在思科Firepower设备上配置Syslog服务
最后更新于:
步骤 1:Syslog 服务器配置
要为流量事件配置 Syslog 服务器,请导航至[配置] > [ASA Firepower 配置] > [策略] > [操作告警], 点击 [ 创建告警] 下拉菜单并选择 [ 创建 Syslog 告警] 选项 。对于 Web 界面,请导航至 [策略] > [操作告警]。输入 Syslog 服务器的相关值 。
- 名称:指定唯一标识Syslog 服务器的名称。
- 主机:指定Syslog服务器的IP地址/主机名。
- 端口:指定Syslog服务器的端口号。
- 功能:选择已在Syslog服务器上配置的任意功能。
- 严重性:选择Syslog服务器上配置的任何严重性级别。
- 标签:指定希望随Syslog消息显示的标签名称。
步骤 2:为连接事件启用外部日志记录
- 当流量触发启用了日志记录的访问规则时,将生成连接事件。要为连接事件启用外部日志记录,请导航至ASDM配置 > ASA Firepower配置 > 策略 > 访问控制策略。对于Web界面,请导航至策略 > 访问控制策略。编辑访问规则并导航至日志记录选项。
- 选择日志记录选项:连接开始和结束时记录日志,或仅在连接结束时记录日志。转至“发送连接事件至”选项并指定事件发送目标。
- 若需将事件发送至外部Syslog服务器,请选择"Syslog",然后从下拉列表中选择Syslog告警响应。也可通过点击添加图标创建新的Syslog告警响应。
步骤 3:为入侵事件启用外部日志记录
- 当签名(Snort规则)匹配恶意流量时将生成入侵事件。要启用入侵事件的外部日志记录,请导航至ASDM配置 > ASA Firepower配置 > 策略 > 入侵策略 > 入侵策略。对于Web界面,请导航至策略 > 入侵策略 > 入侵策略。创建新入侵策略或编辑现有策略。 导航至高级设置 > 外部响应。
- 若需将入侵事件发送至外部Syslog服务器,请在Syslog告警中选择启用选项,然后点击编辑选项。
日志主机:指定Syslog 服务器的IP地址 /主机名 。
日志源:选择Syslog服务器上配置的任意日志源。
严重性:选择Syslog服务器上配置的任意严重性级别。
注意
- 从版本 6.3 及以上开始,请确保在Firepower 威胁防御中启用 RFC 5242 格式的时间戳功能,以便收集带时间戳的 syslog 日志。
- 要将思科安全防火墙管理中心(原名Firepower管理中心)的审计日志转发至事件日志分析器,请按照此处的步骤操作。