[cdo@sdc-vm ~]$ sudo su sdc
[sudo] password for cdo: <type password for cdo user>
[sdc@sdc-vm ~]$

[sdc@sdc-vm ~]$ /usr/local/cdo/toolkit/sec.sh setup

Please copy the bootstrap data from Setup Secure Event Connector page of Security Cloud Control: KJHYFuYTFuIGhiJKlKnJHvHfgxTewrtwE
RtyFUiyIOHKNkJbKhvhgyRStwterTyufGUihoJpojP9UOoiUY8VHHGFXREWRtygfhVjhkOuihIuyftyXtfcghvjbkhB=

SEC가 온보딩되면 sec.sh는 SEC의 상태를 확인하는 스크립트를 실행합니다. 모든 상태 확인이 "녹색"인 경우 상태 확인은 이벤트 로그에 샘플 이벤트를 전송합니다. 샘플 이벤트는 이벤트 로그에 "sec-health-check"라는 정책으로 표시됩니다.

등록에 실패했거나 SEC 온 보딩에 실패했다는 메시지가 표시되면 보안 이벤트 커넥터 온보딩 장애 문제 해결로 이동하십시오.

• 자체 가상 머신에 SDC를 설치한 경우 생성한 VM에 설치된 SDC 및 Security Cloud Control 커넥터에 대한 추가 구성을 계속 진행합니다.

• Security Cloud Control 이미지를 사용하여 SDC를 설치한 경우 "다음 작업"을 진행합니다.

메시지가 표시되면 복사한 SEC 부트스트랩 데이터를 입력합니다.

SSH를 사용하여 SDC 인스턴스에 연결하는 포트는 보안상의 이유로 노출되지 않습니다.

rm -f /tmp/cert_chain.pem && openssl s_client -showcerts -verify 5 -connect <FQDN>:10125 < /dev/null | awk '/BEGIN CERTIFICATE/,/END CERTIFICATE/{ if(/BEGIN CERTIFICATE/){a++}; out="/tmp/cert_chain.pem"; if(a > 1) print >>out}'

nslookup <FQDN>

DataCenterFW-1> en
Password: *****************
DataCenterFW-1# conf t
DataCenterFW-1(config)# <paste your modified ASA CLIs here and press Enter>
DataCenterFW-1(config)# wr mem
Building configuration...
Cryptochecksum: 6634f35f 4c5137f1 ab0c5cdc 9784bdb6

• 테넌트 선택기를 사용하려는 경우(또는 VM에 테넌트가 하나뿐인 경우):

  [sdc@tenant toolkit]$ sdc eventing delete

• 명령어 인수에서 테넌트를 직접 지정하는 경우:

  [sdc@tenant toolkit]$ sdc eventing delete CDO_{tenant-name} 

• Usage Trends(사용 추세) 대시보드에는 지난 12개월 동안의 스토리지 사용량이 표시됩니다. 막대 위에 마우스를 올려 놓으면 해당 월의 데이터 사용량을 확인할 수 있습니다.

• EPS(초당 이벤트 수) 추세 대시보드에는 온보딩된 디바이스의 이벤트 수집 속도가 표시됩니다. 특정 시간대 또는 특정 디바이스에 대해 초당 이벤트 추세 보기를 맞춤 설정하여 더 세분화된 데이터를 확인합니다. 지난 1주, 2주, 3주 또는 1개월 동안의 데이터를 필터링할 수 있습니다.

  Note	디바이스 드롭다운 목록에는 이벤트를 Cisco Security Cloud 에 전송하는 매니지드 방화벽 디바이스가 표시됩니다.

• Utilization by event type(이벤트 유형별 사용량) 추세: 다양한 이벤트 유형별로 사용된 이벤트 데이터 저장 용량을 일일 바이트 단위로 표시합니다. 이 위젯을 사용하여 이벤트 유형별 스토리지 사용량을 모니터링하고, 특정 이벤트 유형에 대한 스토리지 사용량의 급증 또는 비정상적인 변화를 식별합니다. 이 인사이트를 통해 특정 이벤트 유형에 대한 로깅 설정을 조정하고 스토리지 사용량을 관리할 수 있습니다.

• Utilization by Device type Trends(디바이스 유형별 사용량 추세): 매니지드 디바이스 유형별로 일일 사용 이벤트 데이터 저장 용량을 바이트 단위로 표시합니다. 이 위젯을 사용하여 디바이스 유형별 저장소 사용량을 모니터링하고, 특정 디바이스 유형의 저장소 사용량에서 급증 현상이나 비정상적인 변화를 식별합니다.

• Utilization by device Trend(디바이스별 사용량): Security Cloud 제어에 이벤트를 전송하는 각 보안 디바이스에서 사용된 이벤트 데이터 스토리지를 일일 바이트 단위로 표시합니다. 이 위젯은 저장소 사용량이 초당 평균 바이트 수를 초과하는 디바이스에 집중하여 사용성 향상을 위해 상위 5개 디바이스만 표시합니다. 이 위젯을 사용하여 각 디바이스의 저장소 사용량을 모니터링하고 급증 또는 비정상적인 변화를 식별합니다. 이 인사이트를 통해 특정 디바이스에 대한 로깅 설정을 조정하고 저장소 사용을 효과적으로 관리할 수 있습니다.

증가된 비용은 기존 라이선스의 남은 기간에 따라 비례 배분됩니다. 자세한 지침은 Cisco Defense Orchestrator 제품 견적에 대한 지침을 참조하십시오.

Alerts and Notifications(알림 및 알림)섹션에는 이벤트 기록에 영향을 미치는 설정에 대한 알림이 표시됩니다. 문제 해결을 위한 작업을 수행할 수 있습니다. 이러한 설정 중 일부는 다음과 같습니다.

• 클라우드 설정으로 이벤트 전송이 비활성화됩니다.

• 클라우드 설정으로 이벤트 전송이 디바이스 레벨에서 비활성화됩니다.

• 보안 이벤트 커넥터를 사용할 수 없게 됩니다.

• 이벤트 수집 속도가 증가합니다.

메시지를 전송할 syslog 서버로 SEC를 지정하려면 logging host 명령을 사용합니다. 테넌트에 온보딩한 SEC 중 하나에 이벤트를 보낼 수 있습니다.

logging host 명령은 이벤트를 보낼 TCP 또는 UDP 포트를 지정합니다. 어떤 포트를 사용해야 하는지 확인하려면 Cisco Security Analytics 및 Logging에 사용되는 디바이스의 TCP, UDP 및 NSEL 포트 찾기를 참조하십시오.

시스템 로그 이벤트를 SEC로 전송하는 데 사용하는 프로토콜에 따라 이 명령을 두 개의 서로 다른 매크로 중 하나로 설정합니다.

logging host {{interface_name}} {{SEC_ip_address}} tcp/{{port_number}}

logging host {{interface_name}} {{SEC_ip_address}} udp/{{port)_number}}

(선택 사항) TCP를 사용하는 경우 매크로의 명령 목록에 이 명령을 추가할 수 있습니다. 매개변수가 필요하지 않습니다.

logging permit-hostdown

logging trap 명령을 사용하여 syslog 서버로 보내야 하는 syslog 메시지를 지정합니다.

심각도 수준별로 SEC로 전송되는 이벤트를 정의하려면 명령을 다음 매크로로 전환합니다.

logging trap {{severity_level}}

메시지 목록의 일부인 SEC에 이벤트만 보내려면 명령을 다음 매크로로 변환합니다.

logging trap {{message_list_name}}

이전 단계에서 logging trap message_list 명령을 선택한 경우 메시지 목록에서 syslog를 정의해야 합니다. 매크로를 생성할 때 명령 설명을 읽을 수 있도록 Create a Custom Event List(맞춤형 이벤트 목록 생성)를 엽니다. 다음 명령으로 시작합니다.

이를 다음과 같이 분류합니다.

logging list {{message_list_name}} level {{security_level}}

logging list {{message_list_name}} level {{security_level}} class {{message_class}}

logging list {{message_list_name}} message {{syslog_range_or_number}}

마지막 변형에서는 메시지 파라미터 {{syslog_range_or_number}}를 단일 syslog ID(106023) 또는 범위(302013-302018)로 입력할 수 있습니다. 메시지 목록을 만들려면 원하는 만큼의 줄에서 하나 이상의 명령 변형을 사용합니다. 단일 매크로에서 동일한 이름의 모든 매개변수는 사용자가 입력한 것과 동일한 값을 사용한다는 점에 유의하십시오. Security Cloud Control는 빈 매개변수가 있는 매크로를 실행하지 않습니다.

logging timestamp

 <166>2018-06-27T12:17:46Z asa : %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port

이를 다음과 같이 분류합니다.

logging device-id cluster-id

logging device-id context-name

logging device-id hostname

logging device-id ipaddress {{interface_name}} system

logging device-id string {{text_16_char_or_less}}

logging enable

show running-config logging

write memory

모든 명령을 입력한 후 Send(전송)를 클릭합니다. Security Cloud Control의 CLI 인터페이스는 ASA에 직접 연결되므로 명령은 디바이스의 실행 중인 구성에 즉시 기록됩니다. ASA의 시작 구성에 변경 사항을 기록하려면 write memory 명령을 추가로 실행해야 합니다.

ASA에서 Cisco Cloud로 시스템 로그 이벤트를 전송할 때 외부 Syslog 서버인 것처럼 SEC로 전달하면 SEC에서 Cisco Cloud로 메시지를 전달합니다.

syslog 메시지를 SEC에 보내려면 다음 단계를 수행합니다.

1. TCP 또는 UDP를 사용하여 ASA가 Syslog 서버인 것처럼 SEC에 메시지를 전송하도록 ASA를 구성합니다. SEC는 IPv4 또는 IPv6 주소를 사용할 수 있습니다. TCP 또는 UDP 포트로 이벤트를 전송합니다. 어떤 포트를 사용해야 하는지 확인하려면 Cisco Security Analytics 및 Logging에 사용되는 디바이스의 TCP, UDP 및 NSEL 포트 찾기를 참조하십시오.

   다음은 logging host 명령 구문의 예입니다.

   logging host interface_name SEC_IP_address [[ tcp/port ]|[ udp/port ]]

   예:

   
    > logging host mgmt 192.168.1.5 tcp/10125 
   > logging host mgmt 192.168.1.5 udp/10025 
   > logging host mgmt 2002::1:1 tcp/10125 
   > logging host mgmt 2002::1:1 udp/10025 

   • interface_name 인수는 메시지가 Syslog 서버로 전송되는 ASA 인터페이스를 지정합니다. SDC와의 통신에 이미 사용 중인 동일한 ASA 인터페이스를 통해 SDC에 시스템 로그 메시지를 보내는 것이 "모범 사례"입니다.

   • SEC_IP_address 인수는 SEC가 설치된 VM의 IP 주소를 포함해야 합니다.

   • tcp/port 또는 udp/port 키워드-인수 쌍은 시스템 로그 메시지가 TCP 프로토콜 및 관련 포트 또는 UDP 프로토콜 및 관련 포트를 사용하여 전송되도록 지정합니다. UDP 또는 TCP를 사용하여 syslog 서버에 데이터를 전송하도록 ASA를 구성할 수 있지만 둘 다 사용할 수는 없습니다. 프로토콜을 지정하지 않으면 기본 프로토콜은 UDP입니다.

     TCP를 지정한 경우 ASA는 Syslog 서버의 장애를 감지하고 보호 조치로서 ASA를 통한 새로운 연결을 차단합니다. TCP syslog 서버에 대한 연결에 관계없이 새 연결을 허용하려면 b 단계를 참조하십시오. UDP를 지정한 경우 ASA는 Syslog 서버의 작동 여부에 관계없이 새 연결을 계속 허용합니다. 유효한 
값

     Note	두 개의 개별 syslog 서버로 ASA 메시지를 전송하려는 경우, 다른 syslog 서버의 적절한 인터페이스, IP 주소, 프로토콜 및 포트를 사용하여 두 번째 logging host 명령을 실행할 수 있습니다.

2. (선택 사항) TCP를 통해 이벤트를 SEC로 전송하는 경우 SEC가 중단되었거나 ASA의 로그 대기열이 꽉 차면 새 연결이 차단됩니다. syslog 서버가 백업되고 로그 대기열이 비워지면 새로운 연결이 다시 허용됩니다. TCP Syslog 서버에 대한 연결에 관계없이 새 연결을 허용하려면 이 명령을 사용하여 TCP 연결 Syslog 서버가 다운될 때 새 연결을 차단하는 기능을 비활성화합니다.

   logging permit-hostdown

   예:

    > logging permit-hostdown 

예:

> logging trap 3 
> logging trap asa_syslogs_to_cloud 

심각도 레벨 숫자(1~7) 또는 이름을 지정할 수 있습니다. 예를 들어 심각도를 3으로 설정한 경우 ASA는 심각도 레벨 3, 2, 1에 대해 syslog 메시지를 보냅니다.

message_list 인수는 사용자 지정 이벤트 목록을 생성한 경우 해당 목록의 이름으로 교체됩니다. 사용자 지정 이벤트 목록을 지정할 때는 해당 목록에 있는 시스템 로그 메시지만 보안 이벤트 커넥터로 전송합니다. 위의 예에서 asa_syslogs_to_cloud는 이벤트 목록의 이름입니다.

message_list를 사용하면 Cisco Cloud로 전송되는 syslog 메시지를 엄격하게 정의하여 비용을 절약할 수 있습니다.

message_list를 생성하려면 Create a Custom Event List(맞춤형 이벤트 목록 생성)를 참조하십시오. 데이터 수집 및 스토리지 비용에 대한 자세한 내용은 Security Analytics and Logging 라이선스를 참조하십시오.

logging timestamp 명령을 사용하여 syslog 메시지가 ASA에서 생성된 날짜 및 시간을 메시지에 추가합니다. 타임스탬프 값은 SyslogTimestamp 필드에 표시됩니다.

예:

> logging timestamp 

<166>2018-06-27T12:17:46Z asa : %ASA-6-110002: Failed to locate egress interface for protocol from src interface :src IP/src port to dest IP/dest port. 

디바이스 ID는 특정 ASA에서 전송된 모든 syslog 메시지를 쉽게 구분하는 데 도움이 되는 syslog 메시지에 삽입할 수 있는 ID입니다. 지침은 Non-EMBLEM 형식 Syslog 메시지에 디바이스 ID 포함을 참조하십시오.

액세스 제어 규칙이 리소스에 대한 액세스를 거부하면 이벤트가 자동으로 로깅됩니다. 액세스 제어 규칙이 리소스에 대한 액세스를 허용할 때 생성되는 이벤트도 로깅하려면, 액세스 제어 규칙에 대한 로깅을 켜고 심각도 유형을 구성해야 합니다. 개별 네트워크 액세스 제어 규칙에 대한 로깅을 설정하는 방법에 대한 지침은 Log Rule Activity(규칙 활동 로깅)를 참조하십시오.

명령 프롬프트에서 logging enable을 입력합니다. ASA에서 로깅은 개별 규칙이 아니라 전체 디바이스에 대해 활성화됩니다.

예:

 > logging enable 

명령 프롬프트에서 write memory를 입력합니다. ASA에서 로깅은 개별 규칙이 아니라 전체 디바이스에 대해 활성화됩니다.

예:

> write memory 

name 인수는 목록의 이름을 지정합니다. level level 키워드 및 인수 쌍은 심각도 레벨을 지정합니다. class message_class 키워드-인수 쌍은 특정 메시지 클래스를 지정합니다. message start_id [-end_id] 키워드-인수 쌍은 개별 시스템 로그 메시지 숫자 또는 숫자 범위를 지정합니다.

• 심각도에 따라 이벤트 목록에 syslog 메시지를 추가합니다. 예를 들어 심각도를 3으로 설정한 경우 ASA는 심각도 레벨 3, 2, 1에 대해 syslog 메시지를 보냅니다.

  예:

  > logging list asa_syslogs_to_cloud level 3 

• 다른 기준에 따라 시스템 로그 메시지를 이벤트 목록에 추가합니다.

  이전 단계와 동일한 명령을 입력하여 기존 메시지 목록의 이름과 추가 기준을 지정합니다. 목록에 추가할 각 기준에 대한 새로운 명령을 입력합니다. 예를 들어 다음과 같이 목록에 포함할 syslog 메시지에 대한 기준을 지정할 수 있습니다.

  • 302013~302018 범위에 해당하는 시스템 로그 메시지 ID.

  • 심각도 레벨이 중요 이상인 모든 syslog 메시지(긴급, 경고 또는 중요).

  • 심각도 레벨이 경고 이상인 모든 HA 클래스 시스템 로그 메시지(긴급, 알림, 심각, 오류 또는 경고).

    예:

    > logging list asa_syslogs_to_cloud message 302013-302018 
    > logging list asa_syslogs_to_cloud level critical 
    > logging list asa_syslogs_to_cloud level warning class ha 

    Note	다음 조건을 하나라도 충족하면 syslog 메시지가 로깅됩니다. syslog 메시지가 조건을 둘 이상 충족하는 경우 메시지는 한 번만 로깅됩니다.

명령 프롬프트에서 write memory를 입력합니다.

예:

> write memory

예:

> logging device-id hostname 
> logging device-id context-name 
> logging device-id string Cambridge 

context-name 키워드는 현재 컨텍스트의 이름을 디바이스 ID로 사용하도록 지정합니다(다중 컨텍스트 모드에만 적용). 다중 컨텍스트 모드에서 관리자 컨텍스트 모드를 위해 디바이스 ID 로깅을 활성화하는 경우 시스템 실행 공간에서 발생하는 메시지는 시스템의 디바이스 ID를 사용하고 관리자 컨텍스트에서 발생하는 메시지는 관리자 컨텍스트의 이름을 디바이스 ID로 사용합니다.

cluster-id 키워드는 클러스터에서 개별 ASA 유닛의 부트 구성 고유 이름을 디바이스 ID로 지정합니다.

hostname 키워드는 ASA의 호스트 이름을 디바이스 ID로 사용하도록 지정합니다.

ipaddress interface_name 키워드-인수 쌍은 interface_name으로 지정된 인터페이스 IP 주소를 디바이스 ID로 사용하도록 지정합니다. ipaddress 키워드를 사용하는 경우 시스템 로그 메시지가 전송되는 인터페이스에 관계없이 디바이스 ID가 지정된 ASA 인터페이스 IP 주소가 됩니다. 클러스터 환경에서 system 키워드는 디바이스 ID가 인터페이스의 시스템 IP 주소가 되도록 만듭니다. 이 키워드는 디바이스에서 전송되는 모든 syslog 메시지에 대해 하나의 일관된 디바이스 ID를 제공합니다.

string text 키워드-인수 쌍은 문자열이 디바이스 ID로 사용되도록 지정합니다. 문자열은 최대 16자를 포함할 수 있습니다.

공백 또는 다음 문자를 사용할 수 없습니다.

• &(앰퍼샌드)

• `(작은따옴표)

• "(큰따옴표)

• <(보다 작음)

• >(보다 큼)

• ? (물음표)

명령 프롬프트에서 write memory를 입력합니다.

예:

  > write memory 

아래 예의 출력에서 global_policy는 전역 정책의 이름입니다.

예:

> show running-config service-policy

service-policy global_policy global