Aangepaste dashboards en waarschuwingen op Splunk maken met behulp van Syslogs van FTD

Downloadopties

  • PDF     (3.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:25 juli 2025
Document-id:223292

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt een stapsgewijze doorloop beschreven voor het configureren van FTD om syslogs naar Splunk te verzenden en deze logs te gebruiken om aangepaste dashboards en waarschuwingen te maken.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van deze onderwerpen voordat u deze configuratiehandleiding doorneemt:

    • Syslog
    • Basiskennis van de zoekverwerkingstaal (SPL) van Splunk

    In dit document wordt ook verondersteld dat u Splunk Enterprise al op een server hebt geïnstalleerd en toegang hebt tot de webinterface.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Firepower Threat Defense (FTD) draait op versie 7.2.4

    • Cisco Firepower Management Center (FMC) draait op versie 7.2.4

    • Splunk Enterprise-exemplaar (versie 9.4.3) dat wordt uitgevoerd op een Windows-systeem

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie.

    Achtergrondinformatie

    Cisco FTD-apparaten genereren gedetailleerde syslogs over inbraakgebeurtenissen, toegangscontrolebeleid, verbindingsgebeurtenissen en meer. Het integreren van deze logs met Splunk maakt krachtige analyse en real-time alerting voor netwerkbeveiligingsoperaties mogelijk.

    Splunk is een real-time data-analyseplatform dat is ontworpen om machinaal gegenereerde gegevens in te nemen, te indexeren, te zoeken en te visualiseren. Splunk is vooral effectief in cybersecurity omgevingen als een Security Information and Event Management (SIEM) tool vanwege zijn vermogen om:

    • Loggegevens op schaal opnemen

    • Voer complexe zoekopdrachten uit met SPL

    • Dashboards en waarschuwingen maken

    • Integreer met beveiligings- en incidentresponssystemen

    Splunk verwerkt gegevens via een gestructureerde pijplijn om ongestructureerde of semi-gestructureerde machinegegevens nuttig en uitvoerbaar te maken. De belangrijkste fasen van deze pijpleiding worden vaak aangeduid als IPIS wat staat voor:

    • Invoer

    • ontleden

    • indexering

    • zoeken

    De belangrijkste brede componenten van de onderliggende architectuur die worden gebruikt om de IPIS-pijplijn te realiseren, worden weergegeven in dit diagram:

    Splunk Underlying ArchitectureSplunk onderliggende architectuur

    Configureren

    Netwerkdiagram

    Network DiagramNetwerkdiagram

    note-icon

    Opmerking: de laboratoriumomgeving voor dit document vereist geen afzonderlijke forwarder- en indexerinstanties. De Windows-machine, dat wil zeggen de syslog-server waarop de Splunk Enterprise-instantie is geïnstalleerd, fungeert als de indexeerder en de zoekkop.

    Configuraties

    Syslog-instellingen configureren voor de FTD

    Stap 1. Configureer de voorlopige syslog-instellingen op FMC voor de FTD onder Apparaten > Platforminstellingen om de logs te verzenden naar de syslog-server waarop de Splunk-instantie wordt uitgevoerd.

    Platform Settings on FTD - SyslogPlatforminstellingen op FTD - Syslog

    Stap 2. Configureer het IP-adres van het systeem waarop de Splunk Enterprise-installatie is geïnstalleerd en wordt uitgevoerd als een Syslog-server. Definieer de velden zoals vermeld.

    IP Address: Fill in the IP address of the host acting as the syslog server
    Protocol: TCP/UDP (usually UDP is preferred)
    Port: You can choose any random high port. In this case 5156 is being used
    Interface: Add the interface(s) through which you have connectivity to the server

    Platform Settings on FTD - Add Syslog ServerPlatforminstellingen op FTD - Syslog Server toevoegen

    Platform Settings on FTD - Syslog Server AddedPlatform Settings on FTD - Syslog server toegevoegd

    Stap 3. Voeg een logboekbestemming toe voor Syslog-servers. Het logniveau kan worden ingesteld op basis van uw keuze of use case.

    Platform Settings on FTD - Add Logging DestinationPlatforminstellingen op FTD - Logboekbestemming toevoegen

    Platform Settings on FTD - Set Severity Level for Logging DestinationPlatforminstellingen op FTD - Prioriteitsniveau instellen voor logboekbestemming

    Implementeer de wijzigingen in de platforminstelling op de FTD na het voltooien van deze stappen.

    Een gegevensinvoer configureren op de Splunk Enterprise-instantie

    Stap 1. Meld u aan bij uw Splunk Enterprise-webinterface.

    Splunk Web Interface Login PageAanmeldingspagina voor Splunk-webinterface

    Stap 2. U moet een gegevensinvoer definiëren zodat u de syslogs op Splunk kunt opslaan en indexeren. Navigeer naar Instellingen > Gegevens > Gegevensinvoer na het aanmelden.

    Navigate to Data Inputs on SplunkNavigeer naar gegevensinvoer op Splunk

    Stap 3. Kies UDP en klik vervolgens op Nieuwe lokale UDP op de volgende pagina die wordt weergegeven.

    Click 'UDP' for a UDP Data InputKlik op 'UDP' voor een UDP-gegevensinvoer

    Create a 'New Local UDP' InputEen 'nieuwe lokale UDP'-invoer maken

    Stap 4. Voer de poort in waarop de syslogs worden verzonden. Het moet hetzelfde zijn als de poort die is geconfigureerd op de FTD-syslog-instellingen, in dit geval 5156. Om de syslogs alleen van één bron (de FTD) te accepteren, stelt u het veld Alleen verbinding van accepteren in op het IP van de interface op de FTD die communiceert met de Splunk-server. Klik op Next (Volgende).

    Specify Port and FTD IP AddressPoort en FTD IP-adres opgeven

    Stap 5. U kunt zoeken en het brontype en de index veldwaarden kiezen uit de vooraf gedefinieerde waarden op Splunk zoals gemarkeerd in de volgende afbeelding. De standaardinstellingen kunnen worden gebruikt voor de overige velden.

    Configure Data Input SettingsInstellingen voor gegevensinvoer configureren

    Stap 6. Controleer de instellingen en klik op Indienen.

    Review Data Input SettingsInstellingen voor gegevensinvoer controleren

    SPL-query's uitvoeren en dashboards maken

    Stap 1. Navigeer naar de zoek- en rapportage-app op Splunk.

    Navigate to the Search and Reporting AppNavigeer naar de app Zoeken en rapporteren

    Stap 2. Formuleer en voer een SPL-query uit op basis van de gegevens die u wilt visualiseren. U kunt elk log volledig zien (in de uitgebreide modus) onder het tabblad Gebeurtenissen, het aantal verbindingen per groepsbeleid op het tabblad Statistieken en deze gegevens visualiseren met behulp van deze statistieken onder het tabblad Visualisatie.

    Search for Events using SPL QueriesZoeken naar evenementen met SPL-query's

    Check the Statistics TabControleer het tabblad Statistieken

    Visualization Tab will Show the Graph/ChartHet tabblad Visualisatie toont de grafiek/grafiek

    note-icon

    Opmerking: in dit voorbeeld haalt de query logs op voor succesvolle VPN-verbindingen met externe toegang op verschillende groepsbeleidsgebieden. Een cirkeldiagram is gebruikt om het aantal en percentage succesvolle verbindingen per groepsbeleid te visualiseren. Op basis van uw wensen en voorkeuren kunt u ervoor kiezen om ook een ander type visualisatie te gebruiken, zoals een staafdiagram.

    Stap 3. Klik op Opslaan als en kies Nieuw of Bestaand dashboard, afhankelijk van of u al een dashboard hebt waaraan u dit paneel wilt toevoegen of dat u een nieuw dashboard wilt maken. Dit voorbeeld toont het laatste.

    Save the Panel to a DashboardHet paneel opslaan in een dashboard

    Stap 4. Geef een titel aan het dashboard dat u maakt en geef een titel voor het paneel dat het cirkeldiagram bevat.

    Settings for the New DashboardInstellingen voor het nieuwe dashboard

    note-icon

    Opmerking: U kunt de machtigingen instellen op Privé of Gedeeld in App op basis van het feit of alleen u het dashboard moet bekijken of andere gebruikers met toegang tot de Splunk-instantie ook zijn toegestaan. Bovendien, afhankelijk van het feit of u al dan niet gedetailleerde controle wilt over paneelinstellingen en lay-out van het dashboard, kiest u de klassieke of Dashboard Studio-modus om uw dashboard te bouwen.

    Stap 5 (optioneel). Voer meer SPL-query's uit en sla ze op als panelen op dit dashboard volgens uw vereiste met behulp van de eerder genoemde stappen.

    Stap 6. Navigeer naar het tabblad Dashboard om te zoeken en kies het dashboard dat u hebt gemaakt. Klik erop om de deelvensters te bekijken, te bewerken of te herschikken.

    How to View the DashboardHoe het dashboard te bekijken

    Waarschuwingen configureren op basis van SPL-query's

    Stap 1. Navigeer naar de app Zoeken en rapporteren om uw SPL-query te maken en uit te voeren om te controleren of deze de juiste logs ophaalt die worden gebruikt om de waarschuwing te activeren.

    Run SPL Queries for Creating Respective AlertsSPL-query's uitvoeren voor het maken van respectieve waarschuwingen

    note-icon

    Opmerking: In dit voorbeeld wordt de query gebruikt om mislukte verificatielogboeken voor VPN-verbindingen met externe toegang op te halen om waarschuwingen te activeren wanneer het aantal mislukte pogingen binnen een bepaalde tijd een bepaalde drempel overschrijdt.

    Stap 3. Klik op Opslaan als en kies Waarschuwing.

    Save the AlertDe waarschuwing opslaan

    Stap 4. Geef een titel om de waarschuwing te noemen. Vul alle andere gegevens en parameters in die nodig zijn om de waarschuwing te configureren en klik op Opslaan. De instellingen die voor deze waarschuwing zijn gebruikt, zijn hier vermeld.

    Permissions: Shared in App.
    Alert Type: Real-time (allows failed user authentications in the last 10 minutes can be tracked continuously).
    Trigger Conditions: A custom condition is used to search if the reject_count counter from the SPL query has exceeded 10 in the last 5 minutes for any IP address.
    Trigger Actions: Set a trigger action such as Add to Triggered Alerts, Send email, etc. and set the alert severity as per your requirement.

    Additional Settings for Alert CreationExtra instellingen voor het maken van waarschuwingen

    Additional Settings for Alert CreationExtra instellingen voor het maken van waarschuwingen

    Additional Settings for Alert CreationExtra instellingen voor het maken van waarschuwingen

    note-icon

    Opmerking: Als u de waarschuwingen voor elk resultaat wilt activeren, moet u ook de instellingen voor het afknijpen dienovereenkomstig definiëren.

    Verifiëren

    Nadat u de dashboards en waarschuwingen hebt gemaakt, kunt u de configuraties, gegevensstroom, dashboards en realtime waarschuwingen controleren met behulp van de instructies in deze sectie.

    Logbestanden bekijken

    U kunt de zoek-app gebruiken om te bevestigen of de logs die door de firewall zijn verzonden, worden ontvangen en zichtbaar zijn voor de splunk-zoekkop. Dit kan worden geverifieerd door de meest recente geïndexeerde logs (search index = "cisco_sfw_ftd_syslog") en de bijbehorende tijdstempel te controleren.

    Check and View LogsLogbestanden controleren en bekijken

    Check and View LogsLogbestanden controleren en bekijken

    Bekijk de Real-time Dashboards

    U kunt navigeren naar het aangepaste dashboard dat u hebt gemaakt en de wijzigingen op elk van de deelvensters bekijken, omdat nieuwe gegevens en logs worden gegenereerd vanuit de FTD.

    View DashboardsDashboards bekijken

    Controleer of er waarschuwingen zijn geactiveerd

    Om de informatie over de waarschuwingen te verifiëren, kunt u naar de sectie zoeken, rapporten en waarschuwingen navigeren om de recente waarschuwingsinformatie te bekijken. Klik op Recente weergave om meer te weten te komen over de taken en zoekopdrachten.

    Check and View AlertsWaarschuwingen controleren en bekijken

    Check and View AlertsWaarschuwingen controleren en bekijken

    Check Statistics for Triggered AlertStatistieken controleren voor getriggerde waarschuwing

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    25-Jul-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Arkopal Sen
      Cisco TAC Engineer
    • Vamshi Sai Mahajan
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten