在Firepower设备管理器中配置和验证系统日志

简介

本文档介绍如何在Firepower设备管理器(FDM)中配置系统日志。

先决条件

要求

Cisco 建议您了解以下主题：

• Firepower威胁防御
• 运行Syslog软件以收集数据的Syslog服务器

配置

步骤1.从Firepower Device Manager主屏幕中，选择屏幕右下角System Settings下的Logging Settings:

步骤2.在System Settings(系统设置)屏幕上，选择左侧菜单中的Logging Settings（日志记录设置）：

步骤3.设置Data Logging切换开关，选择Syslog Servers下的+号。

第4步：选择Add Syslog Server。或者，可以在Objects - Syslog Servers中创建系统日志服务器对象：

步骤5.输入系统日志服务器的IP地址和端口号。选择Data Interface的单选按钮，然后单击OK:

步骤6.选择新的系统日志服务器，然后点击OK:

步骤7.选择要使用“所有事件”单选按钮过滤的严重性级别，然后选择所需的日志记录级别。

步骤8.点击屏幕底部的Save。

步骤9.检验设置是否成功。

步骤10.部署新设置

然后单击Deploy Now:

可选。

此外，Access Control Policy访问控制规则可以设置为登录到Syslog服务器：

步骤1.点击屏幕顶部的Policies:

步骤2.将鼠标悬停在ACP规则的右侧以添加日志记录，并选择铅笔图标：

第3步：选择Logging选项卡，选择At End of Connection的单选按钮，选择Select a Syslog Alert Configuration下的下拉箭头，选择Syslog Server，然后单击OK:

步骤4.部署配置更改。

验证

步骤1.任务完成后，使用show running-config logging命令验证FTD CLI清除模式中的设置：

第2步：导航到Syslog server选项卡，验证Syslog服务器应用是否接受Syslog消息：

故障排除

步骤1.如果Syslog应用程序上的Syslog消息生成任何消息，请从FTD CLI执行数据包捕获以检查数据包。在Clish提示符处输入system support diagnostic-cli命令，以从Clish模式更改为Lina:

步骤2.为udp 514（如果使用tcp，则为tcp 1468）创建一个数据包捕获。

步骤3.检验通信是否到达Syslog服务器上的网络接口卡。使用Wireshark或捕获已加载实用程序的另一个数据包。双击Wireshark中的接口，Syslog Server开始数据包捕获：

步骤4.在顶部栏中设置udp 514的显示过滤器；键入udp.port==514，然后选择栏右侧的箭头。从输出中，验证数据包可以到达Syslog服务器：

步骤5.如果Syslog服务器应用程序不显示数据，请对Syslog服务器应用程序中的设置进行故障排除。确保使用正确的协议udp/tcp和正确的端口514/1468。

相关信息

• 思科技术支持和下载