在Firepower裝置管理器中配置並驗證系統日誌

簡介

本文介紹如何在Firepower設備管理器(FDM)中配置Syslog。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower威脅防禦
• 運行Syslog軟體以收集資料的Syslog伺服器

組態

步驟1.從Firepower裝置管理器主螢幕中，選擇螢幕右下角System Settings下的Logging Settings:

步驟2.在System Settings屏幕上，選擇左側菜單中的Logging Settings:

步驟3.設置資料日志切換交換機，選擇Syslog Servers下的+號。

步驟4.選擇Add Syslog Server。或者，也可以在Objects - Syslog Servers中建立Syslog Server對象：

步驟5.輸入您的系統日誌伺服器的IP地址和埠號。選擇Data Interface的單選按鈕，然後按一下OK:

步驟6.選擇新的系統日誌伺服器，然後按一下OK:

步驟7.選擇要使用「所有事件」單選按鈕進行篩選的嚴重性級別，然後選擇所需的日誌記錄級別。

步驟8.按一下螢幕底部的Save。

步驟9.驗證設定是否成功。

步驟10.部署新設定

然後按一下Deploy Now:

可選。

此外，訪問控制策略訪問控制規則可以設定為登入到Syslog伺服器：

步驟1。按一下螢幕頂部的Policies:

步驟2.將滑鼠懸停在ACP規則的右側以新增日誌記錄，並選擇鉛筆圖示：

步驟3.選擇Logging頁籤，選擇At End of Connection的單選按鈕，選擇Select a Syslog Alert Configuration下的下拉箭頭，選擇Syslog Server並按一下OK:

步驟4.部署配置更改。

驗證

步驟1.任務完成後，使用show running-config logging命令驗證FTD CLI清除模式中的設置：

步驟2.導覽至Syslog server選項卡，確認Syslog伺服器應用程式接受Syslog消息：

疑難排解

步驟1.如果系統日誌應用上的系統日誌訊息產生任何訊息，請從FTD CLI執行封包擷取，檢查封包。在Clish提示符下輸入system support diagnostic-cli命令，將Clish模式更改為Lina:

步驟2.為您的udp 514（如果使用tcp，則為tcp 1468）建立一個資料包捕獲。

步驟3.驗證通訊是否到達系統日誌伺服器上的網路介面卡。使用Wireshark或捕獲已載入實用程式的另一個資料包。按兩下Wireshark中的介面，Syslog Server啟動資料包捕獲：

步驟4.在頂欄中設定udp 514的顯示過濾器；鍵入udp.port==514，然後選擇欄右側的箭頭。從輸出中，驗證封包能否順利到達Syslog伺服器：

步驟5.如果Syslog伺服器應用程式不顯示資料，請對Syslog伺服器應用程式中的設定進行故障排除。確保使用正確的協定，即udp/tcp和正確的埠514/1468。

相關資訊

• 思科技術支援與下載