NetFlow Secure Event Logging configureren voor Firepower Threat Defense

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:23 juni 2026
Document-id:216126

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe u NetFlow Secure Event Logging (NSEL) configureert voor Firepower Threat Defense (FTD) via Firepower Management Center (FMC).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Kennis van FMC
  • Kennis van FTD
  • Kennis van het FlexConfig-beleid

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • FTD versie 6.6.1
  • FMC versie 6.6.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

In dit document wordt beschreven hoe u NetFlow Secure Event Logging (NSEL) configureert voor Firepower Threat Defense (FTD) via Firepower Management Center (FMC).

De FlexConfig-tekstobjecten zijn gekoppeld aan variabelen die worden gebruikt in de vooraf gedefinieerde FlexConfig-objecten. Vooraf gedefinieerde FlexConfig-objecten en bijbehorende tekstobjecten worden in FMC gevonden om NSEL te configureren. Er zijn vier vooraf gedefinieerde FlexConfig-objecten in de FMC en drie vooraf gedefinieerde tekstobjecten. Vooraf gedefinieerde FlexConfig-objecten zijn alleen-lezen en kunnen niet worden gewijzigd. Om de parameters van NetFlow aan te passen, kunnen de objecten worden gekopieerd.

De vier vooraf gedefinieerde objecten worden weergegeven in de tabel:

Four Predefined Objects

De drie vooraf gedefinieerde tekstobjecten worden in de tabel weergegeven:

Three Predefined Text Objects

Configureren

In dit gedeelte wordt beschreven hoe u NSEL op de FMC kunt configureren via een FlexConfig-beleid.

Stap 1. Stel de parameters van de tekstobjecten in voor Netflow.

  1. Als u de variabele parameters wilt instellen, gaat u naar Objecten > FlexConfig > Tekstobjecten.
  2. Bewerk het object netflow_Destination.
  3. Definieer het meervoudige variabele type en tel ingesteld op 3.
  4. Stel de naam van de interface, het IP-adres van de bestemming en de poort in. In dit configuratievoorbeeld is de interface DMZ, het IP-adres van de NetFlow Collector is 10.20.20.1 en de UDP-poort is 2055.

Interface is DMZ, NetFlow Collector IP Address is 10.20.20.1, and UDP Port is 2055

Opmerking: standaardwaarden voor netflow_Event_Types en netflow_Parameters worden gebruikt.

Stap 2. Configureer een Extended Access List-object dat overeenkomt met specifiek verkeer.

  1. Als u een uitgebreide toegangslijst op de FMC wilt maken, gaat u naar Objecten > Objectbeheer en selecteert u in het linkermenu onder Toegangslijst de optie Uitgebreid.
  2. Klik op Uitgebreide toegangslijst toevoegen.
  3. Vul het veld Naam in. In dit voorbeeld is de naam flow_export_acl.
  4. Klik op Add (Toevoegen).
  5. Configureer de toegangscontrole-items zodat ze overeenkomen met het specifieke verkeer. In dit voorbeeld is het verkeer van host 10.10.10.1 naar elke bestemming en het verkeer tussen host 172.16.0.20 en 192.168.1.20 uitgesloten. Al het overige verkeer is inbegrepen.

Configure the Access Control Entries to Match Specific Traffic

Stap 3. Een object FlexConfig configureren.

  1. Als u de FlexConfig-objecten wilt configureren, gaat u naar Objecten > FlexConfig > FlexConfig-objecten en klikt u op Object FlexConfig toevoegen.
  2. Definieer de klassentoewijzing die het verkeer identificeert waarvoor NetFlow-gebeurtenissen moeten worden geëxporteerd. 
  3. In dit voorbeeld is de naam van het object flow_export_class.
  4. Selecteer de toegangslijst die is gemaakt in stap 2.
  5. Klik op Invoegen > Beleidsobject invoegen > Uitgebreid ACL-object en wijs een naam toe.
  6. Klik vervolgens op Add (Toevoegen). In dit voorbeeld is de variabele flow_export_acl.
  7. Klik op Save (Opslaan).

Click on Insert Policy Object and then Extended ACL Object and Assign a Name

Voeg de volgende configuratielijnen toe in het lege veld rechts en neem de eerder gedefinieerde variabele ($flow_export_acl.) op in de configuratielijn voor de toegangslijst.

Merk op dat een $-symbool de naam van de variabele begint. Dit helpt bij het definiëren van een variabele die erna komt. 

class-map flow_export_class
match access-list $flow_export_acl

Klik op Opslaan als u klaar bent.

Notice that a $ Symbol Begins the Variable Name

Stap 4. De netwerkstroombestemming configureren

  1. Als u de Netflow-bestemming wilt configureren, gaat u naar Objecten > FlexConfig > FlexConfig-objecten en filtert u op Netflow.
  2. Kopieer het object Netflow_Add_Destination. Nu wordt de Netflow_Add_Destination_Copy gemaakt. 
  3. Wijs de klasse toe die is gemaakt in stap 3. U kunt een nieuwe beleidskaart maken om de handelingen voor het exporteren van stromen toe te passen op de gedefinieerde klassen. In dit voorbeeld wordt de klasse ingevoegd in het huidige beleid (globaal beleid).
## destination: interface_nameif destination_ip udp_port
## event-types: any subset of {all, flow-create, flow-denied, flow-teardown, flow-update}
flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(1) $netflow_Destination.get(2) 
policy-map global_policy
  class flow_export_class
  #foreach ( $event_type in $netflow_Event_Types )
  flow-export event-type $event_type destination $netflow_Destination.get(1)
  #end

4. Klik op Opslaan als u klaar bent.

Configure the Netflow Destination

Stap 5. Het FlexConfig-beleid toewijzen aan de FTD

  1. Navigeer naar Apparaten > FlexConfig en maak een nieuw beleid (tenzij er al een is gemaakt voor een ander doel en toegewezen aan dezelfde FTD). In dit voorbeeld is de FlexConfig al gemaakt.
  2. Bewerk het FlexConfig-beleid en selecteer de FlexConfig-objecten die u in eerdere stappen hebt gemaakt. In dit voorbeeld worden de standaard Netflow-exportparameters gebruikt, daarom wordt de Netflow_Set_Parameters geselecteerd.
  3. Sla uw wijzigingen op en implementeer deze.

Assign the FlexConfig Policy to the FTD

Opmerking: Als u al het verkeer wilt afstemmen zonder dat u specifiek verkeer hoeft af te stemmen, kunt u de stappen 2 tot en met 4 overslaan en de vooraf gedefinieerde NetFlow-objecten gebruiken. 

Use the Predefined NetFlow Objects

note-icon

Opmerking: Een tweede NSEL-collector toevoegen waar NetFlow-pakketten worden verzonden. Voeg in stap 1 4 variabelen toe aan het tweede IP-adres van de Netflow-verzamelaar.

netflow_Destination

Voeg in stap 4 de configuratielijn toe: flow-exportbestemming $netflow_Destination.get(0) $netflow_Destination.get(1) $netflow_Destination.get(2) 

Bewerk de variabele $netflow_Destination.get voor de correspondentievariabele. In dit voorbeeld is de variabele waarde 3. Voorbeeld:

flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(1) $netflow_Destination.get(2)
flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(3) $netflow_Destination.get(2)

Voeg ook de tweede variabele $netflow_Destination.get toe aan de configuratielijn: flow-export event-type $event_type destination $netflow_Destination.get(1). Voorbeeld:

flow-export event-type $event_type destination $netflow_Destination.get(1) $netflow_Destination.get(3)

Valideer deze configuratie zoals te zien is in de afbeelding hieronder:

Validate this Configuration

Verifiëren

De NetFlow-configuratie kan worden geverifieerd in het FlexConfig-beleid. Als u een voorbeeld van de configuratie wilt bekijken, klikt u op Voorvertoningsconfiguratie en selecteert u de FTD en verifieert u de configuratie.

Select the FTD and Verify the Configuration

Open de FTD via Secure Shell (SSH) en voer de opdracht system support diagnostic-cli uit en voer deze opdrachten uit:

> system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show access-list flow_export_acl
access-list flow_export_acl; 3 elements; name hash: 0xe30f1adf
access-list flow_export_acl line 1 extended deny object-group ProxySG_ExtendedACL_34359742097 object 10.10.10.1 any (hitcnt=0) 0x8edff419 
access-list flow_export_acl line 1 extended deny ip host 10.10.10.1 any (hitcnt=0) 0x3d4f23a4 
access-list flow_export_acl line 2 extended deny object-group ProxySG_ExtendedACL_34359742101 object 172.16.0.20 object 192.168.1.20 (hitcnt=0) 0x0ec22ecf 
access-list flow_export_acl line 2 extended deny ip host 172.16.0.20 host 192.168.1.20 (hitcnt=0) 0x134aaeea 
access-list flow_export_acl line 3 extended permit object-group ProxySG_ExtendedACL_30064776111 any any (hitcnt=0) 0x3726277e 
access-list flow_export_acl line 3 extended permit ip any any (hitcnt=0) 0x759f5ecf 
firepower# sh running-config class-map flow_export_class
class-map flow_export_class
match access-list flow_export_acl
firepower# show running-config policy-map 
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect rsh 
inspect rtsp 
inspect sqlnet 
inspect skinny 
inspect sunrpc 
inspect xdmcp 
inspect sip 
inspect netbios 
inspect tftp 
inspect icmp 
inspect icmp error 
inspect ip-options UM_STATIC_IP_OPTIONS_MAP 
inspect snmp 
class flow_export_class
flow-export event-type all destination 10.20.20.1
class class-default
set connection advanced-options UM_STATIC_TCP_MAP
firepower# show running-config | include flow
access-list flow_export_acl extended deny object-group ProxySG_ExtendedACL_34359742097 object 10.10.10.1 any 
access-list flow_export_acl extended deny object-group ProxySG_ExtendedACL_34359742101 object 172.16.0.20 object 192.168.1.20 
access-list flow_export_acl extended permit object-group ProxySG_ExtendedACL_30064776111 any any 
flow-export destination DMZ 10.20.20.1 2055
class-map flow_export_class
match access-list flow_export_acl
class flow_export_class
flow-export event-type all destination 10.20.20.1

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
4.0
23-Jun-2026
Bijgewerkte spelling, zinsstructuur, nummering voor stappen en spatiëring.
3.0
16-Oct-2023
Bijgewerkte schermafbeelding voor meerdere NetFlow-objecten met verschillend IP-adres
2.0
10-Feb-2023
Bijgewerkt formaat. Gecorrigeerde CCW-waarschuwingen. Hercertificering.
1.0
16-Oct-2020
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Oscar Montoya Torres
    technisch adviseur
  • Cesar Ivan Monterrubio Ramirez
    technisch adviseur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco