Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar FTD de abertura através de FMC

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de Maio de 2017
ID do documento:200479
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a configuração de registro para uma defesa da ameaça de FirePOWER (FTD) através do centro de gerenciamento de FirePOWER (FMC).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Tecnologia de FirePOWER
    • Conhecimento básico da ferramenta de segurança adaptável (ASA)
    • Protocolo do Syslog

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • A imagem da defesa da ameaça ASA FirePOWER para ASA (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) esse executa a versão de software 6.0.1 e mais atrasado
    • A imagem da defesa da ameaça ASA FirePOWER para ASA (5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) esse executa a versão de software 6.0.1 e mais atrasado
    • Versão 6.0.1 e mais recente do centro de gerenciamento de FirePOWER (FMC) 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração clara (do padrão). Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

    Informações de Apoio

    Os log de sistema FTD fornecem-no a informação para monitorar e pesquisar defeitos o dispositivo FTD. Os logs são úteis no Troubleshooting rotineiro e na manipulação do incidente. O dispositivo FTD apoia o registro local e externo.

    O logging local pode ajudá-lo a pesquisar defeitos as edições vivas. O registro externo é um método de coleção dos logs do dispositivo FTD a um servidor syslog externo. Registrar a um servidor central ajuda na agregação dos logs e dos alertas. O registro externo pode ajudar na correlação do log e na manipulação do incidente.

    Para o logging local, o dispositivo FTD apoia o console, a opção do buffer interno, e o registro da sessão do Shell Seguro (ssh).

    Para o registro externo, o dispositivo FTD apoia o servidor syslog externo e o servidor de transmissão de e-mail.

    Configurar

    Todas as configurações relacionadas de registro podem ser configuradas quando você navega à aba dos ajustes da plataforma sob a aba dos dispositivos. Escolha dispositivos > ajustes da plataforma segundo as indicações desta imagem.

    Um ou outro clique o ícone do lápis a fim editar a política que existe ou clica a política nova e escolhe ajustes da defesa da ameaça a fim criar uma política nova FTD segundo as indicações desta imagem.

    Escolha o dispositivo FTD aplicar esta política e clicar a salvaguarda segundo as indicações desta imagem.

    Configurar a configuração global do Syslog

    Há determinadas configurações que são aplicáveis para o registro local e externo. Esta seção trata o imperativo e os parâmetros opcionais que podem ser configurados para o Syslog.

    Instalação de registro

    As opções de registro da instalação são aplicáveis para o registro local e externo. A fim configurar a instalação de registro, escolha ajustes dos dispositivos > da plataforma.

    Escolha o Syslog > instalação de registro.

    Instalação de registro básica

    • Permita o registro: Verifique a caixa de seleção de registro da possibilidade a fim permitir o registro. Esta é uma opção imperativa.
    • Permita a abertura da unidade em standby do Failover: Verifique a possibilidade que entra a caixa de seleção da unidade em standby do Failover a fim configurar a abertura do FTD à espera que é parte de uma Alta disponibilidade do conjunto FTD.
    • Envie Syslog no formato do EMBLEMA: Verifique os Syslog da emissão na caixa de seleção do formato do EMBLEMA a fim permitir o formato do Syslog como o EMBLEMA para cada destino. O formato do EMBLEMA é usado primeiramente para o analisador de Syslog dos CiscoWorks Resource Manager Essentials (RME). Este formato combina o formato do Syslog do Cisco IOS Software produzido pelo Roteadores e pelo Switches. Está disponível somente aos servidores de SYSLOG UDP.
    • Send debuga mensagens como Syslog: Verifique Send debugam mensagens como caixa de seleção dos Syslog a fim enviar os logs debugar como mensagens do syslog ao servidor de SYSLOG.
    • Tamanho de memória do buffer interno: Incorpore o tamanho de buffer da memória interna onde FTD pode salvar os dados de registro. Os dados de registro são girados se seu limite de buffer é alcançado.

    Informação do servidor FTP (opcional)

    Especifique detalhes do servidor FTP se você quer enviar os dados de registro ao servidor FTP antes que overwrites o buffer interno.

    • Envoltório do buffer do servidor FTP: Verifique a caixa de seleção do envoltório do buffer do servidor FTP a fim enviar os dados de registro do buffer ao servidor FTP.
    • Endereço IP de Um ou Mais Servidores Cisco ICM NT: Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor FTP.
    • Nome de usuário: Incorpore o username do servidor FTP.
    • Caminho: Entre no caminho de diretório do servidor FTP.
    • Senha: Incorpore a senha do servidor FTP.
    • Confirme: Incorpore a mesma senha outra vez.

    Tamanho flash (opcional)

    Especifique o tamanho flash se você quer salvar os dados de registro para piscar uma vez o buffer interno está completo.

    • Flash: Verifique a caixa de seleção instantânea a fim enviar os dados de registro ao flash interno.
    • Flash máximo a ser usado por Logging(KB): Incorpore o tamanho máximo ao KB da memória Flash que pode ser usado registrando.
    • O espaço livre mínimo a ser preserved(KB): Incorpore o tamanho mínimo ao KB da memória Flash que necessidades de ser preservado.

    Clique a salvaguarda a fim salvar o ajuste da plataforma. Escolha a opção da distribuição, escolha o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento do ajuste da plataforma.

    Configurar lista do evento

    As lista que do evento configurar a opção permite que você crie/edita uma lista do evento e especifica que dados de registro a incluir na lista do evento filtre. As lista do evento podem ser usadas quando você configura filtros de registro sob destinos de registro.

    O sistema permite que duas opções usem a funcionalidade de lista feitas sob encomenda do evento.

    • Classe e severidade
    • ID de mensagem

    A fim configurar lista feitas sob encomenda do evento, para escolher o ajuste do dispositivo > da plataforma > a política em matéria de defesa da ameaça > o Syslog > a lista e o clique do evento adicionar. Você verá estas opções:

    • Nome: Dê entrada com o nome da lista do evento.
    • Classe de evento da severidade: Na seção da classe de evento da severidade, o clique adiciona.
    • Classe de evento: Escolha a classe de evento da lista de drop-down para o tipo de dados de registro que você quer. Uma classe de evento define um grupo de regras do Syslog que representam as mesmas características. Por exemplo, há uma classe de evento para a sessão que inclui todos os Syslog que se relacionam à sessão.
    • Severidade de SYSLOG: Escolha a severidade da lista de drop-down para a classe de evento escolhida. A severidade pode variar de 0 (emergência) a 7 (eliminação de erros).
    • ID de mensagem: Se você está interessado nos dados de registro específicos relativos a um ID de mensagem, a seguir clique adicionam a fim pôr um filtro baseado no ID de mensagem.
    • ID de mensagem: Especifique o ID de mensagem como o formato individual da escala.

    Clique a APROVAÇÃO a fim salvar a configuração.

    Clique a salvaguarda a fim salvar o ajuste da plataforma. Escolha distribuem, escolhem o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento do ajuste da plataforma.

    Taxa que limita o Syslog

    A opção do limite de taxa define um número de mensagens que podem ser enviadas a todos os destinos configurados e define a severidade da mensagem a que você quer atribuir limites de taxa.

    A fim configurar lista feitas sob encomenda do evento, escolha o ajuste do dispositivo > da plataforma > a política em matéria de defesa > o Syslog > o limite de taxa da ameaça. Você tem duas opções baseadas em qual você pode especificar o limite de taxa:

    • Nível de registro
    • Níveis do Syslog

    A fim permitir o nível de registro baseou o limite de taxa, escolhe o nível de registro e o clique adiciona.

    • Nível de registro: Da lista de drop-down do nível de registro, escolha o nível de registro para que você quer executar a limitação da taxa.
    • Número de mensagens: Entre no número máximo de mensagens do syslog a ser recebidos dentro do intervalo especificado.
    • Interval(Second): Baseado no número do parâmetro de mensagens configuradas previamente, incorpore o intervalo de tempo em que um grupo fixo de mensagens do syslog pode ser recebido.

    A taxa de Syslog é número de mensagens/intervalo.

    APROVAÇÃO do clique a fim salvar a configuração do nível de registro.

    A fim permitir o nível de registro baseou o limite de taxa, escolhe o nível de registro e o clique adiciona.

    • Syslog ID: O Syslog ID é usado para identificar excepcionalmente os mensagens do syslog. Da lista de drop-down do Syslog ID, escolha o Syslog ID.
    • Número de mensagens: Entre no número máximo de mensagens do syslog a ser recebidos dentro do intervalo especificado.
    • Interval(Second): Baseado no número do parâmetro de mensagens configuradas previamente, incorpore o intervalo de tempo em que um grupo fixo de mensagens do syslog pode ser recebido.

    A taxa de Syslog é número de mensagens/intervalo.

    APROVAÇÃO do clique a fim salvar a configuração do nível do Syslog.

    Salvaguarda do clique a fim salvar o ajuste da plataforma. Escolha distribuem, escolhem o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento do ajuste da plataforma.

    Configurar ajustes do Syslog

    Os ajustes do Syslog permitem que a configuração dos valores da facilidade seja incluída nos mensagens do syslog. Você pode igualmente incluir o timestamp nos mensagens de registro e em outros parâmetros server-específicos do Syslog.

    A fim configurar lista feitas sob encomenda do evento, escolha o ajuste do dispositivo > da plataforma > a política em matéria de defesa da ameaça > o Syslog > os ajustes do Syslog.

    • Facilidade: Um código de facilidade é usado para especificar o tipo de programa que está registrando a mensagem. As mensagens com facilidades diferentes podem ser seguradas diferentemente. Da lista de drop-down da facilidade, escolha o valor da facilidade.
    • Permita o Timestamp em cada mensagem do syslog: Verifique o Timestamp da possibilidade em cada caixa de seleção do mensagem do syslog a fim incluir o selo de tempo nos mensagens do syslog.
    • Permita o identificador de dispositivo do Syslog: Verifique a caixa de seleção do identificador de dispositivo do Syslog da possibilidade a fim incluir um identificador de dispositivo em mensagens do syslog do NON-EMBLEMA-formato.
    • Syslog equivalentes do Netflow: Verifique a caixa de seleção equivalente dos Syslog do Netflow a fim enviar Syslog do equivalente do Netflow. Pode afetar o desempenho do dispositivo.
    • Adicionar o Syslog específico ID: A fim especificar o Syslog adicional ID, o clique adiciona e especifica a caixa de seleção do nível de registro identificação do Syslog.

    Salvaguarda do clique a fim salvar o ajuste da plataforma. Escolha distribuem, escolhem o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento do ajuste da plataforma.

    Configurar o logging local

    A seção do destino de registro pode ser usada a fim configurar o registro aos destinos específicos.

    Os destinos de registro internos disponíveis são:

    • Buffer interno: Logs ao logging buffer interno (registro protegido)
    • Console: Envia logs ao console (o console de registro)
    • Sessões SSH: Syslog dos logs às sessões SSH (monitor terminal)

    Há três etapas para configurar o logging local.

    Etapa 1. Escolha o ajuste do dispositivo > da plataforma > da política em matéria de defesa > do Syslog da ameaça destinos >Logging.

    Etapa 2. O clique adiciona no orderto adiciona um filtro de registro para um destino de registro específico.

    Destino de registro: Escolha o destino de registro exigido da lista de drop-down do destino de registro como o buffer interno, o console, ou as sessões SSH.

    Classe de evento: Da lista de drop-down da classe de evento, escolha uma classe de evento. Como descrito previamente, as classes de evento são um grupo de Syslog que representam as mesmas características. As classes de evento podem ser selecionadas nestas maneiras:

    • Filtro na severidade: Filtros das classes de evento baseados na severidade dos Syslog.
    • Lista do evento do usuário: Os administradores podem criar as lista específicas do evento (descritas previamente) com suas próprias classes de evento feitas sob encomenda e provê-las nesta seção.
    • Registro do desabilitação: Use esta opção a fim desabilitar o registro para o destino de registro e o nível de registro escolhidos.

    Nível de registro: Escolha o nível de registro da lista de drop-down. A escala do nível de registro é de 0 (emergências) a 7 (eliminação de erros).

    Passo 3: A fim adicionar uma classe de evento separada a este filtro de registro, o clique adiciona.

    Classe de evento: Escolha a classe de evento da lista de drop-down da classe de evento.

    Severidade de SYSLOG: Escolha a severidade de SYSLOG da lista de drop-down da severidade de SYSLOG.

    Clique a APROVAÇÃO uma vez que o filtro é configurado para adicionar o filtro para um destino de registro específico.

    Clique a salvaguarda a fim salvar o ajuste da plataforma. Escolha distribuem, escolhem o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento o ajuste da plataforma.

    Configurar o registro externo

    A fim configurar o registro externo, escolha o ajuste do dispositivo > da plataforma > a política em matéria de defesa > o Syslog > os destinos de registro da ameaça.

    FTD apoia estes tipos de registro externo.

    • Servidor de SYSLOG: Envia logs ao servidor de SYSLOG remoto.
    • Armadilha de SNMP: Envia os logs para fora como uma armadilha de SNMP.
    • e-mail: Envia os logs através do email com um servidor para retransmissão de e-mail preconfigured.

    A configuração para o registro externo e o registro interno é a mesma. A seleção dos destinos de registro decide que o tipo de registrar isso está executado. É possível configurar as classes de evento baseadas em lista feitas sob encomenda do evento ao servidor remoto.

    Configurar o servidor de SYSLOG remoto

    Os servidores de SYSLOG podem ser configurados para analisar remotamente e armazenar logs do FTD.

    Há três etapas para configurar servidores de SYSLOG remotos.

    Etapa 1. Escolha o ajuste do dispositivo > da plataforma > a política em matéria de defesa > o Syslog > os servidores de SYSLOG da ameaça.

    Etapa 2. Configurar o parâmetro relacionado do servidor de SYSLOG.

    • Permita que o tráfego de usuário passe quando o servidor de SYSLOG TCP está para baixo: Se um servidor de SYSLOG TCP esteve distribuído na rede e não é alcançável, a seguir o tráfego de rede com o ASA está negado. Isto é aplicável somente quando o protocolo de transporte entre o ASA e o servidor de SYSLOG é TCP. Verifique o tráfego de usuário reservar para passar quando o servidor de SYSLOG TCP é abaixo da caixa de seleção a fim permitir que o tráfego passe através da relação quando o servidor de SYSLOG está para baixo.
    • Tamanho da fila de mensagem: O tamanho da fila de mensagem é o número de mensagens que se enfileira acima no FTD quando o servidor de SYSLOG remoto é ocupado e não aceita nenhuns mensagens de registro. O padrão é 512 mensagens e o mínimo é 1 mensagem. Se 0 são especificados nesta opção, o tamanho da fila está considerado ser ilimitado.

    Etapa 3. A fim adicionar servidores de SYSLOG remotos, o clique adiciona.

    Endereço IP: Da lista de drop-down do endereço IP de Um ou Mais Servidores Cisco ICM NT, escolha um objeto de rede que tenha os servidores de SYSLOG alistados. Se você não criou um objeto de rede a seguir clica (+) o ícone positivo a fim criar um novo objetam.

    Protocolo: Clique o botão de rádio TCP ou UDP para uma comunicação do Syslog.

    Porta: Entre no número de porta do servidor de SYSLOG. À revelia, é 514.

    Mensagens de registro no formato do EMBLEMA de Cisco (UDP somente): Clique os mensagens de registro na caixa de seleção do formato do EMBLEMA de Cisco (UDP somente) a fim permitir esta opção se se exige aos mensagens de registro no formato do EMBLEMA de Cisco. Isto é aplicável para o Syslog UDP-baseado somente.

    Zonas disponíveis: Entre nas zonas de Segurança sobre que o servidor de SYSLOG é alcançável e mova-as para a coluna selecionada das relações das zonas.

    Clique a APROVAÇÃO e salvar a fim salvar a configuração.

    Clique a salvaguarda a fim salvar o ajuste da plataforma. Escolha distribuem, escolhem o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento do ajuste da plataforma.

    Configurar o email Setup registrando

    FTD permite que você envie o Syslog a um endereço email específico. O email pode ser usado como um destino de registro somente se um server do relé do email tem sido configurado já.

    Há duas etapas para configurar ajustes do email para os Syslog.

    Etapa 1. Escolha o ajuste do dispositivo > da plataforma > da política em matéria de defesa > do Syslog da ameaça instalação do >E-mail.

    Endereço email da fonte: Incorpore o endereço email da fonte que aparecerá em todos os email mandados dos FTD que contêm os Syslog.

    Etapa 2. A fim configurar o endereço email e a severidade de SYSLOG do destino, o clique adiciona.

    Endereço email do destino: Incorpore o endereço email do destino onde os mensagens do syslog serão enviados.

    Severidade de SYSLOG: Escolha a severidade de SYSLOG da lista de drop-down da severidade de SYSLOG.

    Clique a APROVAÇÃO a fim salvar a configuração.

    Clique a salvaguarda a fim salvar o ajuste da plataforma. Escolha distribuem, escolhem o dispositivo FTD onde você quer aplicar as mudanças, e o clique distribui a fim começar o desenvolvimento do ajuste da plataforma.

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshooting

    Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

    • Verifique a configuração do Syslog FTD no FTD CLI, entre à interface de gerenciamento do FTD, e use o comando do suporte de sistema diagnóstico-CLI a fim consolar no CLI diagnóstico
    • > system support diagnostic-cli 
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

><Press Enter>
firepower# sh run logging 
logging enable
logging console emergencies
logging buffered debugging
logging host inside 192.0.0.192
logging flash-minimum-free 1024
logging flash-maximum-allocation 3076
logging permit-hostdown
    • Assegure-se de que o servidor de SYSLOG esteja alcançável do FTD. Entre à interface de gerenciamento FTD através do SSH e verifique a Conectividade com o comando ping.
    • Copyright 2004-2016, Cisco and/or its affiliates. All rights reserved. 
Cisco is a registered trademark of Cisco Systems, Inc. 
All other trademarks are property of their respective owners.
Cisco Fire Linux OS v6.0.1 (build 37)
Cisco Firepower Threat Defense for VMWare v6.0.1 (build 1213)

> system support diagnostic-cli 
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> en
Password: 
firepower# ping 192.0.0.192
    • Assegure-se de que a distribuição de política esteja aplicada com sucesso.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Avinash N
      Engenheiro de TAC da Cisco
    • Sunil Kumar
      Engenheiro de TAC da Cisco
    • Prashant Joshi
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Deixe-nos ajudar

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco