Configurare FMC per l'invio di registri di controllo a un server Syslog

Opzioni per il download

  • PDF     (596.0 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:5 giugno 2026
ID documento:221019

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare i log di controllo di Centro gestione firewall protetti da inviare a un server Syslog.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Usabilità di base di Cisco Firewall Management Center (FMC)
  • Informazioni sul protocollo Syslog

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco Firewall Management Center Virtual v7.4.0
  • Server syslog di terze parti

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Centro gestione firewall protetto registra le attività degli utenti in registri di controllo di sola lettura. A partire dalla versione 7.4.0 di Firepower, è possibile trasmettere le modifiche alla configurazione come parte dei dati del log di controllo a syslog specificando il formato dei dati di configurazione e gli host. Lo streaming dei registri di verifica su un server esterno consente di preservare spazio nel centro di gestione ed è utile quando è necessario fornire un audit trail delle modifiche alla configurazione.

In caso di elevata disponibilità, solo il centro di gestione attivo invia il syslog delle modifiche di configurazione ai server syslog esterni. Il file di log viene sincronizzato tra le coppie HA in modo che, durante un failover o un passaggio, il nuovo centro di gestione attivo riprenda l'invio dei log delle modifiche. Se la coppia HA funziona in modalità split-brain, entrambi i centri di gestione della coppia inviano il syslog di modifica della configurazione ai server esterni.

Configurazione

Passaggio 1. Abilitazione dei log di controllo in Syslog

Per attivare l'invio dei log di controllo da parte di FMC a un server syslog, selezionare Sistema > Configurazione > Log di controllo > Invia log di controllo a syslog > Abilitato.

Nell'immagine viene mostrato come abilitare la funzione Invia registro di controllo a syslog:

Syslog Enable

Il FMC può inviare i dati del registro di controllo a un massimo di cinque server syslog.

Passaggio 2. Configurazione delle informazioni di syslog

Dopo aver abilitato il servizio, è possibile configurare le informazioni syslog. Per configurare le informazioni di syslog, selezionare Sistema > Configurazione > Registro di controllo.

A seconda delle esigenze, selezionare Send Configuration Changes, Hosts, Facility, Severity (Invia modifiche alla configurazione, Host, Struttura, Gravità).

Nell'immagine sono illustrati i parametri per configurare Syslog Server per i log di controllo:

Syslog Configuration

Verifica

Per verificare se i parametri sono configurati correttamente, selezionare Sistema > Configurazione > Registro di controllo > Test Syslog Server.

Nell'immagine viene mostrato un test del server Syslog riuscito:

Syslog Test

Per verificare che syslog funzioni correttamente, controllare l'interfaccia syslog per verificare che i log di controllo siano stati ricevuti.

Nell'immagine sono illustrati alcuni esempi di log di controllo ricevuti dal server Syslog:

Syslog Events

Image

Di seguito sono riportati alcuni esempi delle modifiche alla configurazione che è possibile ricevere nel server syslog:

2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation

Risoluzione dei problemi

Dopo aver applicato la configurazione, verificare che il CCP sia in grado di comunicare con il server syslog.

Il sistema utilizza i pacchetti ICMP/ARP e TCP SYN per verificare che il server syslog sia raggiungibile. Quindi, per impostazione predefinita, il sistema utilizza la porta 514/UDP per i log di controllo di streaming e la porta TCP 1470 se si protegge il canale.

Per configurare l'acquisizione di un pacchetto in FMC, applicare i seguenti comandi:

  • tcpdump. Questo comando acquisisce il traffico sulla rete.
> expert
admin@firepower:~$ sudo su
Password: 

root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514

Inoltre, per verificare la raggiungibilità del protocollo ICMP, applicare questo comando:

  • ping. Questo comando consente di verificare se un dispositivo è raggiungibile o meno e di conoscere la latenza della connessione.
> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
2.0
05-Jun-2026
Release iniziale, riformattazione.
1.0
03-Oct-2023
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Oscar Montoya Torres
    Capitano della squadra di sicurezza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti