> trackingconfig
Choose the operation you want to perform:
- MODE - Set whether tracking is run on box or centralized.
[]> storage
While in centralized mode the C-series will store tracking data for the
M-series to collect. If the M-series does not collect that data then
eventually the C-series will begin to overwrite the oldest data with new
data.
A maximum of 60 files are presently stored. This means a maximum of 3 hours
will be stored, though depending on load that time may be smaller.
How many files should be stored before data loss?
[60]> 500
Información Relacionada