Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Eventos de conexão parecem desaparecer do FireSIGHT Management Center

Opções de download

  • PDF     (86.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (88.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (72.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de Maio de 2015
ID do documento:118012

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como determinar a causa raiz e solucionar o problema quando os eventos de conexão desaparecem do FireSIGHT Management Center depois que o sistema é executado por vários dias. Isso pode ocorrer devido às configurações do centro de gerenciamento.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento do FireSIGHT Management Center.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • FireSIGHT Management Center
  • Versão do software 5.2 ou posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Troubleshoot

Passo 1: Determine o número de eventos armazenados

Para determinar o número de eventos de conexão armazenados em um FireSIGHT Management Center,

  1. Escolha Analysis > Connections > Table View of Connection Events.
  2. Expanda a janela de tempo para um amplo intervalo que inclua todos os eventos atuais, por exemplo, 12 meses.
  3. Observe o número total de linhas na parte inferior da página. Clique na última página e observe o carimbo de data e hora do último evento de conexão disponível.

Essas informações fornecem uma ideia de quantos e por quanto tempo você pode manter os Eventos de Conexão com sua configuração atual.

Passo 2: Determine a opção de registro

Revise quais conexões estão sendo registradas e onde no fluxo as conexões estão registradas. Você deve registrar as conexões de acordo com as necessidades de segurança e conformidade da sua empresa. Se seu objetivo é limitar o número de eventos gerados, habilite somente o registro para as regras críticas para sua análise. No entanto, se desejar uma visão ampla do tráfego de rede, você poderá habilitar o registro para regras de controle de acesso adicionais ou para a ação padrão. Você pode desativar o registro de conexão para tráfego não essencial para ajudar a manter os eventos de conexão por um período mais longo.

Tip: Para otimizar o desempenho, a Cisco recomenda que você registre o início ou o fim da conexão, mas não ambos.

Note: Para uma única conexão, o evento de fim de conexão contém todas as informações no evento de início de conexão, bem como as informações que foram coletadas durante a sessão. Para as regras Trust e Allow (Confiança), é recomendável que End-of-Connection (Fim da conexão) seja usado.

Este gráfico explica as diferentes opções de registro disponíveis para cada Ação de regra:

 Ação da regra ou opção de registro  Fazer login no início  Log no final

 Confiança

 Ação padrão: Confiança

  X  X

 Permissão

 Ação padrão: Intrusão

 Ação padrão: Descoberta

  X  X
 Monitor    X (Obrigatório)

 Bloqueio

 Bloqueio com reinicialização

 Ação padrão: Bloqueio

  X  

 Bloqueio interativo

 Bloqueio interativo com reinicialização

  X  X (se ignorado)
 Inteligência de segurança  X  

Passo 3: Ajuste o tamanho do banco de dados do Connection

Os eventos de conexão são removidos dependendo da configuração Máximo de eventos de conexão na política do sistema. Para alterar a configuração:

  1. Escolha System > Local > System Policy.
  2. Clique no ícone do lápis para editar a política aplicada atualmente.
  3. Escolha Banco de dados > Banco de dados de conexão > Máximo de eventos de conexão.
  4. Altere o valor para Maximum Connection Events.
  5. Clique em Save Policy and Exit (Salvar política e sair) e, em seguida, em Apply (Aplicar a diretiva) para seus dispositivos.

A quantidade máxima de eventos de conexão que podem ser armazenados depende do modelo do Management Center:

Note: O limite máximo de eventos é compartilhado entre eventos de conexão e eventos de Security Intelligence; a soma dos máximos configurados para os dois eventos não pode exceder o limite máximo de eventos.

Modelo de centro de gerenciamento Número máximo de eventos
FS750, DC750 50 milhões
FS1500, DC1500 100 milhões
FS2000 300 milhões
FS3500, DC3500 500 milhões
FS4000 1 bilhão
Dispositivo virtual 10 milhões

Caution: Um aumento nos limites do banco de dados pode ter um impacto negativo no desempenho do dispositivo. Para melhorar o desempenho, você deve adaptar os limites de eventos ao número de eventos com os quais trabalha regularmente.

Para widgets que exibem contagens de eventos em um intervalo de tempo, o número total de eventos pode não refletir o número de eventos para os quais dados detalhados estão disponíveis no visualizador de eventos. Isso ocorre porque, às vezes, o sistema solta detalhes de eventos mais antigos para gerenciar o uso de espaço em disco. Para minimizar a ocorrência de remoção de detalhes de eventos, você pode ajustar o registro de eventos para registrar somente os eventos mais importantes para sua implantação.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
20-May-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos