Para parceiros
Este documento descreve como determinar a causa raiz e solucionar o problema quando os eventos de conexão desaparecem do FireSIGHT Management Center depois que o sistema é executado por vários dias. Isso pode ocorrer devido às configurações do centro de gerenciamento.
A Cisco recomenda que você tenha conhecimento do FireSIGHT Management Center.
As informações neste documento são baseadas nas seguintes versões de hardware e software:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Para determinar o número de eventos de conexão armazenados em um FireSIGHT Management Center,
Essas informações fornecem uma ideia de quantos e por quanto tempo você pode manter os Eventos de Conexão com sua configuração atual.
Revise quais conexões estão sendo registradas e onde no fluxo as conexões estão registradas. Você deve registrar as conexões de acordo com as necessidades de segurança e conformidade da sua empresa. Se seu objetivo é limitar o número de eventos gerados, habilite somente o registro para as regras críticas para sua análise. No entanto, se desejar uma visão ampla do tráfego de rede, você poderá habilitar o registro para regras de controle de acesso adicionais ou para a ação padrão. Você pode desativar o registro de conexão para tráfego não essencial para ajudar a manter os eventos de conexão por um período mais longo.
Este gráfico explica as diferentes opções de registro disponíveis para cada Ação de regra:
Ação da regra ou opção de registro | Fazer login no início | Log no final |
Confiança Ação padrão: Confiança |
X | X |
Permissão Ação padrão: Intrusão Ação padrão: Descoberta |
X | X |
Monitor | X (Obrigatório) | |
Bloqueio Bloqueio com reinicialização Ação padrão: Bloqueio |
X | |
Bloqueio interativo Bloqueio interativo com reinicialização |
X | X (se ignorado) |
Inteligência de segurança | X |
Os eventos de conexão são removidos dependendo da configuração Máximo de eventos de conexão na política do sistema. Para alterar a configuração:
A quantidade máxima de eventos de conexão que podem ser armazenados depende do modelo do Management Center:
Modelo de centro de gerenciamento | Número máximo de eventos |
FS750, DC750 | 50 milhões |
FS1500, DC1500 | 100 milhões |
FS2000 | 300 milhões |
FS3500, DC3500 | 500 milhões |
FS4000 | 1 bilhão |
Dispositivo virtual | 10 milhões |
Para widgets que exibem contagens de eventos em um intervalo de tempo, o número total de eventos pode não refletir o número de eventos para os quais dados detalhados estão disponíveis no visualizador de eventos. Isso ocorre porque, às vezes, o sistema solta detalhes de eventos mais antigos para gerenciar o uso de espaço em disco. Para minimizar a ocorrência de remoção de detalhes de eventos, você pode ajustar o registro de eventos para registrar somente os eventos mais importantes para sua implantação.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
20-May-2015 |
Versão inicial |