FMC를 통해 FTD에서 로깅 구성
목차
소개
이 문서에서는 FMC(Firepower Management Center)를 통해 수행할 수 있는 FTD(FirePOWER Threat Defense)의 로깅 컨피그레이션을 설명합니다.
기고자: Avinash N, Sunil Kumar 및 Prashant Joshi(Cisco TAC 엔지니어)
사전 요구 사항
요건
다음 항목에 대해 알고 있는 것이 좋습니다.
- FirePOWER 기술에 대한 사항
- ASA(Adaptive Security Appliance)에 대한 기본 사항
- Syslog 프로토콜 관련 사항
사용되는 구성 요소
이 문서의 정보는 아래의 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- 소프트웨어 버전 6.0.1 이상을 실행하는 ASA(5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X)용 ASA Firepower Threat Defense 이미지
- 소프트웨어 버전 6.0.1 이상을 실행하는 ASA(5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X)용 ASA Firepower Threat Defense 이미지
- FMC(Firepower Management Center) 버전 6.0.1 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
FTD 시스템 로그는 FTD 어플라이언스 모니터링 및 트러블슈팅을 위한 정보를 제공합니다. 로그는 일상적인 트러블슈팅과 사고 처리에 모두 유용합니다. FTD 어플라이언스는 로컬 로깅과 외부 로깅을 모두 지원합니다.
로컬 로깅을 수행하면 현재 발생한 문제를 쉽게 트러블슈팅할 수 있습니다. 외부 로깅은 FTD 어플라이언스의 로그 모음을 외부 Syslog 서버로 전송하는 방법입니다. 중앙 서버에 로깅을 하면 로그와 알림을 쉽게 집계할 수 있습니다. 외부 로깅을 수행하면 로그 상관관계 파악 및 사고 처리에 도움이 됩니다.
로컬 로깅의 경우 FTD 어플라이언스는 콘솔, 내부 버퍼 옵션 및 SSH(Secure Shell) 세션 로깅을 지원합니다.
외부 로깅의 경우 FTD 어플라이언스는 외부 Syslog 서버와 이메일 릴레이 서버를 지원합니다.
Configure
Devices(디바이스) 탭 아래의 Platform Settings(플랫폼 설정) 탭으로 이동하면 모든 로깅 관련 컨피그레이션을 구성할 수 있습니다. 아래 그림에 나와 있는 것처럼 Devices(디바이스) > Platform Settings(플랫폼 설정)로 이동합니다.
연필 아이콘을 클릭하여 기존 정책을 수정하거나, 아래 그림에 나와 있는 것처럼 New Policy(새 정책) 버튼을 클릭하고 유형으로 Threat Defense Settings(Threat Defense 설정)를 선택하여 새 FTD 정책을 생성합니다.
이 정책을 적용할 FTD 어플라이언스를 선택하고 아래 그림에 나와 있는 것처럼 Save(저장)를 클릭합니다.
글로벌 Syslog 컨피그레이션 구성
특정 컨피그레이션은 로컬 로깅과 외부 로깅에 모두 적용됩니다. 이 섹션에서는 Syslog에 대해 구성할 수 있는 필수 및 선택 가능한 파라미터에 대해 설명합니다.
로깅 설정
Logging Setup(로깅 설정) 옵션은 로컬 및 외부 로깅에 적용됩니다. 로깅 설정을 구성하려면 Devices(디바이스) > Platform settings(플랫폼 설정)로 이동합니다.
Syslog > Logging setup(로깅 설정)으로 이동합니다.
기본 로깅 설정
- Enable logging(로깅 활성화): 로깅을 활성화하려면 체크 박스를 선택합니다. 이 항목은 필수 옵션입니다.
- Enable logging on the Failover device standby unit(장애 조치 디바이스 스탠바이 유닛에서 로깅 활성화): FTD 고가용성 클러스터의 일부분인 스탠바이 FTD에서 로깅을 구성하려면 이 체크 박스를 활성화합니다.
- Send Syslog in EMBLEM format(EMBLEM 형식으로 Syslog 보내기): 모든 목적지에 대해 Syslog 형식으로 EMBLEM을 활성화하려면 이 체크 박스를 선택합니다. EMBLEM 형식은 기본적으로 CiscoWorks RME(Resource Manager Essentials) Syslog 분석기에 사용됩니다. 이 형식은 라우터와 스위치에서 생성되는 Cisco IOS 소프트웨어 Syslog 형식과 일치하며, UDP Syslog 서버에서만 사용할 수 있습니다.
- Send Debug Messages as Syslogs(Syslog로 디버그 메시지 보내기): 디버그 로그를 Syslog 서버에 Syslog 메시지로 보내려면 이 체크 박스를 선택합니다.
- Select the memory size of the internal Buffer(내부 버퍼의 메모리 크기 선택): FTD가 로그 데이터를 저장할 수 있는 내부 메모리 버퍼 크기를 지정합니다. 버퍼 제한에 도달하면 로그 데이터 로테이션이 수행됩니다.
FTP Server Information(FTP 서버 정보)(선택 사항)
내부 버퍼를 덮어쓰기 전에 FTP 서버로 로그 데이터를 보내려는 경우 FTP 서버 세부사항을 지정합니다.
- FTP Server Buffer wrap(FTP 서버 버퍼 래핑): 버퍼 로그 데이터를 FTP 서버로 보내려면 체크 박스를 활성화합니다.
- IP address(IP 주소): FTP 서버의 IP 주소를 지정합니다.
- Username(사용자 이름): FTP 서버의 사용자 이름을 지정합니다.
- Path(경로): FTP 서버의 디렉터리 경로를 지정합니다.
- Password(비밀번호): FTP 서버의 비밀번호를 지정합니다.
- Confirm(확인): 같은 비밀번호를 다시 지정합니다.
Flash Size(플래시 크기)(선택 사항)
내부 버퍼가 가득 찼을 때 로그 데이터를 플래시에 저장하려면 플래시 크기를 지정합니다.
- Flash(플래시): 로그 데이터를 내부 플래시로 보내려면 이 체크 박스를 활성화합니다.
- Maximum flash to be used by logging (KB)(로깅에 사용할 최대 플래시(KB)): 로깅에 사용할 수 있는 플래시 메모리의 최대 크기를 KB 단위로 지정합니다.
- Minimum free space to be preserved(KB)(유지할 최소 여유 공간(KB)): 유지해야 하는 플래시 메모리의 최소 크기를 KB 단위로 지정합니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
이벤트 목록 구성
Event Lists(이벤트 목록) 옵션을 구성하면 이벤트 목록을 생성/수정할 수 있으며 이벤트 목록 필터에 포함할 로그 데이터를 지정할 수 있습니다. Logging destinations(로깅 목적지) 아래에서 Logging Filters(로깅 필터)를 구성할 때 Event Lists(이벤트 목록)를 사용할 수 있습니다.
시스템에서는 아래의 두 옵션을 통해 맞춤형 이벤트 목록 기능을 사용할 수 있습니다.
- Class and Severity(클래스 및 심각도)
- 메시지 ID
맞춤형 이벤트 목록을 구성하려면 Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog > Event List(이벤트 목록)로 이동하여 Add(추가) 버튼을 클릭합니다. 그러면 다음 옵션이 표시됩니다.
Name(이름): 이벤트 목록 이름을 지정합니다.
Severity/Event Class(심각도/이벤트 클래스): Severity/Event Class(심각도/이벤트 클래스) 섹션에서 Add(추가) 버튼을 클릭합니다.
- Event Class(이벤트 클래스): 원하는 로그 데이터 유형에 대한 드롭다운 목록에서 이벤트 클래스를 지정합니다. 이벤트 클래스는 동일한 기능을 나타내는 Syslog 규칙 집합을 정의합니다. 세션의 이벤트 클래스에 세션과 관련된 Syslog가 모두 포함되는 경우를 예로 들 수 있습니다.
- Syslog Severity(Syslog 심각도): 선택한 이벤트 클래스에 대한 드롭다운 목록에서 심각도를 지정합니다. 심각도의 범위는 0(긴급)~7(디버깅)입니다.
Message-ID(메시지 ID): 메시지 ID와 관련된 특정 로그 데이터를 확인하려는 경우 Add(추가) 버튼을 클릭하여 메시지 ID를 기준으로 필터를 적용할 수 있습니다.
- Message IDs(메시지 ID): 개별/범위 형식으로 메시지 ID를 지정합니다.
OK(확인) 버튼을 클릭하여 컨피그레이션을 저장합니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
Syslog 속도 제한
Rate limit(속도 제한) 옵션은 구성된 모든 목적지로 보낼 수 있는 메시지의 수와 속도 제한을 할당하려는 메시지의 심각도를 정의합니다.
맞춤형 이벤트 목록을 구성하려면 Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog > Rate Limit(속도 제한)으로 이동합니다. 아래의 두 옵션을 사용하여 속도 제한을 지정할 수 있습니다.
- Logging level(로깅 레벨)
- Syslog levels(Syslog 레벨)
로깅 레벨 기반 속도 제한을 활성화하려면 Logging Level(로깅 레벨) 섹션으로 이동하여 Add(추가) 버튼을 클릭합니다.
Logging Level(로깅 레벨): 드롭다운 목록에서 속도 제한을 수행할 로깅 레벨을 선택합니다.
Number of Messages(메시지 수): 지정된 간격 내에 수신할 최대 Syslog 메시지 수를 입력합니다.
Interval (Second)(간격(초)): 앞에서 구성한 Number of Messages(메시지 수) 파라미터를 기준으로 하여 고정된 Syslog 메시지 집합을 수신할 수 있는 시간 간격을 선택합니다.
Syslog 속도는 메시지 수/간격의 값이 됩니다.
OK(확인) 버튼을 클릭하여 로깅 레벨 컨피그레이션을 저장합니다.
로깅 레벨 기반 속도 제한을 활성화하려면 Logging Level(로깅 레벨) 섹션으로 이동하여 Add(추가) 버튼을 클릭합니다.
Syslog ID: Syslog ID는 Syslog 메시지를 고유하게 식별하는 데 사용됩니다. 드롭다운 목록에서 Syslog ID를 선택합니다.
Number of Messages(메시지 수): 지정된 간격 내에 수신할 최대 Syslog 메시지 수를 입력합니다.
Interval (Second)(간격(초)): 앞에서 구성한 Number of Messages(메시지 수) 파라미터를 기준으로 하여 고정된 Syslog 메시지 집합을 수신할 수 있는 시간 간격을 선택합니다.
Syslog 속도는 메시지 수/간격의 값이 됩니다.
OK(확인) 버튼을 클릭하여 Syslog 레벨 컨피그레이션을 저장합니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
Syslog 설정 구성
Syslog 설정을 사용하면 Syslog 메시지에 포함할 기능 값을 구성할 수 있습니다. 또한, 로그 메시지 및 기타 Syslog 서버 관련 파라미터에 타임스탬프를 포함할 수 있습니다.
맞춤형 이벤트 목록을 구성하려면 Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog > Syslog Settings(Syslog 설정)로 이동합니다.
Facility(기능): 기능 코드는 메시지를 로깅하는 프로그램의 유형을 지정하는 데 사용됩니다. 기능이 서로 다른 메시지는 각기 다른 방식으로 처리할 수 있습니다. 드롭다운 목록에서 기능 값을 지정합니다.
Enable Timestamp on each Syslog Message(각 Syslog 메시지에서 타임스탬프 활성화): Syslog 메시지에 타임스탬프를 포함하려면 체크 박스를 활성화합니다.
Enable Syslog Device ID(Syslog 디바이스 ID 활성화): EMBLEM 형식이 아닌 Syslog 메시지에 디바이스 ID를 포함하려면 체크 박스를 활성화합니다.
Netflow Equivalent Syslogs(Netflow 해당 Syslog): NetFlow 해당 Syslog를 보내려면 체크 박스를 활성화합니다. 이 옵션은 어플라이언스 성능에 영향을 줄 수 있습니다.
Add Specific Syslog ID(특정 Syslog ID 추가): Add(추가)를 클릭하고 Specify the Syslog ID/Logging Level(Syslog ID/로깅 레벨 지정) 체크 박스를 활성화하여 추가 Syslog ID를 지정할 수 있습니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
로컬 로깅 구성
Logging Destination(로깅 목적지) 섹션을 사용하여 특정 목적지에 대한 로깅을 구성할 수 있습니다.
사용 가능한 내부 로깅 목적지는 다음과 같습니다.
- Internal Buffer(내부 버퍼): 내부 로깅 버퍼에 로깅합니다(로깅이 버퍼링됨).
- Console(콘솔): 콘솔(로깅 콘솔)에 로그를 전송합니다.
- SSH sessions(SSH 세션): SSH 세션(터미널 모니터)에 Syslog를 로깅합니다.
아래의 세 단계를 수행하여 로컬 로깅을 구성합니다.
1단계. Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog > Logging Destinations(로깅 목적지) 탭으로 이동합니다.
2단계. Add(추가) 버튼을 클릭하여 특정 로깅 목적지에 대한 로깅 필터를 추가합니다.
Logging Destination(로깅 목적지): 드롭다운 목록에서 필요한 로깅 목적지를 Internal buffer(내부 버퍼), Console(콘솔) 및 SSH sessions(SSH 세션) 중 하나로 선택합니다.
Event Class(이벤트 클래스): 드롭다운 목록에서 이벤트 클래스를 선택합니다. 위에서 설명한 대로 이벤트 클래스는 동일한 기능을 나타내는 Syslog의 집합입니다. 다음과 같은 방식으로 이벤트 클래스를 선택할 수 있습니다.
- Filter on Severity(심각도 필터링): Syslog 심각도를 기준으로 이벤트 클래스를 필터링합니다.
- User Event List(사용자 이벤트 목록): 관리자가 고유한 이벤트 클래스를 사용하여 앞에서 설명한 특정 이벤트 목록을 생성해 이 섹션에서 참조할 수 있습니다.
- Disable Logging(로깅 비활성화): 선택한 Logging Destination(로깅 목적지) 및 Logging Level(로깅 레벨)에 대해 로깅을 비활성화하려면 이 옵션을 사용합니다
Logging Level(로깅 레벨): 드롭다운 목록에서 로깅 레벨을 지정합니다. 로깅 레벨 범위는 0(긴급)~7(디버깅)입니다.
3단계: Add(추가) 버튼을 클릭하여 이 로깅 필터에 별도의 이벤트 클래스를 추가합니다.
Event Class(이벤트 클래스): 드롭다운 목록에서 이벤트 클래스를 선택합니다.
Syslog Severity(Syslog 심각도): 드롭다운 목록에서 Syslog 심각도를 선택합니다.
필터를 구성한 후에 OK(확인)를 클릭하여 특정 로깅 목적지에 대한 필터를 추가합니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
외부 로깅 구성
외부 로깅을 구성하려면 Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog >Logging Destinations(로깅 목적지) 탭으로 이동합니다.
FTD는 다음과 같은 외부 로깅 유형을 지원합니다.
- Syslog Server(Syslog 서버): 원격 Syslog 서버에 로그를 전송합니다.
- SNMP trap(SNMP 트랩): SNMP 트랩으로 로그를 전송합니다.
- E-Mail(이메일): 사전 구성된 메일 릴레이 서버를 사용하여 이메일을 통해 로그를 전송합니다.
외부 로깅과 내부 로깅의 컨피그레이션은 동일합니다. Logging destionations(로깅 목적지)를 선택하면 구현되는 로깅 유형이 결정됩니다. 원격 서버에 대한 맞춤형 이벤트 목록을 기준으로 이벤트 클래스를 구성할 수 있습니다.
원격 Syslog 서버 구성
FTD에서 로그를 원격으로 분석하고 저장하도록 Syslog 서버를 구성할 수 있습니다.
아래의 세 단계를 수행하여 원격 Syslog 서버를 구성합니다.
1단계. Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog > Syslog Servers(Syslog 서버) 탭으로 이동합니다.
2단계. Syslog 서버 관련 파라미터를 구성합니다.
- Allow user traffic to pass when TCP Syslog server is down(TCP Syslog 서버가 다운되었을 때 사용자 트래픽 통과 허용): 네트워크에 구축된 TCP Syslog 서버에 연결할 수 없으면 ASA를 통과하는 네트워크 트래픽은 거부됩니다. 이 파라미터는 ASA와 Syslog 서버 간의 전송 프로토콜이 TCP인 경우에만 적용됩니다. Syslog 서버가 다운되었을 때 트래픽이 인터페이스를 통과하도록 허용하려면 이 체크 박스를 활성화합니다.
- Message Queue Size(메시지 큐 크기): 메시지 큐 크기는 원격 Syslog 서버의 사용량이 많아 로그 메시지를 수락하지 않을 때 FTD에서 대기되는 메시지의 수입니다. 기본값은 512개 메시지이며 최솟값은 1개 메시지입니다. 이 옵션에서 0을 지정하면 큐 크기가 무제한인 것으로 간주됩니다.
3단계. 원격 Syslog 서버를 추가하려면 Add(추가) 버튼을 클릭합니다.
IP Address(IP 주소): 나열된 Syslog 서버가 포함되어 있는 네트워크 개체를 선택합니다. 네트워크 개체를 생성하지 않은 경우 더하기(+) 아이콘을 클릭하여 새 개체를 생성합니다.
Protocol(프로토콜): Syslog 통신용 프로토콜을 TCP 또는 UDP 중에서 선택합니다.
Port(포트): Syslog 서버 포트 번호를 지정합니다. 기본 포트는 514입니다.
Log Messages in Cisco EMBLEM format (UDP only)(Cisco EMBLEM 형식으로 메시지 로깅(UDP에만 해당)): Cisco EMBLEM 형식으로 메시지를 로깅해야 하는 경우 이 옵션을 활성화합니다. 이 옵션은 UDP 기반 Syslog에만 적용됩니다.
Available Zones(사용 가능한 영역): Syslog 서버에 연결할 수 있는 보안 영역을 지정하여 Selected Zones/Interfaces(선택한 영역/인터페이스) 열로 이동합니다.
OK(확인) 버튼과 Save(저장) 버튼을 차례로 클릭하여 컨피그레이션을 저장합니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
로깅을 위한 이메일 설정 구성
FTD에서는 특정 이메일 주소로 Syslog를 전송할 수 있습니다. 이메일 릴레이 서버를 이미 구성한 경우에만 이메일을 로깅 목적지로 사용할 수 있습니다.
아래의 두 단계를 수행하여 Syslog용 이메일 설정을 구성합니다.
1단계. Device(디바이스) > Platform Setting(플랫폼 설정) > Threat Defense Policy(Threat Defense 정책) > Syslog > E-mail Setup(이메일 설정) 탭으로 이동합니다.
Source E-Mail Address(소스 이메일 주소): Syslog가 포함된 FTD에서 전송하는 모든 이메일에 표시할 소스 이메일 주소를 지정합니다.
2단계. 대상 이메일 주소 및 Syslog 심각도를 구성하려면 Add(추가) 버튼을 클릭합니다.
Destination Email Address(대상 이메일 주소): Syslog 메시지를 전송할 대상 이메일 주소를 지정합니다.
Syslog Severity(Syslog 심각도): 드롭다운 목록에서 Syslog 심각도를 지정합니다.
OK(확인) 버튼을 클릭하여 컨피그레이션을 저장합니다.
Save(저장) 버튼을 클릭하여 플랫폼 설정을 저장합니다. 그런 다음 Deploy(구축) 옵션으로 이동하여 변경 사항을 적용할 FTD 어플라이언스를 선택하고 Deploy(구축) 버튼을 클릭하여 플랫폼 설정 구축을 시작합니다.
다음을 확인합니다.
현재는 이 컨피그레이션에 사용할 수 있는 확인 절차가 없습니다.
문제 해결
- FTD CLI에서 FTD Syslog 컨피그레이션을 확인합니다. 이렇게 하려면 FTD의 관리 인터페이스에 로그인한 다음 system support diagnostic-cli 명령을 사용하여 진단 CLI에 로그인합니다.
-
> system support diagnostic-cli Attaching to ASA console ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ><Press Enter> firepower# sh run logging logging enable logging console emergencies logging buffered debugging logging host inside 192.0.0.192 logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 logging permit-hostdown
- FTD에서 Syslog 서버에 연결할 수 있는지 확인합니다. SSH를 통해 FTD 관리 인터페이스에 로그인한 다음 ping 명령을 사용하여 연결을 확인합니다.
-
Copyright 2004-2016, Cisco and/or its affiliates. All rights reserved. Cisco is a registered trademark of Cisco Systems, Inc. All other trademarks are property of their respective owners. Cisco Fire Linux OS v6.0.1 (build 37) Cisco Firepower Threat Defense for VMWare v6.0.1 (build 1213) > system support diagnostic-cli Attaching to ASA console ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. firepower> en Password: firepower# ping 192.0.0.192
- 패킷 캡처를 가져와 FTD 및 Syslog 서버 간의 연결을 확인할 수 있습니다. SSH를 통해 FTD 관리 인터페이스에 로그인한 다음 system support diagnostic-cli 명령을 실행합니다. 패킷 캡처 명령은 CLI 및 ASDM을 사용한 ASA 패킷 캡처 컨피그레이션 예를 참조하십시오.
- 정책 구축이 정상적으로 적용되었는지 확인합니다.
피드백