Introdução
Este documento descreve como configurar o Syslog no FDM (Firepower Device Manager).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Firepower Threat Defense
- Servidor Syslog executando o software Syslog para coletar dados
Configurações
Etapa 1. Na tela principal do Firepower Device Manager, selecione as Configurações de registro em Configurações do sistema no canto inferior direito da tela:

Etapa 2. Na tela System Settings, selecione as Logging Settings no menu esquerdo:

Etapa 3. Defina o switch de alternância Data Logging, selecione o sinal + em Syslog Servers.
Etapa 4. Selecione Add Syslog Server. Como alternativa, você pode criar o objeto Servidor Syslog em Objetos - Servidores Syslog:

Etapa 5. Digite o endereço IP do Servidor Syslog e o número da porta. Selecione o botão de opção para Data Interface e clique em OK:

Etapa 6. Selecione o novo servidor Syslog e clique em OK:

Etapa 7. Selecione o nível de Severidade para filtrar com o botão de opção todos os eventos e selecione o nível de log desejado.

Etapa 8. Clique em Save na parte inferior da tela.

Etapa 9. Verifique se as configurações foram bem-sucedidas.

Etapa 10. Implantar as novas configurações

e clique em Implantar agora:

OPCIONAL.
Além disso, as regras de controle de acesso da política de controle de acesso podem ser configuradas para efetuar login no servidor Syslog:
Etapa 1. Clique em Policies na parte superior da tela:

Etapa 2. Passe o mouse sobre o lado direito da regra de ACP para adicionar logs e selecione o ícone do lápis:

Etapa 3. Selecione a guia Log, selecione o botão de opção No fim da conexão, selecione a seta suspensa em Selecionar uma configuração de alerta de Syslog, selecione o Servidor Syslog e clique em OK:

Etapa 4. Implantar as alterações de configuração.
Verificar
Etapa 1. Após a conclusão da tarefa, verifique as configurações no FTD CLI Clish Mode com o comando show running-config logging:

Etapa 2. Navegue até a guia Servidor Syslog e verifique se o aplicativo Servidor Syslog aceita as mensagens Syslog:

Troubleshooting
Etapa 1. Se as mensagens de Syslog no aplicativo Syslog produzirem qualquer mensagem, execute uma captura de pacote do CLI do FTD para verificar se há pacotes. Insira o comando system support diagnostic-cli no prompt do Clish para mudar do modo do Clish para o Lina:

Etapa 2. Crie uma captura de pacote para o udp 514 (ou tcp 1468 se você usou tcp).
Etapa 3. Verifique se a comunicação chega à placa de interface de rede no Servidor Syslog. Use o Wireshark ou outro pacote que capture o utilitário carregado. Clique duas vezes na interface no Wireshark para que o Servidor Syslog inicie a captura de pacotes:

Etapa 4. Defina um filtro de exibição na barra superior para udp 514; digite udp.port==514 e selecione a seta à direita da barra. Na saída, verifique se os pacotes podem chegar ao Servidor Syslog:

Etapa 5. Se o aplicativo Servidor Syslog não mostrar os dados, solucione o problema da configuração no aplicativo Servidor Syslog. Certifique-se de que o protocolo correto seja usado, udp/tcp e a porta correta, 514/1468.
Informações Relacionadas