簡介
本文介紹如何在Firepower設備管理器(FDM)中配置Syslog。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower威脅防禦
- 運行Syslog軟體以收集資料的Syslog伺服器
組態
步驟1.從Firepower裝置管理器主螢幕中,選擇螢幕右下角System Settings下的Logging Settings:

步驟2.在System Settings屏幕上,選擇左側菜單中的Logging Settings:

步驟3.設置資料日志切換交換機,選擇Syslog Servers下的+號。
步驟4.選擇Add Syslog Server。或者,也可以在Objects - Syslog Servers中建立Syslog Server對象:

步驟5.輸入您的系統日誌伺服器的IP地址和埠號。選擇Data Interface的單選按鈕,然後按一下OK:

步驟6.選擇新的系統日誌伺服器,然後按一下OK:

步驟7.選擇要使用「所有事件」單選按鈕進行篩選的嚴重性級別,然後選擇所需的日誌記錄級別。

步驟8.按一下螢幕底部的Save。

步驟9.驗證設定是否成功。

步驟10.部署新設定

然後按一下Deploy Now:

可選。
此外,訪問控制策略訪問控制規則可以設定為登入到Syslog伺服器:
步驟1。按一下螢幕頂部的Policies:

步驟2.將滑鼠懸停在ACP規則的右側以新增日誌記錄,並選擇鉛筆圖示:

步驟3.選擇Logging頁籤,選擇At End of Connection的單選按鈕,選擇Select a Syslog Alert Configuration下的下拉箭頭,選擇Syslog Server並按一下OK:

步驟4.部署配置更改。
驗證
步驟1.任務完成後,使用show running-config logging命令驗證FTD CLI清除模式中的設置:

步驟2.導覽至Syslog server選項卡,確認Syslog伺服器應用程式接受Syslog消息:

疑難排解
步驟1.如果系統日誌應用上的系統日誌訊息產生任何訊息,請從FTD CLI執行封包擷取,檢查封包。在Clish提示符下輸入system support diagnostic-cli命令,將Clish模式更改為Lina:

步驟2.為您的udp 514(如果使用tcp,則為tcp 1468)建立一個資料包捕獲。
步驟3.驗證通訊是否到達系統日誌伺服器上的網路介面卡。使用Wireshark或捕獲已載入實用程式的另一個資料包。按兩下Wireshark中的介面,Syslog Server啟動資料包捕獲:

步驟4.在頂欄中設定udp 514的顯示過濾器;鍵入udp.port==514,然後選擇欄右側的箭頭。從輸出中,驗證封包能否順利到達Syslog伺服器:

步驟5.如果Syslog伺服器應用程式不顯示資料,請對Syslog伺服器應用程式中的設定進行故障排除。確保使用正確的協定,即udp/tcp和正確的埠514/1468。
相關資訊