Introduzione
In questo documento viene descritto come configurare Syslog in Firepower Device Manager (FDM).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Firepower Threat Defense
- Syslog Server che esegue il software Syslog per raccogliere dati
Configurazioni
Passaggio 1. Dalla schermata principale di Firepower Device Manager, selezionare Logging Settings (Impostazioni di registrazione) in System Settings (Impostazioni di sistema) nell'angolo inferiore destro della schermata:

Passaggio 2. Nella schermata System Settings, selezionare Logging Settings nel menu a sinistra:

Passaggio 3. Impostare l'interruttore di attivazione/disattivazione della registrazione dei dati, selezionare il segno + in Server Syslog.
Passaggio 4. Selezionare Add Syslog Server. In alternativa, è possibile creare l'oggetto Syslog Server in Oggetti - Syslog Server:

Passaggio 5. Immettere l'indirizzo IP del server Syslog e il numero di porta. Selezionare il pulsante di opzione per Interfaccia dati e fare clic su OK:

Passaggio 6. Selezionare il nuovo server Syslog e fare clic su OK:

Passaggio 7. Selezionare il livello di gravità da filtrare con il pulsante di opzione tutti gli eventi e selezionare il livello di registrazione desiderato.

Passaggio 8. Fare clic su Save (Salva) nella parte inferiore della schermata.

Passaggio 9. Verificare le impostazioni.

Passaggio 10. Distribuire le nuove impostazioni

e fare clic su Distribuisci ora:

FACOLTATIVO.
È inoltre possibile impostare le regole di controllo d'accesso di Access Control Policy per accedere al server Syslog:
Passaggio 1. Fare clic su Policies (Criteri) nella parte superiore della schermata:

Passaggio 2. Posizionare il puntatore del mouse sul lato destro della regola ACP per aggiungere la registrazione e selezionare l'icona a forma di matita:

Passaggio 3. Selezionare la scheda Log, Selezionare il pulsante di opzione per Alla fine della connessione, Selezionare la freccia in giù in Selezionare una configurazione di avviso syslog, selezionare il server syslog e fare clic su OK:

Passaggio 4. Distribuire le modifiche alla configurazione.
Verifica
Passaggio 1. Dopo il completamento dell'attività, verificare le impostazioni nella modalità di chiusura CLI FTD con il comando show running-config logging:

Passaggio 2. Passare alla scheda Server Syslog e verificare che l'applicazione del server Syslog accetti i messaggi Syslog:

Risoluzione dei problemi
Passaggio 1. Se i messaggi Syslog sull'applicazione Syslog producono messaggi, eseguire un'acquisizione di pacchetto dalla CLI FTD per controllare la presenza di pacchetti. Immettere il comando system support diagnostic-cli al prompt dei comandi in lingua inglese per passare dalla modalità inglese a Lina:

Passaggio 2. Creare un'acquisizione pacchetto per l'udp 514 (o tcp 1468 se si è utilizzato il protocollo tcp).
Passaggio 3. Verificare che la comunicazione raggiunga la scheda di interfaccia di rete sul server Syslog. Usare Wireshark o un altro pacchetto per acquisire l'utility caricata. Fare doppio clic sull'interfaccia in Wireshark per Syslog Server per avviare l'acquisizione dei pacchetti:

Passaggio 4. Impostare un filtro di visualizzazione nella barra superiore per udp 514; digitare udp.port==514 e selezionare la freccia a destra della barra. Dall'output, verificare che i pacchetti siano in grado di raggiungere il server Syslog:

Passaggio 5. Se i dati non vengono visualizzati nell'applicazione Syslog Server, risolvere il problema relativo all'impostazione nell'applicazione Syslog Server. Verificare che venga utilizzato il protocollo corretto, udp/tcp e la porta corretta, 514/1468.
Informazioni correlate