FMC configureren om controlelogs naar een Syslog-server te verzenden

Downloadopties

  • PDF     (596.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 juni 2026
Document-id:221019

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe u de controlelogs van het Secure Firewall Management Center configureert voor verzending naar een Syslog-server.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Basisbruikbaarheid van het Cisco Firewall Management Center (FMC)
  • Het Syslog protocol begrijpen

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Firewall Management Center Virtual v7.4.0
  • Syslog-server van derden

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Het Secure Firewall Management Center registreert de gebruikersactiviteit in alleen-lezen auditlogs. Als u Firepower versie 7.4.0 start, kunt u configuratiewijzigingen streamen als onderdeel van auditloggegevens naar syslog door het configuratiegegevensformaat en de hosts op te geven. Door auditlogs naar een externe server te streamen, kunt u ruimte besparen op het beheercentrum, en het is handig wanneer u een controlespoor van configuratiewijzigingen moet opgeven.

In geval van hoge beschikbaarheid stuurt alleen het actieve beheercentrum de configuratiewijzigingen syslog naar de externe syslog-servers. Het logbestand wordt gesynchroniseerd tussen de HA-paren zodat tijdens een failover of switchover het nieuwe actieve beheercentrum de wijzigingslogboeken opnieuw zou verzenden. In het geval dat het HA-paar werkt in de split-brain-modus, sturen beide beheercentra in het paar de configuratiewijziging syslog naar de externe servers.

Configureren

Stap 1. Auditlogboeken ingeschakeld voor Syslog

Als u wilt inschakelen zodat de FMC auditlogs naar een syslog-server verzendt, gaat u naar Systeem > Configuratie > Auditlog > Auditlog verzenden naar Syslog > Ingeschakeld.

In deze afbeelding ziet u hoe u de functie Controlelogboek verzenden naar Syslog inschakelt:

Syslog Enable

De FMC kan auditlogboekgegevens streamen naar maximaal vijf syslog-servers.

Stap 2. Syslog-gegevens configureren

Nadat de service is ingeschakeld, kunt u de syslog-informatie configureren. Als u de syslog-informatie wilt configureren, gaat u naar Systeem > Configuratie > Controlelogboek.

Afhankelijk van uw vereisten selecteert u Configuratiewijzigingen verzenden, hosts, faciliteit, ernst.

Deze afbeelding toont de parameters voor het configureren van Syslog Server voor controlelogboeken:

Syslog Configuration

Verifiëren

Als u wilt controleren of de parameters correct zijn geconfigureerd, selecteert u Systeem > Configuratie > Auditlog > Syslog-server testen.

Deze afbeelding toont een succesvolle Syslog Server-test:

Syslog Test

Een andere manier om te controleren of syslog werkt, controleer de syslog-interface om te bevestigen dat de audit-logs worden ontvangen.

Deze afbeelding toont enkele voorbeelden van de auditlogs die Syslog Server heeft ontvangen:

Syslog Events

Image

Hier zijn enkele voorbeelden van de configuratiewijzigingen die u op uw syslog-server kunt ontvangen:

2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation

Problemen oplossen

Nadat de configuratie is toegepast, moet u ervoor zorgen dat de FMC kan communiceren met de syslog-server.

Het systeem gebruikt ICMP/ARP- en TCP SYN-pakketten om te controleren of de syslog-server bereikbaar is. Vervolgens gebruikt het systeem standaard poort 514/UDP om auditlogs en TCP-poort 1470 te streamen als u het kanaal beveiligt.

Als u een pakketopname op de FMC wilt configureren, voert u de volgende opdrachten uit:

  • tcpdump. Met deze opdracht wordt het verkeer op het netwerk vastgelegd.
> expert
admin@firepower:~$ sudo su
Password: 

root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514

Als u bovendien de bereikbaarheid van ICMP wilt testen, past u deze opdracht toe:

  • ping. Deze opdracht helpt om te bevestigen of een apparaat bereikbaar is of niet en om de latentie van de verbinding te kennen.
> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
2.0
05-Jun-2026
Eerste release, opnieuw formatteren.
1.0
03-Oct-2023
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Oscar Montoya Torres
    Kapitein van het beveiligingsteam

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten