简介
本文档介绍如何在Firepower设备管理器(FDM)中配置系统日志。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower威胁防御
- 运行Syslog软件以收集数据的Syslog服务器
配置
步骤1.从Firepower Device Manager主屏幕中,选择屏幕右下角System Settings下的Logging Settings:

步骤2.在System Settings(系统设置)屏幕上,选择左侧菜单中的Logging Settings(日志记录设置):

步骤3.设置Data Logging切换开关,选择Syslog Servers下的+号。
第4步:选择Add Syslog Server。或者,可以在Objects - Syslog Servers中创建系统日志服务器对象:

步骤5.输入系统日志服务器的IP地址和端口号。选择Data Interface的单选按钮,然后单击OK:

步骤6.选择新的系统日志服务器,然后点击OK:

步骤7.选择要使用“所有事件”单选按钮过滤的严重性级别,然后选择所需的日志记录级别。

步骤8.点击屏幕底部的Save。

步骤9.检验设置是否成功。

步骤10.部署新设置

然后单击Deploy Now:

可选。
此外,Access Control Policy访问控制规则可以设置为登录到Syslog服务器:
步骤1.点击屏幕顶部的Policies:

步骤2.将鼠标悬停在ACP规则的右侧以添加日志记录,并选择铅笔图标:

第3步:选择Logging选项卡,选择At End of Connection的单选按钮,选择Select a Syslog Alert Configuration下的下拉箭头,选择Syslog Server,然后单击OK:

步骤4.部署配置更改。
验证
步骤1.任务完成后,使用show running-config logging命令验证FTD CLI清除模式中的设置:

第2步:导航到Syslog server选项卡,验证Syslog服务器应用是否接受Syslog消息:

故障排除
步骤1.如果Syslog应用程序上的Syslog消息生成任何消息,请从FTD CLI执行数据包捕获以检查数据包。在Clish提示符处输入system support diagnostic-cli命令,以从Clish模式更改为Lina:

步骤2.为udp 514(如果使用tcp,则为tcp 1468)创建一个数据包捕获。
步骤3.检验通信是否到达Syslog服务器上的网络接口卡。使用Wireshark或捕获已加载实用程序的另一个数据包。双击Wireshark中的接口,Syslog Server开始数据包捕获:

步骤4.在顶部栏中设置udp 514的显示过滤器;键入udp.port==514,然后选择栏右侧的箭头。从输出中,验证数据包可以到达Syslog服务器:

步骤5.如果Syslog服务器应用程序不显示数据,请对Syslog服务器应用程序中的设置进行故障排除。确保使用正确的协议udp/tcp和正确的端口514/1468。
相关信息