IPS 5.x en hoger: Diverse bewakingsmethoden

Downloadopties

  • PDF     (121.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (82.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (67.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 december 2009
Document-id:111432

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document biedt verschillende methoden om de IPS-gebeurtenissen te controleren.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op IPS 5.x en hoger.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Methoden voor het bewaken van de IPS-gebeurtenissen

Op dit moment zijn er vier opties voor het bewaken van de sensoren:

  1. IPS Manager Express (IME) is beschikbaar van softwaredownloads in Cisco.com. Deze toepassing kan zich veilig op de IPS-sensor abonneren en de gebeurtenissen/logboeken ophalen die zijn gegenereerd als resultaat van problemen of handtekeningen die zijn afgevuurd door een match.

    IPS Apparaatbeheer (IDM) wordt opgeroepen wanneer u de sensor rechtstreeks benadeelt via HTTPS.

    Bekijk de gebeurtenis-winkel rechtstreeks op de sensor met de gereedschappen voor bewaking van IDM of IME Event Monitoring. IDM en IME zijn geen geldige oplossingen als u de gebeurtenissen op lange termijn moet opslaan, aangezien de lokale eventopslag van de sensor een circulaire buffer van 30 MB is en zichzelf begint te overschrijden zodra de grens van 30 MB is bereikt. Deze limiet is niet aanpasbaar.

  2. Gebruik een CS-MARS-apparaat om de gebeurtenissen van de sensor routinematig te trekken en te correleren. Het CS-MARS gebruikt het SDEE-protocol om een veilige verbinding met de sensor tot stand te brengen om de gebeurtenissen terug te halen en om elke paar seconden nieuwe gebeurtenissen te vinden.

    Neem voor meer informatie contact op met het accountteam/de wederverkoper/SE als u het CS-MARS-apparaat wilt demonteren.

    Voor Cisco IPS 5.x en 6.x apparaten trekt MARS de logbestanden met SDEE over SSL aan. Daarom moet MARS toegang hebben tot de sensor. Om de sensor voor te bereiden moet u HTTPS-verkeer vanuit het IDM/IME-beheerstation toestaan en ervoor zorgen dat het IP-adres van MARS wordt gedefinieerd als een toegestane host op de sensor.

    sensor#conf t
	 	sensor(config)#service host
	 	sensor(config-hos)#network-settings
	 	sensor(config-hos-net)#access-list x.x.x.x/subnet_mask
	 	sensor(config-hos-net)#exit
	 	sensor(config-hos)#exit
	 	Apply Changes?[yes]:
	 	sensor(config)#

  3. Volg de gebeurtenissen bij het IEV. IDS Event Viewer is een op Java gebaseerde toepassing die u in staat stelt alarmen voor maximaal vijf sensoren te bekijken en te beheren. In het DIS Event Viewer kunt u in real-time of in geïmporteerde logbestanden verbinding maken met en alarmen weergeven. U kunt filters en weergaven configureren om u te helpen de alarmen te beheren. U kunt ook gegevens over gebeurtenissen importeren en exporteren voor verdere analyse. Zoals MARS, stipuleert IEV een veilige verbinding met de sensor en wint elke paar seconden gebeurtenissen terug. Het IEV slaat deze gebeurtenissen op in een database op de server waarop IEV is geïnstalleerd. De OB is opgenomen bij IEV en wordt samen met de aanvraag geïnstalleerd. Klik op IEV om het te downloaden.

    Opmerking: De documentatie voor IEV is te vinden in het Help -menu nadat u het hebt geïnstalleerd. Het leesprogramma bevat installatieinformatie.

  4. Configureer de handtekeningen op uw sensor om een actie van request-snmp-val te hebben en stel de sensor in om de vallen naar een SNMP server te sturen. U kunt deze server dan gebruiken om de berichten als syslogs naar een andere machine door te geven.

    SNMP is een protocol op de toepassingslaag dat de uitwisseling van beheerinformatie tussen netwerkapparaten vergemakkelijkt. Met SNMP kunnen netwerkbeheerders netwerkprestaties beheren, netwerkproblemen identificeren en oplossen en netwerkgroei plannen.

    SNMP is een eenvoudig verzoek/responsprotocol. Het netwerk-beheersysteem geeft een verzoek uit, en de beheerde apparaten geven reacties terug. Dit gedrag wordt uitgevoerd met behulp van een van de vier protocoloperaties:

    1. Stap

    2. Volgende verkrijgen

    3. Instellen

    4. Trap

    U kunt de sensor configureren voor controle door SNMP. SNMP definieert een standaardmanier voor netwerkbeheerstations om de status en status van veel soorten apparaten te bewaken, waaronder switches, routers en sensoren.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
18-Dec-2009
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten