Introducción
Este documento describe cómo configurar Syslog dentro del Firepower Device Manager (FDM).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Firepower Threat Defense
- Servidor Syslog que ejecuta Syslog Software para recopilar datos
Configuraciones
Paso 1. En la pantalla principal del Firepower Device Manager, seleccione la opción Logging Settings en System Settings en la esquina inferior derecha de la pantalla:

Paso 2. En la pantalla System Settings, seleccione el comando Logging Settings en el menú de la izquierda:

Paso 3. Establezca el interruptor de alternancia Data Logging, seleccione el signo + bajo Syslog Servers.
Paso 4. Seleccione Agregar servidor Syslog. Alternativamente, puede crear el objeto Syslog Server en Objects - Syslog Servers:

Paso 5. Introduzca la dirección IP del servidor Syslog y el número de puerto. Seleccione el botón de opción para Interfaz de datos y haga clic en Aceptar:

Paso 6. Seleccione el nuevo servidor Syslog y haga clic en Aceptar:

Paso 7. Seleccione el nivel de gravedad para filtrar con el botón de opción all events (todos los eventos) y seleccione el nivel de registro que desee.

Paso 8. Haga clic en Guardar en la parte inferior de la pantalla.

Paso 9. Verifique que la configuración se haya realizado correctamente.

Paso 10. Implementar la nueva configuración

y haga clic en Implementar ahora:

OPCIONAL.
Además, las reglas de control de acceso de la política de control de acceso se pueden configurar para iniciar sesión en el servidor Syslog:
Paso 1. Haga clic en Políticas en la parte superior de la pantalla:

Paso 2. Pase el ratón sobre el lado derecho de la regla ACP para agregar registro y seleccione el icono de lápiz:

Paso 3. Seleccione la pestaña Registro, seleccione el botón de opción Al final de la conexión, seleccione la flecha desplegable bajo Seleccione una configuración de alerta de Syslog, seleccione el servidor de Syslog y haga clic en Aceptar:

Paso 4. Implemente los cambios de configuración.
Verificación
Paso 1. Después de que la tarea se complete, verifique las configuraciones en el Modo de Clic CLI de FTD con el comando show running-config logging:

Paso 2. Navegue hasta la pestaña Syslog server y verifique que la aplicación Syslog server acepte los mensajes de Syslog:

Troubleshoot
Paso 1. Si los mensajes de Syslog de la aplicación Syslog generan algún mensaje, realice una captura de paquetes desde la CLI de FTD para comprobar si hay paquetes. Ingrese el comando system support diagnostic-cli en la indicación de Clish para cambiar del modo Clish a Line:

Paso 2. Cree una captura de paquetes para su udp 514 (o tcp 1468 si utilizó tcp).
Paso 3. Verifique que la comunicación llegue a la tarjeta de interfaz de red en el servidor Syslog. Utilice Wireshark u otro paquete que capture la utilidad cargada. Haga doble clic en la interfaz de Wireshark para que el servidor Syslog inicie la captura de paquetes:

Paso 4. Establecer un filtro de visualización en la barra superior para udp 514; escriba udp.port==514 y seleccione la flecha situada a la derecha de la barra. Desde la salida, verifique que los paquetes puedan llegar al servidor Syslog:

Paso 5. Si la aplicación de servidor Syslog no muestra los datos, solucione el problema en la aplicación de servidor Syslog. Asegúrese de utilizar el protocolo correcto, udp/tcp y el puerto correcto, 514/1468.
Información Relacionada