监控和报告

CDO 的监控和报告功能可帮助您深入了解现有策略的影响以及由此产生的安全状况。

变更日志

关于更改日志

更改日志 会持续捕获在 CDO 中进行的配置更改。此单一视图包括所有受支持设备和服务的更改。以下是更改日志的一些功能:

  • 并排比较对设备配置所做的更改。

  • 所有更改日志条目的纯英文标签。

  • 记录设备的自行激活和删除。

  • 检测在 CDO 之外发生的策略更改冲突。

  • 回答事件调查或故障排除期间的人员、内容和时间。

  • 可以将完整更改日志或仅一部分下载为 CSV 文件。

更改日志容量

CDO 会将更改日志中的信息保留一年。超过一年的信息将被删除。

CDO 在其数据库中存储的更改日志信息与导出更改日志时看到的信息之间存在差异。有关详细信息,请参阅将更改日志导出到 CSV 文件

“更改日志”(Change Log) 页面上的更改日志条目

更改日志条目反映对单个设备配置的更改、在设备上执行的操作,或者是否在 CDO 之外对设备进行了更改。

  • 对于包含配置更改的更改日志条目,您可以通过点击行中的任意位置来展开更改。

  • 对于在 CDO 之外进行的被检测为冲突的带外更改,系统用户将被报告为最后一个用户。

  • 在 CDO 上的设备配置与设备上的配置同步后,或从 CDO 中删除设备时,CDO 会关闭更改日志条目。将配置从设备“读取”到 CDO 或通过将配置从 CDO 部署到设备后,配置会同步。

  • CDO 在关闭现有条目后立即创建新的更改日志条目。其他配置更改将添加到打开的更改日志条目中。

  • 显示针对设备的读取、部署和删除操作的事件。这些操作会关闭设备的更改日志。

  • 一旦 CDO 与设备上的配置同步(通过读取或部署),或者当 CDO 不再管理设备时,更改日志就会关闭。

  • 如果在 CDO 之外对设备进行了更改,则会在更改日志中写入“检测到冲突”的条目。

活动和已完成的更改日志条目

更改日志的状态为 活动已完成。当您使用 CDO 更改设备的配置时,这些更改会记录在活动更改日志条目中。将配置从设备读取到 CDO、将更改从 CDO 部署到设备、从 CDO 删除设备或运行更新运行配置文件的 CLI 命令都会完成活动更改日志,并为未来的更改创建新的更改日志。

在更改日志中查找条目

更改日志事件可搜索和过滤。使用搜索栏查找与关键字匹配的事件。使用过滤器 以查找符合您指定的所有条件的条目。您还可以通过过滤更改日志并将关键字添加到搜索字段来组合操作,以在过滤后的结果中查找条目。

部署到 FDM 管理 设备后更改日志条目

FDM 管理 设备的更改日志条目中的更改会以简单的英语进行汇总。点击更改日志条目中的更改可将其展开,这样您就能查看到底更改了哪些内容。将更改从 CDO 写入 FDM 管理 设备后,更改日志条目已完成, Defense Orchestrator 会为未来的更改创建一个新条目。如果点击更改日志条目行中的蓝色差异 (Diff) 链接,则会在运行配置文件的上下文中并排对比显示更改。

红色部分表示删除,蓝色部分表示修改,绿色部分表示设备配置添加内容,灰色部分表示消息。

查看下图中已添加的 HR_network 展开的更改。这是添加的网络对象 HR_network。“已部署版本”列为空,因为在更改之前设备上没有 HR_network 对象。“待定版本”(Pending Version) 列显示了已使用值 10.10.11.0/24 创建 HR_network 对象。

从设备读取更改后的更改日志条目FDM 管理

当 CDO 检测到设备发生更改时,它会在设备的“资产”页面的“配置状态”列中注册“检测到冲突”状态。FDM 管理它不会在更改日志中记录该配置状态。

当您接受在 CDO 之外进行的配置更改时,CDO 会创建一个作业,并在界面的右下角显示作业的处理状态。我们不建议在作业完成之前进行其他操作。否则,更改可能会丢失。

作业成功完成后,点击更改日志条目的“差异”链接。查看更改日志差异

查看更改日志差异

点击更改日志中的蓝色“差异”(Diff) 链接,可以并排比较设备的运行配置文件中的更改。您会看到两个版本的差异。

在下图中,“原始配置”(Original Configuration) 是更改写入之前的运行配置文件,“修改后的配置”(Modified Configuration) 列显示更改写入 ASA 后的运行配置文件。在这种情况下,原始配置列会突出显示运行配置文件中实际未更改的行,但会在修改后的配置列中提供参考点。按照从左到右列的行,您会看到添加了 HR_network 对象和访问规则,以防止“工程”网络中的地址访问“HR_network”网络中的地址。点击上一个 (Previous)下一个 (Next) 按钮浏览文件中的更改。

相关主题

将更改日志导出到 CSV 文件

您可以将 CDO 更改日志的全部或子集导出到逗号分隔值 (.csv) 文件,以便您可以随意过滤和排序其中的信息。

要将更改日志导出到 .csv 文件,请执行以下程序:

Procedure


Step 1

在导航窗格中,点击 更改日志

Step 2

通过执行以下操作之一查找要导出的更改:

  • 使用过滤器 字段和搜索字段准确查找要导出的内容。例如,按设备过滤以仅查看所选设备的更改。

  • 清除更改日志中的所有过滤器和搜索条件。这允许您导出整个更改日志。

Note

 

请记住,CDO 会存储 1 年的更改日志数据。最好是过滤更改日志内容并将结果下载到 .csv 文件,而不是下载长达一年的更改日志历史记录。

Step 3

点击更改日志右上角的蓝色导出按钮

Step 4

为 .csv 文件指定一个描述性名称,并将文件保存到本地文件系统。


CDO 中的更改日志容量与导出的更改日志大小之间的差异

您从 CDO 的更改日志页面导出的信息与 CDO 存储在其数据库中的更改日志信息不同。

对于每个更改日志,CDO 会存储设备配置的两个副本,即“开始”配置和“结束”配置(如果更改日志已关闭);或“当前”配置(如果是打开的更改日志)。这允许 CDO 并排显示配置差异。此外,CDO 会跟踪并存储每个步骤的“更改事件”,包括进行更改的用户名、更改时间以及其他详细信息。

但是,导出更改日志时,导出的内容不包括配置的两个完整副本。它仅包括“更改事件”,这使得导出文件比 CDO 存储的更改日志小得多。

CDO 最多可存储 1 年的更改日志信息,其中包括配置的两个副本。

更改请求管理

变更请求管理 允许您将在第三方故障单系统中打开的变更请求及其业务理由与变更日志中的事件相关联。使用更改请求管理在 CDO 中创建更改请求,使用唯一名称进行标识,输入更改说明,并将更改请求与更改日志事件相关联。您可以稍后在更改日志中搜索更改请求名称。


Note


您可能还会在 CDO 中看到对变更请求跟踪的引用。变更请求跟踪和变更请求管理指的是相同的功能。


启用更改请求管理

启用更改请求跟踪会影响租户的所有用户。要启用更改请求跟踪,请执行以下程序:

Procedure


Step 1

从用户菜单中,选择“设置”(Settings)。

Step 2

从用户菜单中,点击常规设置。

Step 3

点击“更改请求跟踪”下的滑块。

确认后,您会在 Defense Orchestrator 界面的左下角看到 Change Request 工具栏,并在 Change Log 中看到 Change Request 下拉菜单。


创建更改请求

Procedure


Step 1

在任何 CDO 页面中,点击页面左下角的更改请求工具栏中的蓝色 + 按钮。

Step 2

为更改请求指定名称和说明。让变更请求名称反映您的组织想要实施的变更请求标识符。使用说明字段描述更改的目的。

Note

 

更改请求的名称一旦创建便无法更改。

Step 3

保存更改请求。

Note

 

CDO 保存更改请求并将所有新更改与该更改请求名称关联,直到您禁用更改请求或清除更改请求工具栏中的更改请求信息。


将更改请求与更改日志事件关联

Procedure


Step 1

在导航窗格中,点击更改日志 (Change Log)

Step 2

展开更改日志以显示要与更改请求关联的事件。

Step 3

在“更改请求”列中,点击事件的下拉菜单。请注意,最新的更改请求列在更改请求列表的顶部。

Step 4

点击更改请求的名称,然后点击选择。


使用更改请求搜索更改日志事件

Procedure


Step 1

在导航窗格中,点击更改日志 (Change Log)

Step 2

在更改日志搜索字段中,输入更改请求的确切名称,以便查找与该更改请求关联的更改日志事件。CDO 突出显示具有完全匹配项的更改日志事件。


搜索更改请求

Procedure


Step 1

点击更改请求工具栏中的更改请求菜单。

Step 2

开始键入您要搜索的更改请求名称或关键字。您将开始在更改请求列表的名称字段和说明字段中看到部分匹配的结果。


过滤器更改请求

过滤器托盘中有一个“更改请求”过滤器,可用于查找更改日志事件。

Procedure


Step 1

在“更改日志”页面左侧的过滤器托盘中,找到“更改请求”区域。

Step 2

展开过滤器并开始在搜索字段中键入更改请求的名称。部分匹配开始显示在搜索字段下方。

Step 3

选择更改请求名称,选中相应的复选框,然后在“更改日志”表中显示匹配项。CDO 突出显示具有完全匹配项的更改日志事件。


清除更改请求工具栏

清除更改请求工具栏可防止更改日志事件与现有更改请求自动关联。

Procedure


Step 1

选择更改请求工具栏中的更改请求菜单。

Step 2

点击清除。更改请求菜单更改为“无”。


清除与更改日志事件关联的更改请求

Procedure


Step 1

在导航窗格中,点击 更改日志

Step 2

展开更改日志以显示要与更改请求取消关联的事件。

Step 3

在“更改请求”列中,点击事件的下拉菜单。

Step 4

点击清除


删除更改请求

删除更改请求时,是将其从更改请求列表中删除,而不是从更改日志中删除。

Procedure


Step 1

点击更改请求工具栏中的更改请求菜单。

Step 2

点击更改请求名称。

Step 3

点击该行中的删除图标。

Step 4

点击绿色复选标记以确认您要删除更改请求。


禁用更改请求管理

禁用更改请求管理会影响您账户的所有用户。要禁用变更请求管理,请执行以下程序:

Procedure


Step 1

从用户名菜单中,选择设置。

Step 2

滑动更改请求跟踪下的按钮以显示灰色 X。


使用案例

这些使用案例假定您之前已按照上述说明启用了变更请求管理。

跟踪为解决外部系统中维护的故障单所做的防火墙更改

在此使用案例中,用户正在更改防火墙以解决在外部系统中维护的故障单。用户希望将这些防火墙更改导致的更改日志事件与更改请求相关联。请按照以下程序创建更改请求,并将更改日志事件与其关联。

  1. 创建更改请求。使用外部系统中的故障单名称或编号作为更改请求的名称。使用说明字段添加更改理由或其他相关信息。

  2. 确保新的更改请求在更改请求工具栏中可见。

  3. 进行防火墙更改。

  4. 在导航窗格中,点击更改日志并查找与新更改请求关联的更改日志事件。

  5. 清除更改请求工具栏 完成后。

更改防火墙后手动更新单个更改日志事件

在此使用案例中,用户进行了防火墙更改以解决在外部系统中维护的故障单,但忘记使用更改请求管理功能将更改请求与更改日志事件相关联。用户希望返回更改日志,以使用故障单编号更新更改日志事件。请按照以下程序将更改请求与更改日志事件相关联。

  1. 创建更改请求。使用外部系统中的故障单名称或编号作为更改请求的名称。使用说明字段添加更改理由或其他相关信息。

  2. 在导航窗格中,点击更改日志并搜索与防火墙更改关联的更改日志事件。

  3. 将更改请求与更改日志事件关联

  4. 完成后,清除更改请求工具栏。

搜索与更改请求关联的更改日志事件

在此使用案例中,用户希望了解由于解决外部系统中维护的故障单而导致的更改日志中记录了哪些更改日志事件。请按照以下程序搜索与更改请求关联的更改日志事件:

  1. 在导航窗格中,点击更改日志 (Change Log)

  2. 使用以下方法之一搜索与更改请求关联的更改日志事件。

    • 在更改日志搜索字段中,输入更改请求的确切名称,以便查找与该更改请求关联的更改日志事件。CDO 突出显示具有完全匹配项的更改日志事件。

    • 过滤器更改请求 查找更改日志事件。

  3. 查看每个更改日志,查找显示相关更改请求的突出显示的更改日志事件。

FDM 管理 设备执行摘要报告

执行摘要报告提供所有 FDM 管理 设备的运行统计信息集合。载入设备后,思科防御协调器 最多可能需要两个小时才能从 防火墙设备管理器 收集此信息;初始报告生成后,每小时编译一次数据。请注意,报告信息不是事件请求的一部分,因此事件和报告不会以相同的节奏提供。

当网络流量触发 FDM 管理 设备上的访问规则或策略时,会生成报告中的数据。我们强烈建议启用恶意软件防御和 IPS 许可证,并为访问规则启用文件日志记录,以允许设备生成反映在报告中的事件。

请注意,报告中显示的所有信息都取决于页面顶部的时间范围 (Time Range) 切换。在您选择的时间范围内,策略可能会遇到不同的流量或触发器。

如果您在使用“执行摘要”报告时遇到问题,或者看到意外的流量,请参阅 执行摘要报告故障排除 了解更多信息。

生成网络运行数据

在设备被载入 CDO 后,系统会自动收集事件数据。收集的数据取决于设备配置。与所有 FDM 管理 设备一起提供的许可证并不支持网络操作报告中的所有选项。对于要从中收集数据的设备,我们建议进行以下配置:

  • 日志记录 (Logging) - 对适用的访问控制规则启用文件日志记录。有关详细信息,请参阅 FDM 访问控制规则中的日志记录设置

  • 恶意软件事件 - 启用恶意软件智能许可证。

  • 安全情报 - 启用 智能许可证。

  • IPS 威胁- 启用 智能许可证。

  • Web 类别 (Web Categories) - 启用 URL 智能许可证。

  • 检测到的文件 - 启用 智能许可证。

有关智能许可证和这些许可证提供的功能的详细信息,请参阅 FDM 管理 设备许可类型


Note


执行摘要本身并不包括通过 VPN 遇到的流量。


概述

“概述”(Overview) 选项卡显示已触发的规则、威胁和文件类型的视觉对象。这些项目以数字形式显示,首先列出最大或最常命中的规则、事件或文件。

恶意软件事件仅代表检测到或阻止的恶意软件文件。请注意,文件的处置可能发生变化,例如,从安全变为恶意软件或从恶意软件变为安全。我们建议您安排安全数据库更新以使您的设备保持最新的入侵规则 (SRU)。

前十个访问规则命中提供三个不同的选项卡,您可以在它们之间切换,以查看前十个规则传输、连接或阻止数据包的规则。

网络评估

“网络评估”(Network Assessment) 选项卡用于处理网站类别和检测到的文件类型。此显示仅捕获前十个最常遇到的类别和文件类型。除所选时间范围外,您无法使用此选项卡来确定检测到特定 Web 类别或文件类型的时间。

威胁

“威胁”(Threats) 选项卡显示入侵事件生成的统计信息: 排名靠前的攻击者 (Top Attacker) 捕获事件的源 IP 地址, 排名靠前的目标 (Top Target) 捕获事件的目的 IP 地址,而 排名靠前的威胁 (Top Threats) 捕获已归类为威胁的事件类型。

此选项卡还详细说明检测到的威胁和恶意软件类型。

生成报告

根据您的偏好配置报告后,您可以随时生成报告的 PDF 文件。有关详细信息,请参阅管理报告

生成 FDM 管理 设备执行摘要报告

CDO 提供多个报告,可用于分析安全策略对通过 FDM 管理 设备的流量的影响。执行摘要报告总结了最具影响力的恶意软件、威胁和受影响的安全情报。CDO 每小时轮询设备以收集事件。要了解有关执行摘要提供的更多信息,请参阅FDM 管理 设备执行摘要报告了解更多信息。


Important


FDM 管理 设备报告仅在当前载入租户的 FDM 管理 设备上可用。这些报告会每小时生成一次并且不是事件请求的一部分,因此事件和报告不会以相同的节奏提供。在最初载入 FDM 管理 设备后,CDO 最多可能需要两个小时才能生成报告。在有报告显示之前,监控 (Monitoring) 选项下的报告 (Reports) 选项卡可能不会显示。


如果您是安全分析和日志记录用户,则网络报告不会反映转发到安全事件连接器 (SEC) 的事件。


Note


流量相关报告中使用的数据是从访问控制规则和其他安全策略触发的事件中收集的。生成的报告不会反映未启用日志记录的规则或尚未触发的规则的流量。请确保配置规则以记录对您重要的信息。


使用以下程序生成执行摘要报告:

Procedure


Step 1

在导航窗格中,点击 监控 (Monitoring) > 执行摘要报告 (Executive Summary Report)

Step 2

选择报告的时间范围: 过去 24 小时 (Last 24 Hours)过去 7 天 (Last 7 Day)过去 30 天 (Last 30 Day)过去 90 天(Last 90 Day)

Step 3

(可选)点击过滤器图标 可生成有关自定义设备列表的报告。

Step 4

点击生成报告 (PDF) (Generate Report [PDF])

Step 5

点击保存 (Save) 将报告另存为 PDF。浏览保存位置,然后点击保存 (Save)。如果您决定不保存报告,请随时点击取消 (Cancel)


作业页面

“作业”(Jobs) 会页面显示有关批量操作状态的信息。批量操作可能是重新连接多个设备、从多个设备读取配置或同时升级多个设备。作业表中用颜色标记的行表示成功或失败的各个操作。

表中的一行代表一个批量操作。例如,该批量操作可能是尝试重新连接 20 台设备。展开“作业”(Jobs) 页面中的一行,将显示受批量操作影响的每个设备的结果。

您可以通过三种不同的方式访问“作业”(Jobs) 页面:

  • 在通知选项卡中,点击通知行中的查看 (Review) 链接。您将被重定向到“作业”(Jobs) 页面,并查看该通知所代表的特定作业。

  • 在“通知”(Notifications) 选项卡的顶部,点击“查看作业”(View jobs) 链接,您将转到“作业”(Jobs)页面。

  • 从 CDO 的菜单中,选择监控 (Monitoring) > 作业 (Jobs)。此表显示了在 CDO 中执行的批量操作的完整列表。

搜索和过滤

进入“作业”(Jobs) 页面后,您可以按操作类型、执行这些操作的用户以及操作状态进行过滤和搜索。

重新启动导致操作失败的批量操作

查看“作业”页面时,如果发现批量操作中的一个或多个操作失败,则可以在进行任何必要的更正后重新运行批量操作。CDO 将仅对失败的操作重新运行作业。要重新运行批量操作,请执行以下操作:

Procedure


Step 1

选择作业页面中指示失败操作的行。

Step 2

点击重新初始化 图标。


取消批量操作

现在,您可以取消在多台设备上执行的任何活动批量操作。例如,假设您已尝试重新连接四台受管设备,其中三台设备已成功重新连接,但第四台设备既未成功重新连接,也无法重新连接。

要取消批量操作,请执行以下操作:

Procedure


Step 1

在 CDO 导航菜单上,点击作业。

Step 2

找到仍在运行的批量操作,然后点击作业行右侧的取消链接。


如果批量操作的任何部分成功,这些操作将不会被撤销。任何仍在运行的操作都将被取消。

工作流程页面

通过“工作流程”(Workflow) 页面,您可以监控 CDO 在与设备、安全设备连接器 (SDC) 或安全事件连接器 (SEC) 通信时以及在对设备应用规则集更改时运行的每个进程。CDO 会在工作流程表中为每个步骤创建一个条目,并在此页面上显示其结果。该条目只会包含与 CDO 执行的操作相关的信息,而不是与其交互的设备相关的信息。

当 CDO 无法在设备上执行任务时,它会报告错误,您可以导航至“工作流程”(Workflows) 页面查看发生错误的步骤以了解更多详细信息。

您可以访问此页面来确定错误并进行故障排除,或者在 TAC 坚持时与他们共享信息。

要导航至“工作流程”(Workflows) 页面,请在清单 (Inventory) 页面上点击设备 (Devices) 选项卡。点击相应的设备类型选项卡,以便查找设备并选择所需的设备。在右侧窗格的设备和操作 (Devices and Actions) 中,点击工作流程 (Workflows)。下图显示了“工作流程”(Workflow) 页面,其中包含“工作流程”(Workflow) 表中的条目。

下载工作流程信息

您可以将完整的工作流程信息下载到 JSON 文件,并在 TAC 团队要求进行进一步分析时提供。要下载这些信息,您可以选择设备并导航至其工作流程页面,然后点击右上角显示的导出按钮

生成堆栈跟踪

如果您遇到无法解决的错误,TAC 可能会要求您提供堆栈跟踪的副本。要收集错误的堆栈跟踪,请点击堆栈跟踪 (Stack Trace) 链接,然后点击复制堆栈跟踪 (Copy Stacktrace),以便将屏幕上显示的堆栈复制到剪贴板。