La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene spiegato come configurare la registrazione per FirePOWER Threat Defense (FTD) tramite Firepower Management Center (FMC).
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
I registri di sistema FTD forniscono le informazioni necessarie per monitorare e risolvere i problemi relativi all'accessorio FTD.
I registri sono utili sia per la risoluzione dei problemi di routine che per la gestione degli incidenti. L'accessorio FTD supporta la registrazione locale ed esterna.
La registrazione locale consente di risolvere i problemi attivi. La registrazione esterna è un metodo di raccolta dei registri dall'accessorio FTD a un server Syslog esterno.
La registrazione su un server centrale consente l'aggregazione di registri e avvisi. La registrazione esterna può contribuire alla correlazione dei registri e alla gestione degli incidenti.
Per la registrazione locale, l'accessorio FTD supporta la console, l'opzione del buffer interno e la registrazione della sessione Secure Shell (SSH).
Per la registrazione esterna, l'accessorio FTD supporta il server Syslog esterno e il server Email Relay.
Nota: se l'accessorio è attraversato da un volume di traffico elevato, prestare attenzione al tipo di registrazione, alla gravità o alla limitazione della velocità. Eseguire questa operazione per limitare il numero di registri ed evitare l'impatto sul firewall.
Tutte le configurazioni relative alla registrazione possono essere configurate quando si passa alla Platform Settings scheda sotto la
Devices scheda. Scegliere
Devices > Platform Settings come illustrato nell'immagine.
Fare clic sull'icona a forma di matita per modificare il criterio esistente oppure fare clic su
New Policy, quindi scegliere
Threat Defense Settingsper creare un nuovo criterio FTD, come mostrato nell'immagine.
Scegliere l'accessorio FTD a cui applicare il criterio e fare clic su
Save come illustrato nell'immagine.
Configura configurazione syslog globale
Esistono alcune configurazioni applicabili per la registrazione locale ed esterna. In questa sezione vengono illustrati i parametri obbligatori e facoltativi che è possibile configurare per Syslog.
Configurazione registrazione
Le opzioni di impostazione della registrazione sono applicabili per la registrazione locale ed esterna. Per configurare l'impostazione di registrazione, scegliere
Devices > Platform Settings.
Scegliere
Syslog > Logging Setup.
Configurazione di base della registrazione
Enable Logging: per abilitare la registrazione, selezionare la Enable Logging casella di controllo. Questa opzione è obbligatoria.
Enable Logging on the failover standby unit: selezionare la Enable Logging on the failover standby unit casella di controllo per configurare la registrazione sull'FTD in standby che fa parte di un cluster FTD ad alta disponibilità.
Send syslogs in EMBLEM format: selezionare la Send syslogs in EMBLEM format casella di controllo per abilitare il formato Syslog come EMBLEM per ogni destinazione. Il formato EMBLEM viene utilizzato principalmente per CiscoWorks Resource Manager Essentials (RME) Syslog Analyzer. Questo formato corrisponde al formato Syslog del software Cisco IOS prodotto dai router e dagli switch. È disponibile solo per i server Syslog UDP.
Send debug messages as syslogs: selezionare la Send debug messages as syslogs casella di controllo per inviare i log di debug come messaggi Syslog al server Syslog.
Memory size of the Internal Buffer: immettere le dimensioni del buffer di memoria interno in cui FTD può salvare i dati di registro. Se viene raggiunto il limite del buffer, i dati del registro vengono ruotati.
Informazioni sul server FTP (facoltative)
Specificare i dettagli del server FTP se si desidera inviare i dati di registro al server FTP prima che sovrascriva il buffer interno.
FTP Server Buffer Wrap: selezionare la FTP Server Buffer Wrap casella di controllo per inviare i dati del log del buffer al server FTP.
IP Address: immettere l'indirizzo IP del server FTP.
Username: immettere il nome utente del server FTP.
Path: immettere il percorso della directory del server FTP.
Password: immettere la password del server FTP.
Confirm: immettere di nuovo la stessa password.
Dimensioni Flash (Facoltativo)
Specificare le dimensioni del flash se si desidera salvare i dati del registro in modo che lampeggino una volta che il buffer interno è pieno.
Flash: selezionare la Flash casella di controllo per inviare i dati di registro al flash interno.
Maximum Flash to be used by Logging(KB): immettere la dimensione massima in KB della memoria flash utilizzabile per la registrazione.
Minimum free Space to be preserved(KB): immettere la dimensione minima in KB della memoria flash da mantenere.
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere l'
Deploy opzione, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deploy per avviare la distribuzione dell'impostazione della piattaforma.
Elenchi di eventi
L'opzione Configura elenchi eventi consente di creare/modificare un elenco di eventi e di specificare quali dati del registro includere nel filtro dell'elenco di eventi. Gli elenchi di eventi possono essere utilizzati quando si configurano i filtri di registrazione nelle destinazioni di registrazione.
Il sistema consente due opzioni per utilizzare la funzionalità degli elenchi di eventi personalizzati.
- Classe e gravità
- ID messaggio
Per configurare elenchi di eventi personalizzati, scegliere
Device > Platform Setting > Threat Defense Policy > Syslog > Event List e fare clic su
Add. Queste sono le opzioni:
Name: immettere il nome dell'elenco di eventi.
Severity/Event Class: nella sezione Classe di gravità/evento, fare clic su Add.
Event Class: scegliere la classe di evento dall'elenco a discesa per il tipo di dati di registro desiderato. Una classe Event definisce un insieme di regole Syslog che rappresentano le stesse funzionalità.
Ad esempio, esiste una classe di evento per la sessione che include tutti i syslog relativi alla sessione.
Syslog Severity: scegliere la severità dall'elenco a discesa per la classe di evento scelta. La gravità può variare da 0 (emergenza) a 7 (debug).
Message ID: se si è interessati a dati di registro specifici relativi a un ID messaggio, fare clic su Add per inserire un filtro basato sull'ID messaggio.
Message IDs: specifica l'ID messaggio come formato singolo/intervallo.
Per salvare
OK la configurazione, fare clic su.
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere l'opzione
Deploy, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deployper avviare la distribuzione dell'impostazione della piattaforma.
Syslog di limitazione della velocità
L'opzione Limite di velocità definisce il numero di messaggi che possono essere inviati a tutte le destinazioni configurate e definisce la severità del messaggio a cui si desidera assegnare i limiti di velocità.
Per configurare elenchi di eventi personalizzati, scegliere
Device > Platform Setting > Threat Defense Policy > Syslog > Rate Limit. Sono disponibili due opzioni in base alle quali è possibile specificare il limite di tasso:
- Livello di registrazione
- Livelli syslog
Per abilitare il limite di velocità basato sul livello di registrazione, scegliere
Logging Level e fare clic su
Add.
Logging Level: dall'elenco a Logging Level discesa, scegliere il livello di log per il quale si desidera limitare la velocità.
Number of Messages: immettere il numero massimo di messaggi Syslog da ricevere entro l'intervallo specificato.
Interval(Second): in base al parametro Numero di messaggi configurato in precedenza, immettere l'intervallo di tempo durante il quale è possibile ricevere un insieme fisso di messaggi Syslog.
La velocità di Syslog è il numero di messaggi/intervalli.
Fare clic
OK per salvare la configurazione del livello di log.
Per abilitare il limite di velocità basato sul livello di registrazione, scegliere
Logging Level e fare clic su
Add.
Syslog ID: gli ID syslog vengono utilizzati per identificare in modo univoco i messaggi syslog. Dall'elenco a Syslog ID discesa, scegliere l'ID syslog.
Number of Messages: immettere il numero massimo di messaggi syslog da ricevere entro l'intervallo specificato.
Interval(Second): in base al parametro Numero di messaggi configurato in precedenza, immettere l'intervallo di tempo durante il quale è possibile ricevere un insieme fisso di messaggi Syslog.
La velocità di Syslog è il numero di messaggi/intervallo.
Fare clic
OK per salvare la configurazione a livello di syslog.
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere l'opzione
Deploy, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deploy per avviare la distribuzione dell'impostazione della piattaforma.
Impostazioni syslog
Le impostazioni Syslog consentono di configurare i valori della funzione da includere nei messaggi Syslog. È inoltre possibile includere l'indicatore orario nei messaggi di log e in altri parametri specifici del server Syslog.
Per configurare elenchi di eventi personalizzati, scegliere
Device > Platform Setting > Threat Defense Policy > Syslog > Syslog Settings.
Facility: il codice della struttura consente di specificare il tipo di programma che registra il messaggio. I messaggi con funzionalità diverse possono essere gestiti in modo diverso. Dall'elenco a Facility discesa, scegliere il valore della struttura.
Enable Timestamp on each Syslog Message: selezionare la Enable Timestamp on each Syslog Message casella di controllo per includere l'indicatore orario nei messaggi Syslog.
Enable Syslog Device ID: selezionare la Enable Syslog Device ID casella di controllo per includere un ID di periferica nei messaggi Syslog non in formato EMBLEM.
Netflow Equivalent Syslogs: selezionare la Netflow Equivalent Syslogs casella di controllo per inviare syslog equivalenti a NetFlow. Può influire sulle prestazioni dell'accessorio.
- Add Specific Syslog ID (Aggiungi ID syslog specifico): per specificare l'ID syslog aggiuntivo, fare clic su
Add e specificare la Syslog ID/ Logging Level casella di controllo.
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere l'opzione
Deploy, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deploy per avviare la distribuzione dell'impostazione della piattaforma.
Configura registrazione locale
La sezione Destinazione di registrazione può essere utilizzata per configurare la registrazione su destinazioni specifiche.
Le destinazioni di registrazione interna disponibili sono:
- Buffer interno: esegue il log nel buffer di log interno (buffer di log)
- Console: invia i registri alla console (console di registrazione)
- Sessioni SSH: registra il syslog nelle sessioni SSH (terminal monitor)
Per configurare la registrazione locale, è necessario eseguire tre passaggi.
Passaggio 1. Scegliere
Device > Platform Setting > Threat Defense Policy > Syslog > Logging Destinations.
Passaggio 2. Fare clic su
Add per aggiungere un filtro di registrazione per una
logging destinationpagina specifica.
Destinazione log: scegliere la destinazione di log richiesta dall'elenco a
Logging Destination discesa Buffer interno, Console o Sessioni SSH.
Classe di evento: dall'elenco a
Event Class discesa, scegliere una classe di evento. Come descritto in precedenza, le classi di evento sono un insieme di syslog che rappresentano le stesse funzionalità. Le classi di evento possono essere selezionate nei modi seguenti:
Filter on Severity: le classi di evento filtrano in base alla gravità dei syslog.
User Event List: gli amministratori possono creare elenchi di eventi specifici (descritti in precedenza) con classi di eventi personalizzate e farvi riferimento in questa sezione.
Disable Logging: utilizzare questa opzione per disabilitare la registrazione per la destinazione e il livello di registrazione scelti.
Livello di log: scegliere il livello di log dall'elenco a discesa. L'intervallo del livello di registrazione è compreso tra 0 (emergenze) e 7 (debug).
Passaggio 3. Per aggiungere una classe Event separata a questo filtro di registrazione, fare clic su
Add.
Event Class: scegliere la classe di evento dall'elenco a
Event Class discesa.
Syslog Severity: scegliere la gravità Syslog dall'elenco a
Syslog Severity discesa.
Fare clic su
OK dopo aver configurato il filtro per aggiungere il filtro per una destinazione di registrazione specifica.
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere
Deploy, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deploy per avviare la distribuzione dell'impostazione della piattaforma.
Configurare la registrazione esterna
Per configurare la registrazione esterna, scegliere
Device > Platform Setting > Threat Defense Policy > Syslog > Logging Destinations.
FTD supporta questi tipi di registrazione esterna.
- Syslog Server: invia i log al server Syslog remoto.
- Trap SNMP: invia i log out come trap SNMP.
- E-mail: invia i log via e-mail con un server di inoltro della posta preconfigurato.
La configurazione per la registrazione esterna e la registrazione interna sono le stesse. La selezione delle destinazioni di logging determina il tipo di logging implementato. È possibile configurare le classi di evento basate su elenchi di eventi personalizzati per il server remoto.
Server Syslog Remoto
I server Syslog possono essere configurati per analizzare e archiviare i log in remoto dall'FTD.
Per configurare i server Syslog remoti, è necessario eseguire tre passaggi.
Passaggio 1. Scegliere
Device > Platform Setting > Threat Defense Policy > Syslog > Syslog Servers.
Passaggio 2. Configurare il parametro correlato al server Syslog.
- Consenti il passaggio del traffico utente quando il server syslog TCP non è attivo: se un server syslog TCP è stato distribuito nella rete e non è raggiungibile, il traffico di rete attraverso l'appliance ASA viene rifiutato. Questa opzione è applicabile solo quando il protocollo di trasporto tra l'ASA e il server Syslog è TCP. Selezionare la
Allow user traffic to pass when TCP syslog server is down casella di controllo per consentire il passaggio del traffico attraverso l'interfaccia quando il server Syslog non è attivo.
- Dimensione coda messaggi: la dimensione della coda messaggi è il numero di messaggi che vengono inseriti nella coda FTD quando il server Syslog remoto è occupato e non accetta messaggi di log. Il valore predefinito è 512 messaggi e il valore minimo è 1 messaggio. Se in questa opzione si specifica 0, la dimensione della coda è considerata illimitata.
Passaggio 3. Per aggiungere server Syslog remoti, fare clic su
Add.
IP Address: dall'elenco a
IP Address discesa, scegliere un oggetto di rete con i server Syslog elencati. Se non è stato creato un oggetto di rete, fare clic sul segno più (+) per creare un nuovo oggetto.
Protocol: fare clic sul pulsante
TCP o
UDP di scelta per la comunicazione Syslog.
Port: immettere il numero di porta del server Syslog. Per impostazione predefinita, è 514.
Log Messages in Cisco EMBLEM format(UDP only): selezionare la
Log Messages in Cisco EMBLEM format (UDP only) casella di controllo per attivare questa opzione se è necessario registrare i messaggi in formato Cisco EMBLEM. Questa opzione è applicabile solo ai syslog basati su UDP.
Available Zones: immettere le aree di sicurezza su cui è raggiungibile il server Syslog e spostarlo nella colonna Aree selezionate/Interfacce selezionate.
Per salvare la configurazione, fare clic su
OK and
Save (e).
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere
Deploy, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deploy per avviare la distribuzione dell'impostazione della piattaforma.
Configurazione e-mail per registrazione
FTD consente di inviare il syslog a un indirizzo e-mail specifico. La posta elettronica può essere utilizzata come destinazione di registrazione solo se è già stato configurato un server di inoltro e-mail.
È possibile configurare le impostazioni di posta elettronica per i syslog in due passaggi.
Passaggio 1. Scegliere
Device > Platform Setting > Threat Defense Policy > Syslog >Email Setup.
Source E-MAIL Address: immettere l'indirizzo e-mail di origine che viene visualizzato su tutti i messaggi e-mail inviati dall'FTD che contengono i syslog.
Passaggio 2. Per configurare l'indirizzo e-mail di destinazione e la gravità del syslog, fare clic su
Add.
Destination Email Address: immettere l'indirizzo e-mail di destinazione a cui inviare i messaggi Syslog.
Syslog Severity: scegliere la gravità Syslog dall'elenco a
Syslog Severity discesa.
Per salvare
OK la configurazione, fare clic su.
Fare clic su
Save per salvare l'impostazione della piattaforma. Scegliere
Deploy, scegliere l'accessorio FTD a cui applicare le modifiche e fare clic su
Deploy per avviare la distribuzione dell'impostazione della piattaforma.
Verifica
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Risoluzione dei problemi
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.
- Verificare la configurazione del syslog FTD nella CLI FTD. Accedere all'interfaccia di gestione dell'FTD e immettere il
system support diagnostic-cli comando per eseguire la console nella CLI di diagnostica. > system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
><Press Enter>
firepower# sh run logging
logging enable
logging console emergencies
logging buffered debugging
logging host inside 192.168.0.192
logging flash-minimum-free 1024
logging flash-maximum-allocation 3076
logging permit-hostdown
- Accertarsi che il server Syslog sia raggiungibile dall'FTD. Accedere all'interfaccia di gestione FTD tramite SSH e verificare la connettività con il
ping comando. Copyright 2004-2016, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Fire Linux OS v6.0.1 (build 37)
Cisco Firepower Threat Defense for VMWare v6.0.1 (build 1213)
> system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> en
Password:
firepower# ping 192.168.0.192
- È possibile acquisire un pacchetto per verificare la connettività tra l'FTD e il server Syslog. Accedere all'interfaccia di gestione FTD tramite SSH e immettere il comando
system support diagnostic-cli. Per i comandi di acquisizione dei pacchetti, consultare l'esempio di acquisizione dei pacchetti ASA con CLI e configurazione ASDM.
- Verificare che la distribuzione dei criteri sia stata applicata correttamente.
Informazioni correlate
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
10-Jul-2023 |
ricertificazione |
2.0 |
15-Jun-2022 |
Contenuti modificati per maggiore chiarezza. Immagine aggiunta a "Informazioni di sfondo". Indirizzo IP aggiornato all'indirizzo IP privato. |
1.0 |
13-May-2016 |
Versione iniziale |