FMC를 통해 FTD에 로깅 구성

소개

이 문서에서는 FMC(Firepower Management Center)를 통한 FirePOWER FTD(Threat Defense)의 로깅 컨피그레이션에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• FirePOWER 기술
• ASA(Adaptive Security Appliance)에 대한 기본 지식
• Syslog 프로토콜

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 6.0.1 이상을 실행하는 ASA용 ASA Firepower Threat Defense 이미지(5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X )
• 소프트웨어 버전 6.0.1 이상을 실행하는 ASA용 ASA Firepower Threat Defense 이미지(5515-X, ASA 5525-X, ASA 5545-X, ASA 555-X)
• FMC 버전 6.0.1 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

FTD 시스템 로그는 FTD 어플라이언스를 모니터링하고 문제를 해결할 정보를 제공합니다. 로그는 일상적인 문제 해결 및 인시던트 처리 모두에서 유용합니다. FTD 어플라이언스는 로컬 및 외부 로깅을 모두 지원합니다.

로컬 로깅은 라이브 문제를 해결하는 데 도움이 됩니다. 외부 로깅은 FTD 어플라이언스에서 외부 Syslog 서버로 로그를 수집하는 방법입니다. 중앙 서버에 로깅하면 로그와 경고를 통합하는 데 도움이 됩니다. 외부 로깅은 로그 상관관계 및 사고 처리에 도움이 될 수 있습니다.

로컬 로깅의 경우 FTD 어플라이언스는 콘솔, 내부 버퍼 옵션 및 SSH(Secure Shell) 세션 로깅을 지원합니다.

외부 로깅의 경우 FTD 어플라이언스는 외부 Syslog 서버 및 이메일 릴레이 서버를 지원합니다.

참고: 대량의 트래픽이 어플라이언스를 통과하는 경우 로깅/심각도/속도 제한 유형에 유의하십시오. 이렇게 하면 방화벽에 영향을 주지 않는 로그 수를 제한할 수 있습니다.

구성

모든 로깅 관련 컨피그레이션은 Platform Settings 탭 아래의 Devices 탭. 선택 Devices > Platform Settings 이 이미지에 표시된 것처럼

존재하는 정책을 수정하려면 연필 아이콘을 클릭하거나 New Policy을 선택하고 Threat Defense Settings이 이미지에 표시된 대로 새 FTD 정책을 생성하려면

이 정책을 적용할 FTD 어플라이언스를 선택하고 Save 이 이미지에 표시된 것처럼

전역 Syslog 구성

로컬 및 외부 로깅에 모두 적용할 수 있는 특정 컨피그레이션이 있습니다. 이 섹션에서는 Syslog에 대해 구성할 수 있는 필수 및 선택적 매개변수를 다룹니다.

로깅 설정

로깅 설정 옵션은 로컬 및 외부 로깅에 적용할 수 있습니다. 로깅 설정을 구성하려면 Devices > Platform Settings.

선택 Syslog > Logging Setup.

기본 로깅 설정

• Enable Logging: 확인 Enable Logging 로깅을 활성화하려면 확인란을 선택합니다. 필수 옵션입니다.
• Enable Logging on the failover standby unit: 확인 Enable Logging on the failover standby unit FTD 고가용성 클러스터의 일부인 대기 FTD에 로깅을 구성하려면 확인란을 선택합니다.
• Send syslogs in EMBLEM format: 확인 Send syslogs in EMBLEM format 모든 대상에 대해 Syslog as EMBLEM 형식을 활성화하려면 확인란을 선택합니다. EMBLEM 형식은 주로 CiscoWorks RME(Resource Manager Essentials) Syslog 분석기에 사용됩니다. 이 형식은 라우터와 스위치에서 생성한 Cisco IOS Software Syslog 형식과 일치합니다. UDP Syslog 서버에서만 사용할 수 있습니다.
• Send debug messages as syslogs: 확인 Send debug messages as syslogs 디버그 로그를 Syslog 서버로 Syslog 메시지로 전송하려면 이 확인란을 선택합니다.
• Memory size of the Internal Buffer: FTD가 로그 데이터를 저장할 수 있는 내부 메모리 버퍼 크기를 입력합니다. 로그 데이터는 버퍼 제한에 도달하면 회전합니다.

FTP 서버 정보(선택 사항)

내부 버퍼를 덮어쓰기 전에 로그 데이터를 FTP 서버로 전송하려면 FTP 서버 세부 정보를 지정합니다.

• FTP Server Buffer Wrap: 확인 FTP Server Buffer Wrap 버퍼 로그 데이터를 FTP 서버로 전송하려면 확인란을 선택합니다.
• IP Address: FTP 서버의 IP 주소를 입력합니다.
• Username: FTP 서버의 사용자 이름을 입력합니다.
• Path: FTP 서버의 디렉토리 경로를 입력합니다.
• Password: FTP 서버의 비밀번호를 입력합니다.
• Confirm: 동일한 비밀번호를 다시 입력합니다.

플래시 크기(선택 사항)

내부 버퍼가 가득 차면 로그 데이터를 플래시에 저장하려면 플래시 크기를 지정합니다.

• Flash: 확인 Flash 로그 데이터를 내부 플래시로 전송하려면 확인란을 선택합니다.
• Maximum Flash to be used by Logging(KB): 로깅에 사용할 수 있는 최대 플래시 메모리 크기(KB)를 입력합니다.
• Minimum free Space to be preserved(KB): 보존해야 하는 플래시 메모리의 최소 크기(KB)를 입력합니다.

클릭 Save 플랫폼 설정을 저장합니다. 다음을 선택합니다. Deploy 옵션을 선택하고 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy 플랫폼 설정의 구축을 시작합니다.

이벤트 목록

Configure Event Lists 옵션을 사용하면 이벤트 목록을 생성/편집하고 이벤트 목록 필터에 포함할 로그 데이터를 지정할 수 있습니다. 이벤트 목록은 로깅 대상에서 로깅 필터를 구성할 때 사용할 수 있습니다.

시스템에서는 두 가지 옵션을 사용하여 사용자 지정 이벤트 목록의 기능을 사용할 수 있습니다.

• 클래스 및 심각도
• 메시지 ID

사용자 지정 이벤트 목록을 구성하려면 Device > Platform Setting > Threat Defense Policy > Syslog > Event List 클릭하여 Add. 다음은 옵션입니다.

• Name: 이벤트 목록의 이름을 입력합니다.
• Severity/Event Class: Severity/Event Class 섹션에서 Add.
• Event Class: 원하는 로그 데이터 유형에 대한 드롭다운 목록에서 이벤트 클래스를 선택합니다. 이벤트 클래스는 동일한 기능을 나타내는 Syslog 규칙 집합을 정의합니다. 예를 들어, 세션에 대한 Event Class가 있으며, 여기에는 세션과 관련된 모든 Syslog가 포함됩니다.
• Syslog Severity: 선택한 이벤트 클래스에 대한 드롭다운 목록에서 심각도를 선택합니다. 심각도 범위는 0(긴급)에서 7(디버깅)까지입니다.
• Message ID: 메시지 ID와 관련된 특정 로그 데이터에 관심이 있는 경우 Add 메시지 ID를 기반으로 필터를 배치하기 위한 것입니다.
• Message IDs: 메시지 ID를 개별/범위 형식으로 지정합니다.

클릭 OK 구성을 저장할 수 있습니다.

클릭 Save 플랫폼 설정을 저장합니다. 선택 Deploy에서 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy플랫폼 설정의 구축을 시작합니다.

Syslog 속도 제한

Rate limit 옵션은 구성된 모든 대상으로 전송할 수 있는 메시지 수를 정의하고 속도 제한을 할당할 메시지의 심각도를 정의합니다.

사용자 지정 이벤트 목록을 구성하려면 Device > Platform Setting > Threat Defense Policy > Syslog > Rate Limit. 속도 제한을 지정할 수 있는 두 가지 옵션이 있습니다.

• Logging Level(로깅 레벨)
• Syslog 레벨

로깅 레벨 기반 속도 제한을 활성화하려면 Logging Level 클릭하여 Add.

• Logging Level: 에서 Logging Level 드롭다운 목록에서 속도 제한을 수행할 로깅 수준을 선택합니다.
• Number of Messages: 지정된 간격 내에 수신할 최대 Syslog 메시지 수를 입력합니다.
• Interval(Second): 이전에 구성된 Number of Messages(메시지 수) 매개변수에 따라 고정 Syslog 메시지 집합을 수신할 수 있는 시간 간격을 입력합니다.

Syslog의 속도는 메시지/간격 수입니다.

클릭 OK 로깅 레벨 컨피그레이션을 저장합니다.

로깅 레벨 기반 속도 제한을 활성화하려면 Logging Level 클릭하여 Add.

• Syslog ID: Syslog ID는 Syslog 메시지를 고유하게 식별하는 데 사용됩니다. 에서 Syslog ID 드롭다운 목록에서 Syslog ID를 선택합니다.
• Number of Messages: 지정된 간격 내에 수신할 최대 syslog 메시지 수를 입력합니다.
• Interval(Second): 이전에 구성된 Number of Messages(메시지 수) 매개변수에 따라 고정 Syslog 메시지 집합을 수신할 수 있는 시간 간격을 입력합니다.

Syslog의 속도는 Number of Messages/Interval입니다.

클릭 OK Syslog 레벨 컨피그레이션을 저장합니다.

클릭 Save 플랫폼 설정을 저장합니다. 선택 Deploy에서 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy 플랫폼 설정의 구축을 시작합니다.

Syslog 설정

Syslog 설정을 사용하면 Syslog 메시지에 Facility 값의 컨피그레이션을 포함할 수 있습니다. 로그 메시지 및 기타 Syslog 서버별 매개변수에 타임스탬프를 포함할 수도 있습니다.

사용자 지정 이벤트 목록을 구성하려면 Device > Platform Setting > Threat Defense Policy > Syslog > Syslog Settings.

• Facility: 기능 코드는 메시지를 기록하는 프로그램의 유형을 지정하는 데 사용됩니다. 다른 기능이 있는 메시지는 다르게 처리할 수 있습니다. 에서 Facility 드롭다운 목록에서 협업공간 값을 선택합니다.
• Enable Timestamp on each Syslog Message: 확인 Enable Timestamp on each Syslog Message Syslog 메시지에 타임스탬프를 포함하려면 이 확인란을 선택합니다.
• Enable Syslog Device ID: 확인 Enable Syslog Device ID EMBLEM 형식이 아닌 Syslog 메시지에 디바이스 ID를 포함하려면 이 확인란을 선택합니다.
• Netflow Equivalent Syslogs: 확인 Netflow Equivalent Syslogs NetFlow와 동등한 Syslog를 전송하려면 확인란을 선택합니다. 어플라이언스의 성능에 영향을 줄 수 있습니다.
• 특정 Syslog ID 추가: 추가 Syslog ID를 지정하려면 Add 및 Syslog ID/ Logging Level 확인란을 선택합니다.

클릭 Save 플랫폼 설정을 저장합니다. 선택 Deploy에서 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy 플랫폼 설정의 구축을 시작합니다.

로컬 로깅 구성

Logging Destination(로깅 대상) 섹션을 사용하여 특정 대상에 대한 로깅을 구성할 수 있습니다.

사용 가능한 내부 로깅 대상은 다음과 같습니다.

• 내부 버퍼: 내부 로깅 버퍼에 로그(로깅 버퍼됨)
• Console: 콘솔에 로그 전송(로깅 콘솔)
• SSH 세션: Syslog를 SSH 세션에 로깅합니다(터미널 모니터).

Local Logging(로컬 로깅)을 구성하려면 3단계를 수행합니다.

1단계. 선택 Device > Platform Setting > Threat Defense Policy > Syslog > Logging Destinations.

2단계. Add 특정 항목에 대한 로깅 필터를 추가하려면 logging destination.

로깅 대상: 에서 필요한 로깅 대상을 선택합니다. Logging Destination 드롭다운 목록을 내부 버퍼, 콘솔 또는 SSH 세션으로 표시합니다.

이벤트 클래스: 에서 Event Class 드롭다운 목록에서 이벤트 클래스를 선택합니다. 앞에서 설명한 대로 이벤트 클래스는 동일한 기능을 나타내는 Syslog 집합입니다. 이벤트 클래스는 다음과 같은 방법으로 선택할 수 있습니다.

• Filter on Severity: 이벤트 클래스는 Syslog의 심각도를 기반으로 필터링합니다.
• User Event List: 관리자는 자신의 사용자 지정 이벤트 클래스를 사용하여 특정 이벤트 목록(이전에 설명됨)을 생성하고 이 섹션에서 참조할 수 있습니다.
• Disable Logging: 선택한 로깅 대상 및 로깅 레벨에 대한 로깅을 비활성화하려면 이 옵션을 사용합니다.

로깅 수준: 드롭다운 목록에서 로깅 레벨을 선택합니다. 로깅 수준 범위는 0(Emergency)~7(디버깅)입니다.

3단계. 이 로깅 필터에 별도의 이벤트 클래스를 추가하려면 Add.

Event Class: 다음에서 이벤트 클래스를 선택합니다. Event Class 드롭다운 목록

Syslog Severity: 에서 Syslog 심각도를 선택합니다. Syslog Severity 드롭다운 목록

클릭 OK 특정 로깅 대상에 대한 필터를 추가하도록 필터가 구성된 경우

클릭 Save 플랫폼 설정을 저장합니다. 선택 Deploy에서 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy 플랫폼 설정을 배포하기 위한 것입니다.

외부 로깅 구성

외부 로깅을 구성하려면 Device > Platform Setting > Threat Defense Policy > Syslog > Logging Destinations.

FTD는 이러한 유형의 외부 로깅을 지원합니다.

• Syslog 서버: 원격 Syslog 서버로 로그를 전송합니다.
• SNMP 트랩: 로그를 SNMP 트랩으로 전송합니다.
• 전자 메일: 사전 구성된 메일 릴레이 서버로 이메일을 통해 로그를 전송합니다.

외부 로깅 및 내부 로깅에 대한 컨피그레이션이 동일합니다. 로깅 대상을 선택하면 구현된 로깅 유형이 결정됩니다. 사용자 지정 이벤트 목록을 기반으로 원격 서버에 이벤트 클래스를 구성할 수 있습니다.

원격 Syslog 서버

FTD에서 원격으로 로그를 분석하고 저장하도록 Syslog 서버를 구성할 수 있습니다.

원격 Syslog 서버를 구성하는 3단계가 있습니다.

1단계. 선택 Device > Platform Setting > Threat Defense Policy > Syslog > Syslog Servers.

2단계. Syslog 서버 관련 매개변수를 구성합니다.

• TCP syslog 서버가 다운되었을 때 사용자 트래픽이 전달되도록 허용: TCP Syslog 서버가 네트워크에 구축되어 연결할 수 없는 경우 ASA를 통한 네트워크 트래픽이 거부됩니다. 이는 ASA와 Syslog 서버 간의 전송 프로토콜이 TCP인 경우에만 적용됩니다. 확인 Allow user traffic to pass when TCP syslog server is down Syslog 서버가 다운되었을 때 트래픽이 인터페이스를 통과하도록 허용하려면 이 확인란을 선택합니다.

• 메시지 큐 크기: message queue size는 원격 Syslog 서버가 사용 중일 때 FTD에 대기하는 메시지 수이며 로그 메시지를 수락하지 않습니다.기본값은 메시지 512개이며 최소 메시지 1개입니다. 이 옵션에 0을 지정하면 큐 크기는 무제한으로 간주됩니다.

3단계. 원격 Syslog 서버를 추가하려면 Add.

IP Address: 에서 IP Address 드롭다운 목록에서 Syslog 서버가 나열된 네트워크 객체를 선택합니다. 네트워크 객체를 생성하지 않은 경우 더하기(+) 아이콘을 클릭하여 새 객체를 생성합니다.

Protocol: 다음 중 하나를 클릭합니다. TCP 또는 UDP Syslog 통신을 위한 라디오 버튼.

Port: Syslog 서버 포트 번호를 입력합니다. 기본적으로 514입니다.

Log Messages in Cisco EMBLEM format(UDP only): 다음을 클릭합니다. Log Messages in Cisco EMBLEM format (UDP only) Cisco EMBLEM 형식으로 메시지를 기록해야 하는 경우 이 옵션을 활성화하려면 이 확인란을 선택합니다. 이는 UDP 기반 Syslog에만 적용됩니다.

Available Zones: Syslog 서버에 연결할 수 있는 보안 영역을 입력하고 Selected Zones/Interfaces 열로 이동합니다.

클릭 OK 및 Save 구성을 저장할 수 있습니다.

클릭 Save 플랫폼 설정을 저장합니다. 선택 Deploy에서 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy 플랫폼 설정의 구축을 시작합니다.

로깅을 위한 이메일 설정

FTD에서는 Syslog를 특정 이메일 주소로 보낼 수 있습니다. 이메일 릴레이 서버가 이미 구성된 경우에만 이메일을 로깅 대상으로 사용할 수 있습니다.

Syslog에 대한 이메일 설정을 구성하는 두 가지 단계가 있습니다.

1단계. 선택 Device > Platform Setting > Threat Defense Policy > Syslog >Email Setup.

Source E-MAIL Address: Syslog가 포함된 FTD에서 전송된 모든 이메일에 나타나는 소스 이메일 주소를 입력합니다.

2단계. 대상 이메일 주소 및 Syslog 심각도를 구성하려면 Add.

Destination Email Address: Syslog 메시지가 전송되는 대상 이메일 주소를 입력합니다.

Syslog Severity: 에서 Syslog 심각도를 선택합니다. Syslog Severity 드롭다운 목록

클릭 OK 구성을 저장할 수 있습니다.

클릭 Save 플랫폼 설정을 저장합니다. 선택 Deploy에서 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy 플랫폼 설정의 구축을 시작합니다.

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

• FTD CLI에서 FTD Syslog 컨피그레이션을 확인합니다. FTD의 관리 인터페이스에 로그인하고 system support diagnostic-cli 명령을 실행하여 진단 CLI에 콘솔을 연결합니다.

  > system support diagnostic-cli 
  Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
  Type help or '?' for a list of available commands.
  
  ><Press Enter>
  firepower# sh run logging 
  logging enable
  logging console emergencies
  logging buffered debugging
  logging host inside 192.168.0.192
  logging flash-minimum-free 1024
  logging flash-maximum-allocation 3076
  logging permit-hostdown

• FTD에서 Syslog 서버에 연결할 수 있는지 확인합니다. SSH를 통해 FTD 관리 인터페이스에 로그인하고 ping 명령을 실행합니다.

  Copyright 2004-2016, Cisco and/or its affiliates. All rights reserved. 
  Cisco is a registered trademark of Cisco Systems, Inc. 
  All other trademarks are property of their respective owners.
  Cisco Fire Linux OS v6.0.1 (build 37)
  Cisco Firepower Threat Defense for VMWare v6.0.1 (build 1213)
  
  > system support diagnostic-cli 
  Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
  Type help or '?' for a list of available commands.
  firepower> en
  Password: 
  firepower# ping 192.168.0.192
  

• FTD와 Syslog 서버 간의 연결을 확인하기 위해 패킷 캡처를 수행할 수 있습니다. SSH를 통해 FTD 관리 인터페이스에 로그인하고 명령을 입력합니다. system support diagnostic-cli. 패킷 캡처 명령에 대해서는 CLI 및 ASDM 컨피그레이션을 통한 ASA 패킷 캡처 예를 참조하십시오.
• 정책 배포가 성공적으로 적용되었는지 확인합니다.

관련 정보

• ASA용 Cisco Firepower Threat Defense 빠른 시작 가이드
• 기술 지원 및 문서 − Cisco Systems