Configurer FMC pour envoyer les journaux d'audit à un serveur Syslog

Options de téléchargement

  • PDF     (596.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:5 juin 2026
ID du document:221019

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer les journaux d'audit du Centre de gestion du pare-feu sécurisé à envoyer à un serveur Syslog.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Facilité d'utilisation de base de Cisco Firewall Management Center (FMC)
  • Présentation du protocole Syslog

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Firewall Management Center Virtual v7.4.0
  • Serveur Syslog tiers

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Le Centre de gestion du pare-feu sécurisé enregistre l'activité des utilisateurs dans des journaux d'audit en lecture seule. À partir de la version 7.4.0 de Firepower, vous pouvez transmettre les modifications de configuration dans le cadre des données du journal d'audit à syslog en spécifiant le format des données de configuration et les hôtes. La diffusion en continu des journaux d'audit vers un serveur externe vous permet de conserver de l'espace sur le centre de gestion. Elle est également utile lorsque vous devez fournir une piste d'audit des modifications de configuration.

En cas de haute disponibilité, seul le centre de gestion actif envoie les modifications de configuration syslog aux serveurs syslog externes. Le fichier journal est synchronisé entre les paires haute disponibilité de sorte que, lors d'un basculement ou d'une commutation, le nouveau centre de gestion actif reprenne l'envoi des journaux de modifications. Si la paire HA fonctionne en mode split-brain, les deux centres de gestion de la paire envoient le syslog de modification de configuration aux serveurs externes.

Configurer

Étape 1 : activation des journaux d'audit dans Syslog

Pour activer FMC afin qu'il envoie les journaux d'audit à un serveur Syslog, accédez à System > Configuration > Audit Log > Send Audit Log to Syslog > Enabled.

Cette image montre comment activer la fonctionnalité Envoyer le journal d'audit vers Syslog :

Syslog Enable

Le FMC peut transmettre les données du journal d'audit à un maximum de cinq serveurs Syslog.

Étape 2 : configuration des informations Syslog

Une fois le service activé, vous pouvez configurer les informations Syslog. Pour configurer les informations Syslog, accédez à System > Configuration > Audit Log.

Selon vos besoins, sélectionnez Envoyer les modifications de configuration, Hôtes, Facilité, Gravité.

Cette image présente les paramètres de configuration du serveur Syslog pour les journaux d'audit :

Syslog Configuration

Vérifier

Pour vérifier si les paramètres sont correctement configurés, sélectionnez System > Configuration > Audit Log > Test Syslog Server.

Cette image montre un test réussi du serveur Syslog :

Syslog Test

Une autre façon de vérifier que Syslog fonctionne, vérifiez l'interface Syslog pour confirmer que les journaux d'audit sont reçus.

Cette image présente quelques exemples de journaux d'audit reçus par le serveur Syslog :

Syslog Events

Image

Voici quelques exemples des modifications de configuration que vous pouvez recevoir sur votre serveur syslog :

2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation

Dépannage

Une fois la configuration appliquée, assurez-vous que le FMC peut communiquer avec le serveur syslog.

Le système utilise des paquets ICMP/ARP et TCP SYN pour vérifier que le serveur Syslog est accessible. Ensuite, le système utilise par défaut le port 514/UDP pour diffuser les journaux d'audit et le port TCP 1470 si vous sécurisez le canal.

Pour configurer une capture de paquets sur FMC, appliquez ces commandes :

  • tcpdump. Cette commande capture le trafic sur le réseau.
> expert
admin@firepower:~$ sudo su
Password: 

root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514

En outre, pour tester l'accessibilité ICMP, appliquez cette commande :

  • ping. Cette commande permet de confirmer si un périphérique est accessible ou non et de connaître la latence de la connexion.
> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms

Informations connexes

Historique de révision

Révision Date de publication Commentaires
2.0
05-Jun-2026
Version initiale, reformatage.
1.0
03-Oct-2023
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Oscar Montoya Torres
    chef d'équipe de sécurité

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits