主页 » Cisco Firepower设备

在Cisco Firepower设备上配置Syslog服务

步骤 1: Syslog服务器配置

为流量事件配置 Syslog 服务器,请进入配置 > ASA Firepower 配置 > 策略 > 动作告警,点击创建告警下拉菜单,选择创建Syslog告警选项。对于 Web 界面,请进入 策略 > 动作告警。输入Syslog服务器的值。

  • name: 指定唯一标识 Syslog 服务器的名称。
  • host: 指定 Syslog 服务器的 IP 地址/主机名。
  • port: 指定 Syslog 服务器的端口号。
  • Facility: 选择您的Syslog服务器上配置的任何facility。
  • Severity: 选择您的Syslog服务器上配置的任何严重度。
  • Tag: 指定要与Syslog消息一起出现的标记名称。

步骤 2: 启用连接事件的外部日志记录

  • 当流量达到启用日志记录的访问规则时,会生成连接事件。要启用连接事件的外部日志记录,请导航到ASDM配置 > ASA Firepower 配置 > 策略 > 访问控制策略。对于 Web 界面,请进入策略 > 访问控制策略。编辑访问规则并进入日志选项。
  • 选择记录选项记录在开始和结束连接记录在连接结束。点击将连接事件发送到选项并指定发送事件的位置。
  • 为了将事件发送到外部 Syslog 服务器,请选择Syslog,然后从下拉列表中选择 Syslog 告警响应。或者,您可以通过点击添加图标来添加 Syslog 告警响应。

步骤 3: 启用入侵事件的外部日志记录

  • 当签名(snort 规则)与某些恶意流量匹配时,会生成入侵事件。要启用入侵事件的外部日志记录,请进入ASDM 配置 > ASA Firepower 配置 > 策略 > 入侵策略 > 入侵策略。对于 Web 界面,请进入策略 > 入侵策略 > 入侵策略 。创建新的入侵策略或编辑现有的。请点击高级设置 > 外部响应
  • 要将入侵事件发送到外部 Syslog 服务器,请在Syslog告警中选择已启用选项,然后点击编辑选项。日志主机:指定 Syslog 服务器的 IP 地址/主机名。
    Facility:选择在您的 Syslog 服务器上配置的任何设施。
    严重性:选择在您的 Syslog 服务器上配置的任何严重性。
注意: 从6.3版和更高版本开始,确保在FirePOWER威胁防御中启用RFC 5242格式的时间戳,以收集syslog及其时间戳。
 
Copyright © 2022, ZOHO Corp
ManageEngine